El vishing, o phishing por voz, es un tipo de ataque de phishing que tiene lugar a través de una llamada telefónica. Más información sobre qué son los ataques de vishing, cómo se pueden prevenir y cómo encajan en el panorama general de la ingeniería social.
Después de leer este artículo podrás:
Copiar enlace del artículo
El vishing es la práctica de engañar a personas para que compartan información confidencial por teléfono. A las víctimas de vishing se les hace creer que están compartiendo información confidencial con una entidad de confianza, como la autoridad tributaria, su empleador, una compañía aérea de la que hagan uso o alguien que conozcan en persona. El vishing también se conoce como "phishing de voz".
Phishing es el término general que designa la práctica de intentar robar información confidencial haciéndose pasar por alguien de confianza. Hay diferentes formas de phishing, como el phishing por correo electrónico (que a veces se le denomina solo "phishing"), el phishing de voz o vishing, el whaling y el spear phishing.
Aunque los ataques de vishing son más difíciles de detectar o controlar, es importante entender que los atacantes suelen intentar acceder a la información por diferentes medios al mismo tiempo. Por tanto, un aumento significativo de los ataques de phishing por correo electrónico puede entenderse como una señal de que también se pueden estar produciendo intentos de phishing de voz. Las organizaciones deben formar a sus empleados sobre cómo tratar este tipo de incidentes, ya que unos empleados en alerta son la mejor defensa contra estos ataques.
El vishing es una forma de ingeniería social. Los atacantes persuaden a su víctima para que haga algo que de otro modo no haría, como compartir los datos de su tarjeta de crédito en una llamada de teléfono no solicitada. El atacante juega con las emociones humanas básicas, como la codicia, el miedo o el deseo de ayudar. Los atacantes pueden fingir ser un amigo en una emergencia y pedir a la víctima que les envíe dinero. O pueden hacerse pasar por un miembro del departamento de IT de un empleador para conseguir el nombre de usuario y la contraseña de acceso a la red de la empresa.
Los ataques de vishing pueden tomar diferentes formas, pero suelen incluir algunas de las siguientes tácticas:
Las personas pueden seguir una serie de prácticas para protegerse del phishing. Entre estas se incluyen:
Hay varias medidas que las empresas pueden adoptar a nivel cultural y tecnológico para protegerse de los ataques de vishing.
Formación: Es importante formar a los empleados sobre las tendencias actuales del vishing, así como sobre sus características generales. De este modo, los empleados podrán detectar los ataques en función de su conocimiento de un escenario concreto, o actuar con precaución si consideran que están presentes las características de un ataque de vishing. También es útil que los líderes recuerden a sus empleados los casos en los que se pondrán o no en contacto con ellos. Por ejemplo, un Director general no llamaría a los empleados para pedirles información privada o para hacer una transferencia bancaria. Aunque esto parezca obvio, es bueno que el director general lo comunique con regularidad.
Cultura: Las organizaciones deben trabajar para que sus empleados se sientan cómodos denunciando que han sido víctimas de un ataque de vishing. Lo ideal es que dispongan de un proceso para estos casos, que se aseguren de que el personal lo conozca, y que creen un ambiente de confianza en el que los empleados no teman repercusiones por denunciar los incidentes lo más rápido posible.
Tecnología: Los ataques de vishing que se producen por llamadas telefónicas son más difíciles de detectar y prevenir que los ataques de phishing por correo electrónico. Sin embargo, se pueden implementar ciertas medidas para el control de daños y la supervisión.
Ventas
Conceptos básicos de seguridad del correo electrónico
Phishing y correo no deseado
Protocolos del correo electrónico
Glosario
Navegación del centro de aprendizaje