¿Qué es un ataque de vishing?
El vishing es la práctica de engañar a personas para que compartan información confidencial por teléfono. A las víctimas de vishing se les hace creer que están compartiendo información confidencial con una entidad de confianza, como la autoridad tributaria, su empleador, una compañía aérea de la que hagan uso o alguien que conozcan en persona. El vishing también se conoce como "phishing de voz".
Phishing es el término general que designa la práctica de intentar robar información confidencial haciéndose pasar por alguien de confianza. Hay diferentes formas de phishing, como el phishing por correo electrónico (que a veces se le denomina solo "phishing"), el phishing de voz o vishing, el whaling y el spear phishing.
Aunque los ataques de vishing son más difíciles de detectar o controlar, es importante entender que los atacantes suelen intentar acceder a la información por diferentes medios al mismo tiempo. Por tanto, un aumento significativo de los ataques de phishing por correo electrónico puede entenderse como una señal de que también se pueden estar produciendo intentos de phishing de voz. Las organizaciones deben formar a sus empleados sobre cómo tratar este tipo de incidentes, ya que unos empleados en alerta son la mejor defensa contra estos ataques.
¿Cómo se relacionan el vishing y la ingeniería social?
El vishing es una forma de ingeniería social. Los atacantes persuaden a su víctima para que haga algo que de otro modo no haría, como compartir los datos de su tarjeta de crédito en una llamada de teléfono no solicitada. El atacante juega con las emociones humanas básicas, como la codicia, el miedo o el deseo de ayudar. Los atacantes pueden fingir ser un amigo en una emergencia y pedir a la víctima que les envíe dinero. O pueden hacerse pasar por un miembro del departamento de IT de un empleador para conseguir el nombre de usuario y la contraseña de acceso a la red de la empresa.
¿Cómo funcionan los ataques de vishing?
Los ataques de vishing pueden tomar diferentes formas, pero suelen incluir algunas de las siguientes tácticas:
- Un elemento sorpresa: La persona que llama puede afirmar que forma parte de una organización que no suele realizar estas llamadas, como las agencias tributarias, una empresa o Loterías y apuestas del Estado. También puede decir que es alguien que la víctima conoce, y que llama en circunstancias inusuales.
- Una sensación de urgencia y miedo: La persona que llama puede insinuar o amenazar con consecuencias negativas si no se realiza rápidamente una determinada acción. Estas consecuencias podrían incluir una sanción, como el miedo a ser detenido si no se salda inmediatamente una deuda de la Agencia tributaria, o perder una oportunidad, como perder la opción de ganar un premio de la lotería si no se comparte la información personal inmediatamente.
- Una petición de información: La persona que llama pedirá información personal o confidencial, como el nombre completo, la dirección, la fecha de nacimiento, el número de pasaporte o los datos de la tarjeta de crédito. El atacante podría contar ya con parte de la información, y tratar así de completarla o verificarla.
- Un elemento de actualidad: Los ataques de vishing suelen estar relacionados con acontecimientos actuales. Por ejemplo, al inicio de la pandemia del Covid-19, los atacantes llamaron a empleados que acababan de empezar a trabajar desde casa y dijeron ser miembros de su departamento de TI. Pedían los nombres de usuario y contraseñas para poder acceder a las aplicaciones y datos de la empresa. Estos ataques se produjeron en todo el mundo y afectaron a diversas organizaciones. Las agencias gubernamentales y las ONG fueron el objetivo, junto con empresas de fabricación, desarrolladores de software y compañías aéreas.
Cómo evitar ser víctima del vishing
Las personas pueden seguir una serie de prácticas para protegerse del phishing. Entre estas se incluyen:
- Desconfiar de cualquiera que pida dinero o información confidencial por teléfono: (ya sea información personal o sobre una organización de la que forme parte el destinatario). La mayoría de las autoridades no pedirían esa información por teléfono.
- Ser consciente de las posibilidades técnicas de crear una identidad falsa en las llamadas telefónicas: No es difícil falsificar los números de teléfono o utilizar un número regional específico mediante el uso de la tecnología VoIP. Por este motivo, hay que desconfiar de llamadas entrantes basadas en los identificadores de llamadas o en números regionales.
- Ser escéptico cuando se pide urgencia: Es prudente no confiar en nadie que parezca crear una sensación de urgencia o que anime a la acción inmediata. En su lugar, mantén la calma y ten en cuenta las posibles consecuencias.
- No confiar implícitamente en la identidad de la persona que llama: Es importante verificar la identidad de la persona que llama buscando un número de teléfono público de la empresa y llamándole. Si la persona que llama proporciona un número de devolución de llamada, no debe utilizarse, ya que podría formar parte de la estafa. Si la persona que llama dice ser un amigo o un familiar, ponte en contacto con esa persona por otros medios o contacta con conexiones mutuas para verificar lo que dice.
Cómo proteger una organización de los ataques de vishing
Hay varias medidas que las empresas pueden adoptar a nivel cultural y tecnológico para protegerse de los ataques de vishing.
Formación: Es importante formar a los empleados sobre las tendencias actuales del vishing, así como sobre sus características generales. De este modo, los empleados podrán detectar los ataques en función de su conocimiento de un escenario concreto, o actuar con precaución si consideran que están presentes las características de un ataque de vishing. También es útil que los líderes recuerden a sus empleados los casos en los que se pondrán o no en contacto con ellos. Por ejemplo, un Director general no llamaría a los empleados para pedirles información privada o para hacer una transferencia bancaria. Aunque esto parezca obvio, es bueno que el director general lo comunique con regularidad.
Cultura: Las organizaciones deben trabajar para que sus empleados se sientan cómodos denunciando que han sido víctimas de un ataque de vishing. Lo ideal es que dispongan de un proceso para estos casos, que se aseguren de que el personal lo conozca, y que creen un ambiente de confianza en el que los empleados no teman repercusiones por denunciar los incidentes lo más rápido posible.
Tecnología: Los ataques de vishing que se producen por llamadas telefónicas son más difíciles de detectar y prevenir que los ataques de phishing por correo electrónico. Sin embargo, se pueden implementar ciertas medidas para el control de daños y la supervisión.
- Autenticación multifactor: Si se necesitan dos o más factores de verificación para acceder a los sistemas internos y a la información, será difícil que los atacantes puedan acceder simplemente mediante el robo de las credenciales de acceso por teléfono.
- Principio de mínimos privilegios: si un empleado es víctima de un ataque de vishing y se pone en riesgo su dispositivo, asegúrate de que el daño sea el mínimo posible. Es fundamental asegurarse de que los empleados solo tengan acceso a los sistemas y a la información que necesitan para su función. [La tecnología de acceso a la red Zero Trust](https://www.cloudflare.com/learning/access-management/what-is-ztna/), como los servicios Zero Trust de Cloudflare, puede ayudar a gestionar este acceso.
- Registros de acceso: Es importante contar con sistemas que detecten y supervisen actividades inusuales. La tecnología Zero Trust también ayuda a las organizaciones a realizar esto.
- Utilizar la seguridad del correo electrónico como sensor: Los atacantes suelen utilizar varias formas de ingeniería social a la vez. Al usar la tecnología de seguridad del correo electrónico de Cloudflare, se detendrán los intentos de phishing por correo electrónico y se alertará a la organización de un aumento de los intentos. Un aumento del phishing por correo electrónico suele implicar un aumento del phishing por voz.