¿Qué es el vishing?

Cómo funciona el vishing: técnicas y tácticas 

Los ataques de vishing son cada vez más sofisticados y aprovechan tanto la tecnología como la ingeniería social para explotar las vulnerabilidades humanas. A continuación se presentan algunas de las técnicas y tácticas más comunes utilizadas por los ciberdelincuentes para llevar a cabo ataques de vishing:

Suplantación del identificador de llamadas 

Los atacantes manipulan los sistemas de telecomunicaciones para falsificar la información del identificador de llamadas, haciendo que parezca que la llamada procede de una fuente de confianza, como un banco, una agencia gubernamental o incluso un colega. Esta táctica baja las defensas del objetivo dando un aire de credibilidad a la interacción. Como resultado, los métodos tradicionales de autenticación ligados a la identificación de la persona que llama se vuelven menos confiables, lo que acentúa la necesidad de medidas más avanzadas de verificación de la identidad.

Pretexting 

En el "pretexting", el atacante fabrica un escenario creíble, o "pretexto", para convencer al objetivo de que revele información confidencial. Podría tratarse de una falsa alerta de fraude bancario o de una supuesta llamada del servicio de atención al cliente solicitando la verificación de la cuenta. El éxito del pretexting depende en gran medida de la capacidad del atacante para crear una sensación de urgencia o autoridad, incitando a la víctima a actuar sin cuestionarse a fondo la situación. El análisis del comportamiento impulsado por la IA puede ayudar a identificar estas señales de ingeniería social antes de que se conviertan en violaciones a gran escala.

Explotación de VoIP 

Los sistemas de voz sobre protocolo de Internet (VoIP) han facilitado y abaratado a los atacantes la realización de grandes volúmenes de llamadas desde cualquier parte del mundo. Los servicios de VoIP suelen ser menos seguros que las líneas telefónicas tradicionales, lo que los convierte en un objetivo privilegiado para que los ciberdelincuentes enmascaren su identidad y ubicación. Los atacantes pueden utilizar la inteligencia artificial para automatizar y escalar estas operaciones, aumentando la velocidad y el alcance de sus campañas. Proteger las comunicaciones VoIP es clave para reducir la superficie de ataque en incidentes de vishing.

Ataques de respuesta de voz interactiva (IVR) 

Los sistemas de respuesta vocal interactiva (IVR) -sistemas automatizados que interactúan con los usuarios a través de la voz o las entradas del teclado- son utilizados habitualmente por las empresas para todo tipo de tareas, desde la atención al cliente hasta el acceso seguro a cuentas. Los ataques de vishing pueden dirigirse a estos sistemas engañando a los usuarios para que introduzcan información confidencial, como códigos PIN o contraseñas, a través de una interfaz IVR comprometida o fraudulenta. Los mecanismos avanzados de detección de amenazas pueden supervisar patrones inusuales en las interacciones IVR para ayudar a identificar y mitigar estas amenazas en tiempo real.

Ataques de phishing impulsados por la IA

La inteligencia artificial (IA) se utiliza cada vez más como un arma en el mundo de los ciberataques, lo que permite utilizar técnicas más sofisticadas que pueden engañar incluso a los usuarios más atentos. En lo que respecta al phishing, la IA amplifica la capacidad de los atacantes para escalar, personalizar y manipular a sus objetivos, lo que hace que el vishing sea más peligroso que nunca.

Clonación de voz

La clonación de voz impulsada por inteligencia artificial se ha convertido en un elemento innovador para los ataques de vishing. Los ciberdelincuentes ahora pueden replicar la voz de una persona de confianza, como un ejecutivo de una empresa o un miembro de la familia, utilizando solo unos minutos de audio grabado. Con esta tecnología, los atacantes pueden hacer que sus intentos de vishing sean mucho más convincentes, engañando a las víctimas para que divulguen información confidencial o autoricen transacciones fraudulentas.

Videollamadas con Deepfake

Más allá de la simple manipulación de voz, la IA también puede crear videollamadas falsas en las que los atacantes se hacen pasar por alguien en tiempo real. Estos ataques de vishing basados en video son especialmente eficaces en entornos de trabajo remotos, donde a menudo se confía en las señales visuales durante las reuniones virtuales. Al imitar la apariencia y la voz de una persona conocida, los atacantes pueden orquestar esquemas de ingeniería social muy convincentes.

