¿Qué es el vishing?
El vishing es una forma de ataque que intenta engañar a las víctimas para que den información personal sensible por teléfono. Aunque esto hace que suene como una estafa anticuada, los ataques de vishing tienen elementos de alta tecnología: implican tecnología de simulación de voz automatizada, por ejemplo, o el estafador puede utilizar información personal sobre la víctima cosechada en ciberataques anteriores para tranquilizarla.
Independientemente de la tecnología que se utilice, la configuración del ataque sigue un guión de ingeniería social familiar: Un atacante crea un escenario para aprovecharse de las emociones humanas, normalmente la codicia o el miedo, y convence a la víctima para que revele información sensible, como números de tarjetas de crédito o contraseñas. En este sentido, las técnicas de vishing son un reflejo de las estafas de phishing que existen desde la década de 1990. Pero las llamadas de vishing se aprovechan del hecho de que somos más propensos a confiar en una voz humana, y pueden dirigirse a personas mayores y tecnófobas que son ingenuas y no tienen experiencia con este tipo de estafas.
Estadísticas de vishing
Estas notables cifras ofrecen una idea del estado del vishing y de por qué puede ser un negocio lucrativo para los atacantes.
- Los ataques de vishing han aumentado en los últimos años. En 2018, las llamadas de estafa representaron casi el 30% de todas las llamadas móviles entrantes.
- Así que no debería sorprender que este extraño término esté empezando a ser más reconocido. El informe 2020 State of the Phish de Proofpoint descubrió que el 25% de los trabajadores de su encuesta mundial podían definir correctamente el término.
- El 75% de las víctimas de estafas informan de que los vishers ya tenían alguna información personal sobre ellos, que utilizaron para dirigirse a ellos y obtener aún más información.
- De las personas que informaron a la FTC sobre estafas de vishing con impostores del gobierno, sólo el 6% había perdido realmente dinero, pero los que lo hicieron perdieron bastante, con una pérdida media de 960 dólares.
Vishing vs. phishing vs. smishing: ¿Qué diferencia hay entre el vishing y el smishing?
El phishing es el abuelo de todos ellos, y CSO tiene una explicación completa con todos los detalles, pero en esencia se trata de enviar mensajes de correo electrónico dirigidos a engañar a los destinatarios. «Phish» se pronuncia como se deletrea, es decir, como la palabra «fish» (pez); la analogía es la de un pescador que lanza un anzuelo con cebo (el correo electrónico de phishing) y espera que pique. El término surgió a mediados de los años 90 entre los hackers que pretendían engañar a los usuarios de AOL para que dieran su información de acceso. La «ph» forma parte de la tradición de la ortografía caprichosa de los hackers, y probablemente fue influenciada por el término «phreaking», abreviatura de «phone phreaking», una de las primeras formas de piratería informática que consistía en reproducir tonos de sonido en los teléfonos para obtener llamadas telefónicas gratuitas.
El phishing es, esencialmente, la suplantación de identidad mediante llamadas telefónicas. Al igual que el phishing se considera un subconjunto del spam, el vishing es una consecuencia del spam de VoIP, también conocido como spam por telefonía o SPIT. El término «vishing» existe desde finales de los años 00.
El «smishing» es un tipo de ataque similar que utiliza mensajes de texto en lugar de correos electrónicos o llamadas de voz; la palabra es un portmanteau de «SMS» y «phishing». Para obtener más información sobre el smishing, consulte nuestra explicación sobre el tema.
Técnicas de vishing
Casi todos los ataques de vishing tienen algunas cosas en común. Las llamadas telefónicas se realizan inicialmente a través de servicios de voz sobre IP (VoIP), lo que facilita a los vishers la automatización de parte o de todo el proceso y dificulta el rastreo por parte de las víctimas o de las fuerzas de seguridad. Y el objetivo final de los atacantes es aprovecharse de usted de alguna manera, ya sea recopilando información de cuentas bancarias u otros datos personales que puedan utilizar para acceder a sus cuentas bancarias, o engañándole para que les pague directamente.
Pero dentro del universo de las estafas de vishing, hay una amplia gama de técnicas y estrategias. Van desde los ataques automatizados de tipo «escopeta» dirigidos a muchas víctimas potenciales con la esperanza de obtener algunas mordidas hasta las estafas enfocadas con láser que apuntan a un objetivo específico de alto valor.
