Glosario

Vishing

¿Qué es el vishing?

El vishing es una forma de fraude en el que el estafador se hace pasar como una compañía reputada y realiza llamadas o deja mensajes de voz a sus víctimas. El objetivo del estafador es hacer que la víctima revele información personal. El vishing es un tipo de ataque de ingeniería social

Aunque el vishing no requiere que los estafadores tengan habilidades técnicas particularmente avanzadas, a menudo se combina con otras prácticas fraudulentas que sí lo requiere, como por ejemplo la creación de una red de bots utilizando un gusano informático como parte de una amenaza mixta. 

El vishing es una forma de phishing (phishing de voz) en el que los criminales utilizan una serie de métodos para intentar engañar a la víctima para que comparta información personal. El phishing puede incluir el uso de correos electrónicos, llamadas telefónicas y mensajes de voz (vishing), así como mensajes de texto y otros servicios de mensajería (lo que se conoce como smishing). 

Una vez que el estafador obtiene la información de la víctima a través de una estafa de vishing, pueden usarla para distintos propósitos, desde realizar compras y retiros hasta cometer carding

Reduce las tasas de fraude entre un 70-99%

Asóciate con SEON para reducir las tasas de fraude en tu negocio con enriquecimiento de datos en tiempo real, machine learning de caja blanca y APIs avanzadas.

Pide una Demo

¿Cómo funciona el vishing?

El proceso del vishing se compone de varias etapas claras:

  • obtener el número de teléfono de la víctima, a menudo a través de correos electrónicos de phishing
  • llamar a la víctima mediante el uso de un identificador de llamadas falso para hacerse pasar por un negocio legítimo
  • poner presión en la víctima para que actúe rápido, por ejemplo alertando a la víctima de que alguien ha usado su tarjeta de crédito y que debe actuar rápidamente para bloquearla

La presión del tiempo que se utiliza en el último paso es crucial. La víctima no tiene tiempo para pensar acerca de la información personal que le facilita al estafador hasta que es demasiado tarde.

Cuatro técnicas comunes de vishing

Los estafadores utilizan una gran variedad de técnicas de vishing para intentar obtener la información personal de sus víctimas. Esto incluye el wardialing, el vishing de Voice over Internet Protocol (VoIP), la falsificación de identificador de llamadas y la recolección urbana (dumpster diving). Entre estas y otras técnicas, más de 59,4 millones de estadounidenses fueron víctimas de vishing en el 2021. 69% de las compañías reportaron ataques de vishing durante ese año, un incremento respecto al 54% del año 2020. 

Wardialing

El wardialing involucra el escrutinio automatizado de grandes listas de números telefónicos, por ejemplo al llamar a todos los números dentro de un código de área específico. Los saludos de los buzones de voz que son capturados podrían revelar el nombre de los individuos, lo que significa que el estafador obtiene una lista de números y nombres que puede utilizar.

VoIP

Los estafadores pueden utilizar el VoIP para crear números falsos, lo que incluye números que aparenten pertenecer a la ubicación de la víctima. Esto puede ayudar a que los estafadores parezcan llamar desde un negocio local legítimo. Además, son casi imposibles de rastrear, lo que significa que los estafadores son menos propensos a ser descubiertos.

Recolección urbana

Los contenedores de reciclaje de computadoras pueden darle a los estafadores una gran cantidad de información que pueden utilizar en un ataque vishing para convencer a sus víctimas de que son confiables. Tanto las computadoras personales como los equipos empresariales pueden ser cofres del tesoro con esa información. 

Estafas de vishing más comunes

Los estafadores pueden utilizar las técnicas mencionadas para realizar una gran variedad de estafas de vishing. A continuación presentamos algunos de los ejemplos de estafas de vishing más comunes. 

Cuenta bancaria o tarjeta de crédito “comprometida”

Una estafa habitual que utilizan los estafadores es llamar a la víctima y decirle que su cuenta bancaria o su tarjeta de crédito han sido comprometidas. Los estafadores atemorizan a la víctima diciéndole que se han efectuado compras o retiros de dinero no autorizados y la presionan para que «confirme» datos como el número de cuenta, la dirección y otros. Entre la falsificación del número de teléfono desde el que llaman (para que parezca que la llamada procede de un número auténtico de un banco o de una empresa de tarjetas de crédito) y el uso de la presión del tiempo, esta puede ser una estafa de vishing muy eficaz.

Los estafadores pueden utilizar la estafa de la cuenta «comprometida» tanto con particulares como con empleados. Por ello, las empresas deben asegurarse de que todos los empleados con acceso a cuentas bancarias o datos de tarjetas corporativas sean conscientes del peligro potencial que supone el vishing.