Llamadas automáticas

Las llamadas automáticas impulsadas por la IA han evolucionado de simples mensajes automatizados a interacciones dinámicas que imitan la conversación humana. Utilizando el procesamiento del lenguaje natural (PLN), estas llamadas pueden responder de manera inteligente a los comentarios de las víctimas, haciendo que la interacción parezca más auténtica. Esto permite a los atacantes escalar sus intentos de vishing, llegando a cientos o miles de víctimas potenciales en un período corto.

Minería de datos de IA para el vishing selectivo

La IA puede cribar grandes cantidades de datos disponibles públicamente, como perfiles de redes sociales, sitios web de empresas y bases de datos filtradas, para crear ataques de vishing altamente selectivos. Al crear perfiles detallados de víctimas potenciales, los ciberdelincuentes pueden diseñar intentos de vishing personalizados que parezcan creíbles y relevantes, lo que aumenta la probabilidad de éxito. El resultado es un ataque más focalizado que aprovecha las circunstancias o relaciones específicas de la víctima. 

A medida que la IA continúa evolucionando, también lo hacen las amenazas que plantean estas técnicas avanzadas de vishing. Las organizaciones deben mantenerse a la vanguardia adoptando soluciones de seguridad impulsadas por la IA que puedan detectar y contrarrestar estos riesgos emergentes.

Al comprender estas técnicas, las organizaciones pueden anticipar y mitigar mejor los riesgos asociados con el vishing, especialmente a medida que los delincuentes continúan desarrollando sus métodos.

¿Por qué el vishing es una amenaza creciente?

El vishing se utiliza cada vez más debido a la creciente sofisticación de los ciberdelincuentes, así como a la dependencia generalizada de la comunicación móvil. Los atacantes están aprovechando tácticas avanzadas de ingeniería social para explotar la vulnerabilidad humana, a menudo eludiendo las medidas de seguridad tradicionales. Ahora que las personas están más conectadas que nunca, especialmente con el aumento del trabajo a distancia, los estafadores están encontrando nuevas maneras de manipular a las personas para que revelen información confidencial por teléfono.

Además, la accesibilidad a datos personales en la web ha permitido a los atacantes diseñar intentos de vishing muy convincentes y dirigidos. Los ciberdelincuentes ahora pueden recopilar fácilmente suficientes datos personales para simular legitimidad, lo que hace más difícil incluso para las personas más atentas detectar una estafa. A medida que avanza la tecnología de la IA, los propios atacantes están utilizando herramientas de aprendizaje automático y de síntesis de voz para crear suplantaciones aún más realistas de entidades de confianza, lo que amplifica aún más el desafío tanto para las organizaciones como para las personas. De hecho, en el último año, los ataques de phishing impulsados por la IA (incluido el vishing) han aumentado un 60 %.

Ejemplos de la vida real

Las sofisticadas campañas de vishing se están volviendo populares en todo el mundo, y los cibercriminales utilizan la psicología y la tecnología para estafar incluso a las víctimas más astutas por millones de dólares. Por ejemplo, Corea del Sur ha experimentado un aumento de ataques vishing, incluido un caso en agosto de 2022 en el que un médico perdió 3 millones de dólares en efectivo, seguros, acciones y criptomonedas a delincuentes. En este caso, los estafadores se hicieron pasar por funcionarios de las fuerzas de seguridad regionales en Corea del Sur; sin embargo, ThreatLabz observó (y frustró) un ataque de vishing muy cerca de nosotros en 2023.

En otro ejemplo, un empleado de finanzas de Hong Kong pagó 25 millones de dólares tras una videollamada con un "director financiero” suplantado con deepfake en una videoconferencia. El actor engañó al empleado para que asistiera a una videollamada con quienes él creía que eran varios miembros del personal, pero en realidad eran recreaciones hechas con deepfake.