Tal vez la forma más extendida de vishing comienza con el llamado «wardialing», es decir, cientos o miles de llamadas automatizadas a cientos o miles de números. La víctima potencial (o su buzón de voz) recibirá una grabación destinada a asustarla o engañarla para que inicie ella misma una llamada telefónica a los estafadores. A menudo, los estafadores dicen ser del IRS o de alguna otra agencia gubernamental, o de un banco o cooperativa de crédito. El wardialing se centra en un código de área específico y utiliza el nombre de una institución local con la esperanza de encontrar clientes reales.
Una variación de esta técnica implica el uso de ventanas emergentes en su ordenador, a menudo plantadas por el malware, para simular una advertencia de su sistema operativo sobre algún problema técnico. A la víctima se le dice que tiene que llamar al «Soporte de Microsoft» o algo similar y se le da un número de teléfono. Esto les pone en contacto con el visher, que puede acabar utilizando una combinación de respuestas de voz reales y automatizadas durante la conversación; de nuevo, el objetivo es obtener el máximo rendimiento con poco esfuerzo.
Spear vishing
En este tipo de ataques de escopeta, los vishers generalmente no saben casi nada sobre ti y tendrán que farolear para que pienses que son quienes dicen ser; por ello, pueden ser detectados con relativa facilidad. Sin embargo, son mucho más preocupantes los vishers que se dirigen a ti específicamente. Esta técnica se conoce como «spear vishing»; al igual que el spear phishing, requiere que los atacantes ya tengan algunos datos sobre su objetivo. Por ejemplo, un «spear visher» puede conocer la dirección de su casa y su banco antes de llamarle, lo que facilita que le engañe para que le diga su PIN.
¿Pero cómo saben ya tanto sobre usted? «Muchos de estos datos proceden de la web oscura, que a menudo se origina en las violaciones de datos», dice Paige Schaffer, directora general de los servicios de Identidad Global y Ciberprotección de Generali Global Assistance (GGA). Así que cuando leas sobre las grandes filtraciones de datos, debes saber que pueden facilitar el vishing. Puede parecer extraño que un atacante que ya tiene su información personal esté ansioso por conseguir más, pero como señala Schaffer, «cuanta más información tiene un estafador, más daño puede hacer». ¿Por qué conformarse con los últimos cuatro dígitos del SSN cuando pueden conseguir que les entregues los otros cinco? Un SSN completo les permite abrir tarjetas de crédito fraudulentas, préstamos, etc.»
Si todo esto parece mucho más trabajo que llamar a alguien y decirle que eres de Hacienda, tienes razón. Pero la mayoría de la gente -especialmente los objetivos de alto valor, que a menudo son más educados y conocedores del ciberespacio- verán a través de esas estafas más simples. Si la recompensa es lo suficientemente grande, puede merecer la pena dedicar tiempo a construir una identidad convincente para sacarle información a la víctima. «Un hacker puede haber trabajado pacientemente en la adquisición de información de la víctima a través de correos electrónicos de suplantación de identidad, o capturándola a través de malware», dice Schaffer. «Cuando los spear vishers van a por ‘peces’ más grandes (por así decirlo) como los directores generales, lo llamamos ‘whaling'». Y a medida que las técnicas de simulación de voz mejoran, los balleneros tienen aún más herramientas en su arsenal, con la capacidad de imitar a personas específicas para tratar de engañar a sus víctimas.
Ejemplos de vishing
Hasta ahora, hemos sido algo vagos sobre las estafas específicas que los vishers llevarán a cabo con el fin de obtener su dinero o información personal. HashedOut los divide en cuatro grandes categorías:
Fraude de marketing. Este tipo de estafas son anteriores a la era del vishing, pero han adoptado muchas de sus técnicas. El visher le llamará en frío sin saber realmente quién es usted y le hará una oferta que es demasiado buena para ser verdad: ha ganado una lotería en la que nunca participó, le han ofrecido unas vacaciones gratis en el Marriott, puede reducir los intereses de su tarjeta de crédito, etc. Normalmente hay un coste por adelantado para conseguir su dinero «gratis» y, por supuesto, el cebo que le prometieron nunca llega.
