Qué es el vishing: una definición
El vishing, o phishing por voz, se produce cuando una persona o empresa supuestamente respetable utiliza llamadas telefónicas o servicios de mensajería de voz para convencer a las víctimas de que revelen información personal. En un ataque de vishing, los estafadores (o vishers) se hacen pasar por fuentes de confianza para conseguir información confidencial, como números de tarjetas de crédito o identificaciones gubernamentales.
Los estafadores de vishing suelen suplantar la identidad de un número local o un número comercial de confianza para comunicarse con sus víctimas. A veces, usan vishing para implantar malware en su dispositivo, y esto les permite recopilar su información de una manera diferente.
Cualquier usuario que tenga un número de teléfono puede ser objeto de vishing: tanto personas como empresas han sido víctimas de estafas de vishing. Y debido al uso de tácticas sofisticadas de ingeniería social, cualquiera puede ser víctima de una estafa de vishing.
Vishing frente a phishing
El phishing hace referencia a cualquier estafa en la que los estafadores se hacen pasar por fuentes legítimas y manipulan a las víctimas para que entreguen información personal. El vishing es solo uno de los diferentes tipos de estafas de phishing y es específico del phishing de voz: ataques de phishing mediante el uso de teléfonos o mensajes de voz.
También hay muchos otros tipos de phishing. El spear phishing se produce cuando un estafador se dirige a una persona u organización específica. El phishing en las redes sociales simula una alegre publicación en su muro de Facebook que le solicita que responda a preguntas habituales de seguridad. Y el smishing es phishing a través de mensajes SMS.
Independientemente del método, todos los ataques de phishing tienen el mismo objetivo: obtener información personal para robar dinero, cometer un robo de identidad o aprovechar los datos confidenciales de sus víctimas.
Ejemplos habituales de ataques de vishing
Hay muchos ejemplos de ataques de vishing y varias técnicas utilizadas para llevarlos a cabo: aparecen nuevas estafas de vishing en todo momento. Algunas técnicas comunes de vishing incluyen el wardialing, el vishing de VoIP, la suplantación de identidad de llamadas y el dumpster diving. Las estafas fiscales y de Medicare son ejemplos típicos de estafa de vishing.
Estos son algunos ejemplos de ataques de vishing:
Wardialing
El wardialing (o war dialing) es el uso de software que escanea automáticamente listas de números de teléfono y marca docenas de números rápidamente. Este software se usa a menudo para encontrar números de teléfono conectados a dispositivos de telefonía, dispositivos que no son teléfonos, pero que tienen la capacidad de realizar llamadas telefónicas a través de Internet.
Aunque en sí mismo pueda ser una molestia inofensiva para cualquiera que responda al teléfono (el software generalmente está programado para colgar), los hackers también usan el wardialing con un objetivo más perverso: encontrar víctimas humanas a las que estafar con una cuenta de Protocolo de voz sobre Internet (VoIP). El war dialing también se utiliza para estafas de llamadas automáticas, basadas en mensajes pregrabados que sustituyen a estafadores humanos.
VoIP
En lugar de teléfonos fijos, vishing tiene como objetivo principalmente números conectados a través de VoIP. Los servicios de VoIP funcionan como números de teléfono fijo o móvil, exclusivamente a través de Internet. El funcionamiento de los números de teléfono de VoIP es menos dependiente de una ubicación física concreta. Siempre que haya una conexión a Internet, el mismo número puede hacer llamadas telefónicas desde cualquier parte del mundo.
A pesar de que VoIP tiene ventajas obvias, el anonimato y la falta de especificidad geográfica de los números de VoIP facilitan los ataques de los posibles estafadores. Los vishers pueden descargar y configurar su software, preparar un guion y realizar una ola de llamadas con un coste mínimo aparte de su conexión a Internet. Y es probable que su verdadera identidad siga siendo un misterio.
Suplantación de identidad de llamadas
Otra herramienta que utilizan los vishers es la suplantación de identidad de llamadas. A menudo como parte de los servicios de VoIP, la suplantación de identidad de llamadas (que no debe confundirse con la suplantación de IP) consiste en engañar a la víctima para que piense que la persona que llama es otra persona. En el caso del vishing, los estafadores engañan a una fuente oficial o local para convencer a la víctima para que responda. Gracias a la tecnología moderna, es fácil que los estafadores se salgan con la suya en la suplantación de identidad de llamadas.
Dumpster Diving
El dumpster diving es la práctica de revisar la basura de otra persona con la esperanza de encontrar un tesoro. Para los estafadores, el tesoro son las listas de información personal en documentos que las organizaciones o los hogares desechan por descuido. La información que encuentran puede incluir números de teléfono, nombres, direcciones, detalles de tarjetas de crédito y mucho más, lo que permite a los estafadores engañar mejor a las víctimas para que confíen en ellos.
Fraude de tarjeta de crédito
Las estafas con tarjetas de crédito se encuentran entre los ejemplos más comunes de vishing. Los estafadores afirman ser un representante de su compañía de tarjeta de crédito y le indican que su tarjeta de crédito se ha visto comprometida. Le piden sus credenciales para ayudarles a «resolver» el problema. Una vez que tienen la información que desean, la llamada finaliza rápidamente y la víctima descubre que el saldo de su tarjeta de crédito se agotó.
Estafas de Medicare o de la seguridad social
Las estafas de Medicare y de la seguridad social incluyen la suplantación de un representante oficial de una de estas agencias administradas por el gobierno. A menudo afirmarán que hay un problema con su cuenta u ofrecerán una nueva tarjeta de beneficios; de cualquier modo, solicitan información personal que no debería facilitarse a la ligera. Estos tipos de estafas de vishing generalmente tienen como objetivo las personas mayores, que suelen confiar más en las llamadas telefónicas y tener menos conocimientos sobre tecnología y estafas.
