Qué es el vishing: estafas a través de llamadas o mensajes de voz

May 12, 2021

Para comprender con un ejemplo qué es el vishing, imagina que luego de un largo día de trabajo recibes el siguiente mensaje de voz en tu teléfono celular: “Buenos días, mi nombre es Pedro González y trabajo en la compañía encargada de la seguridad de su ordenador. Dejaremos de ofrecer nuestros servicios la próxima semana, con lo cual le ofrecemos un reembolso por 300 dólares. Por favor, comuníquese a este número de lunes a viernes en horario laboral…”

¿Qué pensarías? ¿Devolverías la llamada o te resultaría sospechoso? ¿Y si no fueran dólares, sino la moneda de tu país? ¿Y si mencionara a una compañía de antivirus cuyo producto utilizas?

Este ejemplo describe qué es el vishing, un tipo de ataque peligrosamente eficaz que se apoya en técnicas de ingeniería social y en el cual el atacante se comunica telefónicamente o vía mensaje de voz haciéndose pasar por una empresa o entidad confiable con la intención de engañar a la víctima y convencerla de que realice una acción que va en contra de sus intereses.

La palabra vishing nace de la unión de voice y phishing, es decir, engloba a aquellos ataques de phishing que involucran una voz, ya sea robótica o humana. En estas, los atacantes pueden llegar a la víctima mediante llamadas telefónicas masivas, tal como un call-center corporativo, o dejando correos de voz.

Además, entre las temáticas predilectas elegidas por los estafadores para estas comunicaciones encontramos referencias a problemas financieros o de seguridad de nuestro ordenador o dispositivo móvil, o la suplantación de identidad de un supuesto familiar o conocido, etc.

Si bien esta técnica puede representar un mayor costo y trabajo del lado de los cibercriminales, es más efectiva que otras formas de ataque similares como el phishing: a través de una llamada telefónica se logra una comunicación más personal que a través de un correo electrónico, por lo que la manipulación emocional es más fácil de llevar a cabo. En casos extremos, el atacante simula tristeza o llanto ante un supuesto problema que se le presenta y que solo la víctima puede resolver.

Además de las pérdidas monetarias, los ataques de vishing pueden traer consecuencias no tan obvias para la víctima, como por ejemplo el uso de su identidad para futuros engaños a otros usuarios.

Las principales recomendaciones para evitar ser víctima de este tipo de fraude son: ante la recepción de algún llamado sospechoso verificar la fuente de este. Si se trata de un conocido, contactarse con él, y si se trata de un supuesto banco, chequear el motivo del llamado o si poseemos algún servicio asociado.  Es importante también desconfiar de la procedencia y en caso de ser algo dudoso terminar la comunicación lo antes posible. Si quien nos contactó alegó ser de alguna compañía con la cual estamos asociados, es aconsejable comunicarse con la empresa a través de los canales de comunicación oficiales.