La evolución de las ciberamenazas no solo ha dado lugar a sofisticados ataques cibernéticos, sino que también ha modernizado métodos tradicionales, adaptándolos a nuevas herramientas de la era digital. Este es el caso del vishing, o también conocido como Voice Phishing, técnica de estafa de ingeniería social que, mediante una llamada telefónica, puede suplantar la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima.
Esta estafa se popularizó en 2023, cuando el grupo de ciberdelincuentes Scattered Spider realizó uno de los mayores ataques de su tipo en EE.UU. y el Reino Unido, dirigido a empleados de empresas de diversos sectores. Se utilizaron mensajes de texto suplantando al departamento de IT de las organizaciones para engañar a los empleados mediante enlaces maliciosos, bajo la amenaza de desactivar sus cuentas. Este caso evidenció cómo tácticas simples pueden explotar vulnerabilidades humanas y técnicas, subrayando la necesidad de medidas de seguridad más robustas y una mejor educación sobre riesgos cibernéticos.
Índice de temas
La llamada telefónica, una técnica común en estrategias de engaño
Según la última edición del informe Threat Landscape Report (TLR) de S21Sec, el crecimiento de estafas como el phishing telefónico representa un desafío creciente, especialmente para el sector financiero. Para ello, los ciberdelincuentes están aprovechando tecnologías avanzadas, como la inteligencia artificial y la Voz sobre Protocolo de Internet (VoIP) – método para hacer llamadas a través de una conexión de banda ancha a través de Internet -, para crear narrativas convincentes que imitan voces y patrones lingüísticos con gran precisión. Esto facilita que los atacantes se hagan pasar por entidades legítimas como bancos o proveedores de servicios, engañando a sus víctimas para que compartan información confidencial.
Los perfiles objetivo más atacados suelen ser personas mayores, nuevos empleados o trabajadores que gestionan comunicaciones externas, como los miembros de los equipos de soporte técnico. Estas llamadas suelen plantear situaciones de urgencia, como supuestos problemas de seguridad que requieren la entrega inmediata de credenciales o datos personales. El objetivo final de estos ataques es obtener acceso a sistemas o información financiera para cometer fraudes, robar fondos o realizar prácticas fraudulentas en beneficio propio.
Además, la creciente dependencia de herramientas digitales por parte de las empresas y usuarios crea un entorno propicio para estas intrusiones. Los ataques no solo tienen repercusiones económicas, sino también daños reputacionales y legales, especialmente cuando involucran la filtración de datos personales.
¿Cómo podemos protegernos ante llamadas fraudulentas en el entorno laboral?
La prevención del vishing requiere una combinación efectiva de tecnología, concienciación y una metodología de actuación bien definida. Las empresas deben adoptar un enfoque preventivo, integrando herramientas de seguridad como autenticación multifactor (MFA), conocida también como autenticación en dos pasos, y bloqueadores de llamadas sospechosas, que permiten añadir una capa adicional de seguridad. Sin embargo, las medidas técnicas deben complementarse con formación y simulaciones de escenarios reales, asegurando que los empleados reconozcan y gestionen estas amenazas de manera efectiva. Todo ello debe verse acompañado del establecimiento de políticas corporativas que protocolicen los pasos a seguir en caso de ser víctimas de llamadas sospechosas.
Por otro lado, es crucial informarse correctamente sobre las últimas tácticas empleadas por los atacantes para prevenir cualquier tipo de fuga de información, siendo fundamental que no compartan información y verifiquen la identidad del interlocutor, al desempeñar un rol crucial en la mitigación del riesgo.
El vishing, con su capacidad para explotar el lado más vulnerable de la tecnología, el factor humano, representa un desafío significativo en el panorama de la ciberseguridad actual. Por tanto, solo una estrategia integral que combine conciencia, formación y tecnología puede blindar a empresas y personas frente a una amenaza con las herramientas adecuadas.