Estafas de impuestos o del IRS
Las estafas fiscales y del IRS, en las que los estafadores se hacen pasar por funcionarios fiscales, se han vuelto particularmente comunes en los últimos años. Los estafadores de impuestos pueden apuntar que hay algún problema en su declaración de impuestos o que debe impuestos adicionales. Después, le piden que verifique su identidad mostrando otro tipo de información privada. Si en un principio se niegan las víctimas, los estafadores amenazan con cancelar sus beneficios o arrestarlas con el fin de asustarlas para que obedezcan.
Cómo realizan los delincuentes las estafas de vishing
Los delincuentes realizan las estafas de vishing mediante el uso de una combinación de trucos técnicos, como suplantación de identidad de llamadas y llamadas telefónicas por Internet, e ingeniería social. Mediante el uso de información conocida sobre sus víctimas, los estafadores pueden manipular a las personas con mayor éxito para que caigan en sus estafas de vishing.
La ingeniería social se aprovecha de la tendencia de los humanos a confiar en ciertas instituciones o formas de comportamiento para engañar a las personas para que hagan algo. Los estafadores de vishing se hacen pasar por una fuente de confianza, como funcionarios gubernamentales y representantes bancarios. Los estafadores de soporte técnico se hacen pasar por expertos técnicos para ganarse la confianza de las víctimas y conseguir que instalen malware o proporcionen acceso a su dispositivo. Independientemente del objetivo final, la ingeniería social suele ser el medio que utilizan los estafadores para obtener la información que desean.
Crear una sensación de urgencia es otra táctica que usan los estafadores. Mientras se hacen pasar por una fuente de confianza, los estafadores de vishing a menudo enfatizan la seriedad y la inmediatez del supuesto problema para que las víctimas actúen con rapidez. De este modo, se aseguran de que haya menos probabilidades de que la víctima cuestione a la persona que llama o de que verifique la autenticidad de la afirmación del estafador, lo que aumenta las probabilidades de que caigan en la estafa.
Cómo evitar las estafas de vishing
Para evitar las estafas de vishing, no responda llamadas de números desconocidos y no proporcione información privada por teléfono. Si sospecha que la persona que llama es un estafador, simplemente cuelgue. Recordar estos consejos, además de aprender a detectar vishing y otras estafas de phishing, le ayudará a evitar convertirse en una víctima.
El éxito de las estafas de vishing depende del error humano, y la mejor forma de evitar el vishing es siendo consciente de las vulnerabilidades humanas. Estudie los ejemplos comunes de vishing anteriores para saber cuándo ha de ponerse en alerta.
Nunca debe proporcionar o confirmar información privada por teléfono. Por lo general, la mayoría de las empresas no le llaman para solicitar dicha información. Tampoco llame a ningún número de teléfono que le proporcionen para certificar su identidad; utilice en cambio Google u otra fuente de confianza para encontrar la información que necesita.
Si cree que está en una llamada sospechosa, debe pedirle a la persona que llama detalles más específicos, los motivos de la llamada o cómo obtuvo su número. Y aunque parezca de mala educación, también puede colgar si sospecha que se trata de una estafa.
Es posible que los estafadores de vishing ya tengan información personal sobre usted, pero nunca la confirme por teléfono.
Registrar su número en el Registro «No llamar» (en EE. UU.) o en los Servicios de preferencia telefónica (en Reino Unido) puede evitar algunas llamadas de ventas no solicitadas, pero no es la mejor solución. Después de todo, es poco probable que los estafadores respeten su solicitud de no recibir llamadas no solicitadas.
Si normalmente no recibe llamadas de números desconocidos a su teléfono, simplemente evite responder a cualquier número desconocido que intente comunicarse con usted. Si un visher deja un mensaje afirmando ser parte de una organización conocida, póngase en contacto con esa organización directamente en lugar de devolver la llamada.
Muchas de estas estrategias de prevención pueden funcionar contra estafas de todo tipo, tanto en línea como fuera de línea. Pero para que usted y su información privada estén mejor protegidos, fortalecer su seguridad en línea con un software antivirus y otras herramientas puede marcar una gran diferencia.
Protéjase contra las estafas de vishing con AVG BreachGuard
Los estafadores no se detendrán ante nada, incluso la basura, para obtener datos personales. Por desgracia, mantener sus datos privados protegidos puede ser difícil al haber tantas cuentas y servicios en línea que tienen acceso a ellos.
AVG BreachGuard facilita el mantenimiento de la privacidad de sus datos, al analizar constantemente la web oscura en busca de pruebas de filtraciones de datos que incluyan su información. El monitor de riesgos integrado de BreachGuard funciona 24 horas del día, 7 días de la semana, lo que permite que BreachGuard le avise de una filtración de datos tan pronto como ocurra.
AVG BreachGuard también le ayuda a mantener el control de sus datos personales, al solicitar automáticamente que los corredores de datos eliminen su información de sus bases de datos, lo que ayuda a evitar que terceros (incluidos estafadores) obtengan su dirección, número de teléfono y otros datos privados.
AVG BreachGuard ayuda a proteger su información y a asegurarse de que se mantenga al tanto de la información personal que comparte con las principales organizaciones. Obtenga AVG BreachGuard y comience a protegerse frente a los vishers y otros estafadores antes de que sea demasiado tarde.