Vishing - Phishing por voz
Lectura de 2 min aprox.
El vishing (phishing de voz) es el término genérico para los ataques de phishing que se realizan por teléfono (voz). Es una combinación de las palabras «voice» (voz) y «phishing», y describe a los atacantes que se hacen pasar por empleados bancarios, policías, personal de soporte técnico y similares para sonsacar a las víctimas información confidencial como datos de cuentas, contraseñas y números de tarjetas de crédito. A diferencia del correo electrónico o los SMS, la comunicación directa mediante una voz humana ejerce una fuerte presión psicológica y dificulta el juicio sereno, lo que la convierte en un método de ataque en el que las personas caen con facilidad.
Tácticas típicas
Crean una sensación de urgencia diciendo «Hemos detectado una transacción sospechosa en su cuenta» y, con el pretexto de verificar la identidad, sonsacan los PIN y las contraseñas de un solo uso. Dan el nombre real de un banco y de una sucursal, e incluso un número de empleado, para aumentar su credibilidad.
Advierten que «su PC está infectado con un virus» e indican a la víctima que instale una herramienta de acceso remoto. Mediante el control remoto muestran pantallas de error falsas y exigen el pago a través de un contrato de soporte de pago o tarjetas de regalo.
Amenazan diciendo «tiene impuestos sin pagar y será arrestado a menos que pague antes de que termine el día de hoy». Explotan la autoridad de las instituciones públicas y el miedo a las sanciones legales para anular el juicio sereno. En Japón esto se ha convertido en un problema social conocido como «fraude de reembolso».
El flujo de un ataque de vishing
La evolución impulsada por la síntesis de voz
Con el rápido avance de la tecnología generativa, el vishing ha alcanzado un punto de inflexión cualitativo. La tecnología que reproduce en tiempo real la voz de una persona concreta a partir de tan solo unos segundos de muestras de audio se ha puesto al alcance del público general. En 2023 se informó de un caso en el que se sintetizó la voz de un director ejecutivo para llamar a un responsable de contabilidad y estafar a la empresa 240.000 dólares. El audio de tipo deepfake ha invalidado por completo la premisa de que «se puede reconocer a una persona por su voz», que había sido el mayor punto débil del vishing convencional. Aunque entre una llamada con la voz de un familiar o un superior, ya no hay ninguna garantía de que sea realmente esa persona.
Cómo funciona la falsificación del identificador de llamadas (Caller ID Spoofing)
Una técnica clave que eleva la tasa de éxito del vishing es la falsificación del identificador de llamadas. Mediante la tecnología VoIP (Voice over IP), los atacantes pueden establecer el identificador de llamadas en cualquier número que deseen. Al mostrar el número principal de un banco o el número de una comisaría, los atacantes convencen a las víctimas que ven la pantalla de llamada entrante de que «esta es una llamada de una institución auténtica». En Japón, el Ministerio de Asuntos Internos y Comunicaciones ha estado promoviendo la adopción de STIR/SHAKEN (verificación mediante firma digital de los identificadores de llamadas) como medida contra la falsificación del identificador de llamadas desde 2024, pero la adopción completa, incluida la red de telefonía fija, aún llevará tiempo.guías de prevención de estafas telefónicas (Amazon) es recomendable para mantenerse al día con las últimas tácticas y defensas.
Contramedidas eficaces
Nunca facilite información confidencial en una llamada entrante. Cuelgue y luego devuelva usted mismo la llamada utilizando el número de teléfono legítimo que figura en el sitio web oficial o en su libreta bancaria. Solo con esto se puede prevenir la mayoría de los intentos de vishing.
Acuerden una palabra clave de antemano entre los miembros de la familia o dentro de una organización. Aunque una voz se falsifique mediante síntesis de voz, podrá determinar que quien llama no es la persona real si no conoce la palabra clave.
Establezca un flujo de notificación para cuando alguien reciba una llamada sospechosa. Garantizar la seguridad psicológica para que las personas no se sientan «avergonzadas» ni crean que están «exagerando» es la clave para la detección temprana y para evitar que el daño se extienda.
Aunque el vishing es una técnica clásica de ingeniería social, su nivel de amenaza ha vuelto a dispararse gracias a su fusión con la tecnología moderna. En los ataques dirigidos que lo combinan con el spear phishing, también se ha observado un método de varias etapas en el que el atacante primero construye una relación de confianza por correo electrónico y luego remata la operación por teléfono. Consulte también nuestra guía de protección contra el phishing, las últimas tendencias en el phishing que abusa de la tecnología generativa y los casos reales de ingeniería social.
¿Te resultó útil este artículo?