Préstamo no solicitado u ofertas de inversión

Otra estafa común de vishing es aquella en la que el estafador ofrece al objetivo un préstamo no solicitado, una tarjeta de crédito o una oportunidad de inversión. Normalmente, las condiciones son especialmente favorables, como un tipo de interés bajo o un largo periodo sin intereses para un préstamo o una tarjeta de crédito, o la posibilidad de obtener beneficios rápidos e impresionantes de una inversión. El estafador dice a la víctima que esta oferta en concreto sólo estará disponible durante muy poco tiempo, por lo que debe actuar con rapidez para aprovecharla, lo que incluye facilitar sus datos personales para contratar el préstamo, la tarjeta o la inversión. Una vez más, es la presión del tiempo lo que anima a la víctima a actuar con rapidez y facilitar sus datos sin pensar detenidamente en lo que está haciendo.

Estafa de Medicare o número de seguridad social

En esta estafa, el estafador informa a la víctima de que hay un problema urgente con su número de Medicare o su número de seguridad social. Si la víctima no ayuda a resolver el problema rápidamente, es probable que las consecuencias sean graves. Sólo tiene que confirmar primero algunos datos, como su nombre completo, fecha de nacimiento, dirección, número de seguridad social, número de Medicare, etc.

Estafa de la agencia tributaria

En una serie de estafas de vishing, los estafadores se hacen pasar por representantes del Servicio de Impuestos Internos (IRS) o de otro departamento gubernamental. Pueden afirmar que hay un problema con una declaración de impuestos, que la víctima debe un reembolso o que hay un pago atrasado. En todos estos casos, presionan a la víctima para que actúe con rapidez, acción que implica confirmar numerosos datos personales.

Estafa de reembolso

Para llevar a cabo la estafa del vishing de reembolso, el estafador le dice a la víctima que le corresponde un reembolso por parte de una empresa legítima. Todo lo que se necesita son unos pocos datos personales para confirmar y procesar el reembolso, todo lo cual debe hacerse con urgencia para que el reembolso pueda tramitarse antes de que se agote un plazo breve.

Una estafa similar es aquella en la que el estafador dice a la víctima que ha ganado un premio, en lugar de un reembolso. Una vez más, lo único que deben hacer para reclamarlo es facilitar sus datos antes de que finalice un plazo inminente.

Conoce cómo las APIs de detección del fraude te pueden ayudar a estar protegido

Conoce cómo funcionan las APIs de SEON, sus beneficios y cómo pueden ponerle un alto al fraude en tu compañía.

Pide una Demo

Cómo identificar una estafa de vishing

Los negocios pueden ayudar a sus empleados a identificar señales de las estafas de vishing para que los individuos permanezcan alerta a cualquier elemento sospechoso. Algunos puntos clave a considerar incluyen:

Llamadas no solicitadasSi una llamada no se esperaba, considera eso como la primera señal de alerta.
Llamadas computarizadasSi existe un problema real con una cuenta, la compañía responsable por ella no usará un servicio de llamadas automatizadas. En todo caso, recibirías una llamada de una persona real y no de una máquina.
Solicitudes de informaciónLas llamadas legítimas de bancos, compañías de tarjetas de crédito, departamentos gubernamentales y otros no solicitan cosas como los detalles de las cuentas bancarias o números de seguridad social. 
Presión del tiempoSi la persona que te llama te dice que debes actuar rápido o habrá graves consecuencias, desconfía y reflexiona un momento.
Ofertas poco realistasDesde préstamos con términos increíbles hasta oportunidades de inversión con retornos asombrosos, si suena demasiado bueno para ser verdad, probablemente no lo sea. 

Cómo protegerse contra el vishing

El primer paso para protegerse contra el vishing es tomar conciencia de su existencia. Las empresas deben incluir información sobre el vishing (junto con el phishing y el smishing) en la capacitación periódica de sus equipos en materia de ciberseguridad.

Las empresas también deben disponer de procedimientos para garantizar que cualquier intento de vishing fracase. Por ejemplo, deben exigir a los empleados que verifiquen la identidad de cualquier llamada no solicitada devolviéndoles la llamada, y no a un número proporcionado por la persona que llama. Los empleados también deben tener claro que nunca se les permite compartir determinada información por teléfono, como datos bancarios o tarjetas de empresa. Y deben informar de cualquier llamada sospechosa siguiendo los procedimientos de la compañía.

Los particulares también deben seguir estas directrices, en cuanto a verificar la identidad de la persona que llama y no compartir sus datos, para reducir al mínimo las posibilidades de convertirse en víctimas del vishing.