El vishing es una forma especial de phishing. También en este caso, el objetivo es engañar a la gente para que revele información sensible o confidencial. A diferencia del ataque de phishing «convencional», en el que se contacta con las víctimas por correo electrónico, el contacto se realiza por teléfono. De ahí el nombre «vishing». Aquí se combinan los términos ingleses «voice» (voz) y «phishing» (suplantación de identidad).
Al igual que otros métodos de phishing, el vishing también es una forma de ingeniería social. También apela a las emociones del objetivo, tanto positivas como negativas. Emociones como el miedo, la duda, la curiosidad y la vergüenza se abordan específicamente para conseguir que las personas actúen a favor de los atacantes.
El contacto directo que resulta de la conversación telefónica puede intensificar los sentimientos de los afectados. En la confrontación directa, las personas se sienten aún menos seguras a la hora de contradecir a la otra persona o de no cumplir sus peticiones. También son menos capaces de confiar en su propio instinto, por lo que las acciones se llevan a cabo precipitadamente.
Otra razón por la que el vishing puede ser muy lucrativo para los ciberdelincuentes es que es más probable que se crea una voz humana que un correo electrónico digital de un remitente desconocido. En algunos casos, todavía no está muy extendida la conciencia de que también se puede engañar a los empleados por teléfono.
Los ataques de vishing pueden afectar a cualquier empresa. Aunque -a diferencia de los ataques de phishing convencionales- no se propagan de forma dispersa y, por tanto, no se llevan a cabo a gran escala, los actores de las amenazas descuelgan cada vez más el teléfono para ponerse en contacto directo con sus víctimas potenciales. Las siguientes motivaciones ocupan un lugar central.
Los ciberdelincuentes te llaman a ti o a uno de tus empleados, a menudo con un pretexto muy trivial. Por ejemplo, el atacante puede hacerse pasar por empleado de una organización conocida (por ejemplo, un banco), llamar en nombre de un proveedor o querer vender algo a tu empresa. Las preguntas se colocan hábilmente durante la conversación para que el interlocutor proporcione información sin vacilar ni sospechar. Las respuestas pueden ser utilizadas por el atacante para llevar a cabo ataques de spear phishing o ataques de fraude contra el CEO.
El vishing también se produce cuando los empleados llaman a un número de teléfono falso y, sin sospechar nada, se ponen en contacto con ciberdelincuentes. Imagina que tienes un problema informático y buscas un proveedor de servicios que pueda ayudarte con el problema. Entras en un sitio web y marcas el número que allí te dan. Por desgracia, no es el servicio de asistencia que esperabas el que responde al otro lado de la línea, sino un delincuente. Te ofrecen soluciones a cambio de una cuota. Es posible que tengas que pagarla directamente. Sin embargo, no recibirás el servicio que esperabas.
El siguiente ejemplo es muy directo. El agresor se pone en contacto contigo o con uno de tus empleados por teléfono y les pide que realicen acciones concretas. Por ejemplo, puede pedirte que le pases cierta información, como los datos de acceso a un servicio online. O puede solicitar una acción concreta, como la transferencia de una suma de dinero y el pago de una supuesta factura pendiente. Si la persona duda, se la presiona o se la atrae con ofertas positivas (precios especiales, mejores condiciones).
Hoy en día, es difícil reconocer los ataques de phishing. Los ciberdelincuentes también evolucionan y se profesionalizan en sus ataques. Esto también se aplica a los ataques de vishing. Para reconocer los ataques de vishing, los empleados deben estar atentos. En el caso de nuevos contactos con los que no hayas tenido contacto anteriormente, es aconsejable realizar una breve búsqueda en Internet para confirmar los datos. ¿Existe la empresa mencionada? ¿Existe la dirección indicada? ¿Puedes encontrar a la persona que se puso en contacto contigo? Si la persona con la que hablas se refiere a un colega tuyo, pregúntale si la situación o el intercambio tuvieron lugar realmente. Durante la conversación también debe prevalecer un cierto escepticismo básico. No respondas a preguntas que parezcan demasiado confidenciales o detalladas. Ninguna empresa reputada te pedirá contraseñas, números de bronceado, números de personal, etc.
Para combatir los ataques de vishing y evitarlos a largo plazo, es aconsejable sensibilizar a los empleados. Mediante una formación intensiva, puedes concienciar a tus empleados de los peligros y sensibilizarlos sobre los métodos de ataque. Esto puede hacerse mediante vídeos de formación o mediante un taller en el que se ilustren las llamadas de vishing y los empleados puedan practicar cómo enfrentarse a este tipo de ataque.
