Vishing ¿Qué es?

El vishing es la abreviatura de “voice phishing” o suplantación de identidad por voz. Consiste en engañar a las personas a través de llamadas telefónicas para que revelen información confidencial, como datos personales, credenciales de acceso o información financiera.

El objetivo final de los atacantes es beneficio económico o el robo de identidad.

Diferencias con otros ataques de ingeniería social

• Vishing: se realiza por llamadas de voz (líneas fijas, celulares o VoIP).
• Phishing: se ejecuta mediante correos electrónicos falsos.
• Smishing: utiliza mensajes SMS o de mensajería instantánea.

En todos los casos, el atacante emplea técnicas de ingeniería social, apelando a emociones como miedo, urgencia o codicia para que la víctima entregue información privada.

¿Por qué se realizan ataques de vishing?

Los delincuentes aprovechan que, en una llamada telefónica, no hay mecanismos físicos confiables de verificación de identidad. A diferencia de una interacción cara a cara, por teléfono el engaño depende únicamente de lo que el atacante dice.

Por eso, los ataques de vishing suelen ser más fáciles de ejecutar que las estafas presenciales y pueden dirigirse a un gran número de personas rápidamente.

Ejemplos de ataques de vishing comunes

• Cuentas bancarias o tarjetas comprometidas: los atacantes obtienen datos financieros para retirar dinero o realizar compras.
• Ofertas falsas de inversión o préstamos: convencen a la víctima de entregar información personal bajo promesas atractivas.
• Estafas relacionadas con salud (Medicare o seguridad social): suelen dirigirse a adultos mayores, aprovechando su vulnerabilidad.
• Fraudes fiscales (ejemplo IRS): generan miedo de sanciones para obtener datos personales.

Cómo identificar un ataque de vishing

• Sentido de urgencia o pánico: presión para actuar rápido.
• Solicitud de información personal: indicio de estafa.
• Suplantación de entidades confiables: como instituciones de salud, bancos o autoridades

Medidas de prevención

• No responder llamadas sospechosas y dejar que vayan al buzón de voz.
• Colocarse en el Registro Nacional de No Llamar para reducir llamadas no deseadas.
• Colgar inmediatamente en caso de duda.
• No presionar botones ni responder preguntas en llamadas automatizadas.
• Verificar la identidad del supuesto emisor a través de canales oficiales.

Cómo recuperarse de un ataque de vishing

• Si se entregó información financiera: contactar de inmediato al banco o institución afectada.
• En entornos empresariales: informar al equipo de respuesta a incidentes.
• Monitorear dispositivos personales: con protección avanzada contra malware.
• Buscar asesoría con la institución financiera: para reforzar la seguridad de la cuenta comprometida.

Soluciones de Sophos contra Vishing

Las organizaciones pueden reducir significativamente el riesgo de ataques de vishing y otras amenazas de ingeniería social mediante un enfoque de ciberseguridad en capas con tecnologías de Sophos:

• Sophos Intercept X: protege endpoints contra intentos de explotación derivados de malware distribuido tras un ataque de ingeniería social.
• Sophos Email Security: filtra correos fraudulentos que suelen ser el primer paso antes de ataques de vishing.
• Sophos Phish Threat: capacita a empleados con simulaciones de vishing, phishing y smishing, elevando la conciencia de seguridad.
• Sophos Managed Detection and Response (MDR): ofrece monitoreo 24/7 con analistas que pueden detectar patrones sospechosos y detener ataques antes de que evolucionen.