Suplantación de identidad del gobierno. Una estafa común consiste en insinuar que un problema está bloqueando las prestaciones que la víctima debería recibir, como los pagos de Medicare o de la Seguridad Social; ofrecer «arreglar» el problema abre la puerta a engatusar a la víctima para que entregue información personal, como los números de la Seguridad Social o de las cuentas bancarias. Una versión más agresiva de esto proviene de falsos «investigadores» del IRS, que a menudo afirman que las víctimas deben impuestos atrasados y les amenazan con multas o cárcel. Este vídeo muestra a un agente de policía interactuando con uno de estos estafadores.
No es raro que este tipo de estafadores exijan que la víctima les pague comprando tarjetas de regalo de Amazon y luego les lean los números del reverso, ya que las compras con tarjeta no pueden ser rastreadas. Este es un buen aviso de que usted no está tratando con una agencia gubernamental!
Fraude de soporte técnico. Ya hemos hablado de esto: los estafadores pueden aprovecharse de los ingenuos tecnológicos y de su preocupación por ser hackeados, utilizando anuncios emergentes o malware que se hace pasar por una advertencia del sistema operativo para engañar a las víctimas para que llamen a los vishers. Kapersky advierte de una variante de esta estafa que es básicamente un tipo de ransomware: el malware bloquea el PC pero ofrece un número de «soporte técnico», donde un amable «técnico» -en realidad parte de la banda que instaló el malware en primer lugar- arreglará su ordenador, por un precio, dejándole pensar que realmente le han ayudado.
Ataques de vishing a cuentas bancarias. Conseguir acceso a tu información bancaria es, por supuesto, el santo grial de un visher. Y si un atacante ya tiene acceso a algunos de sus datos personales desde otra fuente, como hemos comentado antes, puede emular fácilmente el tipo de llamadas legítimas que uno esperaría recibir de su institución financiera, de una forma que puede engañar incluso a los más espabilados. El fundador de Panic Inc., Caleb Sasser, contó a Krebs on Security una historia espeluznante de un ataque de vishing casi exitoso. El atacante consiguió falsificar su número de teléfono para que coincidiera con el de Wells Fargo, el banco de Sasser, y afirmó que estaba haciendo un seguimiento de algunos cargos potencialmente fraudulentos. Como el «banco» ofrecía enviar una nueva tarjeta de cajero automático, Sasser estuvo a punto de introducir un nuevo PIN en su teléfono antes de echarse atrás en el último momento; si lo hubiera hecho, los vishers habrían podido clonar su tarjeta y utilizarla libremente.
Este tipo de estafadores suelen ir a la caza de ballenas, buscando objetivos de muy alto valor que les ayuden a hacerse ricos rápidamente. Una variante se conoce como la «estafa del viernes por la tarde», en la que los estafadores llaman a una empresa de inversiones o a otro objetivo rico justo al final de la semana laboral, contando con que la persona que contesta el teléfono está cansada y distraída y baja la guardia.
Cómo evitar el vishing
Si quiere identificar y evitar el vishing, esperamos que el material que hemos cubierto hasta ahora le ayude a saber qué buscar. La FTC tiene un buen resumen de los puntos clave que todo el mundo debería conocer:
- Sospeche de una llamada que diga ser de una agencia gubernamental pidiendo dinero o información. Las agencias gubernamentales nunca le llaman de improviso exigiendo -u ofreciendo- dinero. En caso de duda, cuelgue, busque de forma independiente el número real de la agencia y llámeles para saber si están intentando contactar con usted.
- Nunca pague nada con una tarjeta de regalo o una transferencia bancaria. Es una señal clara de que se trata de una estafa.
- No te fíes del identificador de llamadas. Es muy fácil de falsificar.
Kapersky tiene otra buena regla de oro: una cosa que todas las estafas de vishing tienen en común es el intento de crear una falsa sensación de urgencia, haciéndole creer que está en problemas o que está a punto de perder una oportunidad y que necesita actuar ahora mismo. Nunca está de más tomarse un momento de pausa, anotar información sobre la persona que llama sin ofrecer ninguna propia y volver a llamar después de investigar.
Si quiere tomar medidas proactivas para proteger a su organización, puede incluir el vishing como parte de una formación de concienciación sobre seguridad. Varios proveedores ofrecen plataformas de vishing simulado que pueden ayudarle a descubrir las vulnerabilidades en las actitudes del personal y demostrar la naturaleza de la amenaza a sus empleados.