¿Qué es el vishing y cómo puedes evitarlo?

El vishing es un tipo de ataque de ingeniería social muy peligroso que se aprovecha del engaño para atraer a sus víctimas y convencerlas de que realicen una acción que va en contra de sus intereses. Cualquier usuario desprevenido puede ser víctima de este tipo de ataque, incluso personas en puestos importantes de una empresa. Así que, para crear conciencia y evitar que caer en la trampa de estafadores, aquí te mostraremos qué es el vishing y cómo evitarlo.

¿Qué es el vishing?

Para entender qué es el vishing con mayor facilidad, primero veamos su origen etimológico. La palabra vishing surge de combinar los términos en inglés voice y phishing, que básicamente quiere decir “phishing por voz”.

Ya todos conocemos lo que es el phishing, pero, por si aún no lo sabes, en el phishing los atacantes envían correos electrónicos haciéndose pasar por personas o empresas conocidas por sus víctimas, invitándoles a hacer clic en una URL maliciosa o a descargar un posible malware. El objetivo suele ser robar las credenciales o infectar el sistema de los afectados.

El vishing sigue la misma idea, pero la principal diferencia es que los atacantes realizan llamadas telefónicas haciéndose pasar por alguien de confianza. A través de las llamadas hay una mayor manipulación emocional y una sensación de urgencia que lleva a las personas a entregar información sensible sin la posibilidad de pensarlo dos veces.

Un atacante genera esta sensación de miedo y urgencia insinuando que, si no realizas una acción de forma inmediata, tendrás consecuencias negativas. Estas consecuencias incluyen una sanción o perder una gran oportunidad de un único momento, como una oferta o un premio.

Para dar el siguiente paso, tendrás que suministrar información confidencial, como el nombre completo, el número de identidad, la dirección o los datos de la tarjeta de crédito. Información que los atacantes ya podrían tener a medias y solo tratarían de completarla.

Más importante aún, los ataques de vishing suelen estar vinculados con elementos de la actualidad. Por ejemplo, al inicio de la pandemia, cuando las empresas empezaron a implementar el teletrabajo, muchos de los atacantes interactuaban con los trabajadores de las empresas haciéndose pasar por personal del departamento de TI.

Vishing e ingeniería social

Si bien el vishing hace referencia exclusivamente al phishing por voz, también es muy común que los ciberdelincuentes utilicen técnicas similares al smishing. Todos estos son ataques basados en ingeniería social que crean una falsa sensación de seguridad en los usuarios y facilitan el mal accionar de los atacantes.

Por ejemplo, en el smishing (SMS phishing) los ciberdelincuentes envían mensajes de texto suplantando la identidad de una empresa o una persona conocida por su víctima. Pero, acá, los delincuentes combinan ambas técnicas, solicitando a través de un SMS que la persona se ponga en contacto con ellos para solventar un determinado problema.

Aunque en un principio parecería un ataque de smishing, en realidad atraen a sus víctimas a hacer dicha llamada, en donde luego terminan de perpetrar el ataque.

Ejemplos de vishing

Existen diversas maneras en que los delincuentes pueden realizar un ataque. Si bien utilizan el vishing como medio, los mecanismos pueden ser diversos. Entre los ejemplos más comunes, tenemos estos dos:

  • Soporte técnico falso. En este caso, un supuesto especialista en seguridad informática se pone en contacto contigo para acceder a tu dispositivo. Esta persona podría ser parte de tu empresa o de una compañía de renombre, y le crees porque usualmente estos técnicos son los encargados de la seguridad del computador.

Mientras estás en llamada, podrían interactuar como si nada, para luego solicitarte los datos para ingresar de forma remota a tu computador. Por ejemplo, a través de una aplicación como Team Viewer, puedes brindar acceso total. Una vez dentro del sistema, el atacante solo necesita dejar un malware que le permitirá obtener todo lo que necesita.

  • Problemas financieros y legales. Los delincuentes fingen formar parte de una entidad financiera o una firma legal, utilizando una forma de hablar bastante particular que a cualquiera podría engañar. Te van a informar de un problema o posible fraude, invitándote a tomar acciones inmediatas para evitar cualquier inconveniente.

Al estar bajo presión, y realmente considerar que estás en peligro, finalmente entregas información confidencial. De este modo, se crea el escenario perfecto para ser víctima de un fraude.

No seas víctima de un ataque: aprende a evitar el vishing

Te podríamos decir que simplemente mantengas la calma y que no te dejes engañar, pero eso no siempre basta. Algunas recomendaciones básicas son las siguientes:

  • Evita responder mensajes y llamadas de números sospechosos.
  • No creas en promociones que sean muy buenas para ser verdad.
  • No entregues información confidencial vía telefónica, pocas veces te pedirán estos datos a través de este medio. En dado caso, primero confirma la veracidad del remitente comunicándote directamente con la persona o entidad real. No te dejes llevar por la sensación de miedo o urgencia.
  • Aprovecha la seguridad de las tecnologías en la organización: implementa la autenticación multifactor, el sistema de privilegios mínimos y el registro de accesos.

Estas vendrían siendo algunas de las recomendaciones más comunes. No obstante, lo más importante es crear una cultura de ciberseguridad dentro de la organización, y esto empieza creando conciencia entre todos los miembros de la empresa.

La formación en ciberseguridad y en temas de ingeniería social son la clave para evitar ataques. Técnicamente, con esto ya sabes qué es el vishing y cómo evitarlo. Solo queda poner manos a la obra.


Si estás interesado en conocer más acerca de nuestra oferta de valor y cómo podemos ayudarte a resolver los retos de gestión de servicios de TI en tu organización, te invitamos a conocer todo un nuevo mundo de posibilidades.

En iDric estamos comprometidos con ofrecerte soluciones integrales, de calidad y respaldadas por fabricantes reconocidos en la industria. ¡Contáctanos y descubre lo que podemos hacer por ti!