En el verano de 2023, unos atacantes se hicieron pasar por el director general de Zscaler, Jay Chaudhry, en un ataque de vishing con tecnología de IA. Se desarrolló de esta manera:

1. El atacante llamó a un empleado de Zscaler por WhatsApp.
2. Utilizando la clonación de voz generada por IA para simular la voz de Jay, el atacante estableció comunicación y luego colgó rápidamente para evitar una interacción prolongada y una posible exposición.
3. El atacante inmediatamente siguió con un mensaje de texto, haciéndose pasar por Jay, afirmando tener "mala cobertura de red".
4. En un mensaje de texto de WhatsApp, el atacante ordenó al empleado de Zscaler que comprara tarjetas regalo por un importe determinado.
5. El empleado encontró esto sospechoso e inmediatamente lo informó al equipo de seguridad.
6. Los investigadores de ThreatLabz investigaron y descubrieron que era parte de una campaña generalizada dirigida a varias empresas de tecnología.

Para combatir eficazmente esta creciente amenaza, la ciberseguridad debe ir más allá de las defensas tradicionales. Los sistemas impulsados por inteligencia artificial que pueden detectar patrones sospechosos en tiempo real y evaluar el riesgo a un nivel granular se están volviendo esenciales. Al integrar capacidades avanzadas de gestión de riesgos, las organizaciones pueden protegerse mejor a sí mismas y a sus empleados para evitar ser víctimas de ataques de vishing cada vez más sofisticados.

Escenarios comunes de vishing

Los ataques de vishing se presentan de muchas formas, cada una diseñada para explotar la confianza y convencer a las víctimas de que compartan información confidencial. He aquí algunas de las tácticas más comunes utilizadas por los ciberdelincuentes:

• Estafas de fraude bancario: Las personas que llaman se hacen pasar por representantes del banco y afirman que su cuenta ha sido comprometida. Le presionan para que facilite datos personales o incluso para que transfiera fondos a una cuenta "segura".
• Estafas de soporte técnico: Los estafadores se hacen pasar por el servicio técnico de empresas de renombre, advierten de la presencia de malware en su dispositivo y solicitan acceso remoto para "solucionar" el problema, lo que en realidad es una estratagema para robar datos o instalar software malicioso.
• Estafas de Hacienda/impuestos: Los atacantes afirman ser de Hacienda o de las autoridades fiscales, amenazando con arrestos o acciones legales a menos que pague una factura pendiente, a menudo a través de métodos imposibles de rastrear como tarjetas regalo o transferencias bancarias.
• Fraude del CEO (Compromiso del correo electrónico empresarial): Los ciberdelincuentes se dirigen a los empleados haciéndose pasar por altos ejecutivos, dándoles instrucciones para que realicen transferencias urgentes o revelen información confidencial de la empresa, a menudo bajo el pretexto de una emergencia.

Vishing vs. Phishing vs. Smishing

Si bien los tres (vishing, phishing y smishing) son formas de ataques de ingeniería social diseñadas para manipular a las víctimas para que divulguen información confidencial, difieren principalmente en sus métodos y las tácticas específicas utilizadas para explotar la confianza humana. Comprender estas distinciones es crucial para desarrollar una estrategia de seguridad sólida y proactiva, especialmente a medida que los ciberdelincuentes continúan desarrollando sus técnicas. 

Phishing

Posiblemente el más conocido de los tres, el phishing suele consistir en correos electrónicos fraudulentos que se hacen pasar por entidades auténticas, como empresas, organismos gubernamentales o personas de confianza. El objetivo de los ataques de phishing generalmente es robar credenciales de inicio de sesión, información financiera u otros datos confidenciales. 

El phishing a menudo aprovecha una sensación de urgencia o miedo, lo que lleva a la víctima a hacer clic en enlaces maliciosos o descargar archivos adjuntos infectados. Ya que el correo electrónico sigue siendo una herramienta de comunicación principal tanto en contextos personales como profesionales, los ataques de phishing tienen un amplio alcance y pueden ser devastadores si no se detectan a tiempo.

Smishing

El smishing es una evolución más reciente del phishing que se dirige a las personas a través de SMS o mensajes de texto. Al igual que los correos electrónicos de phishing, los mensajes de smishing a menudo parecen provenir de fuentes confiables (como bancos, servicios de entrega o incluso compañeros de trabajo) y, por lo general, incluyen un enlace malicioso o una solicitud para compartir información confidencial. 

Este método es especialmente peligroso porque aprovecha la inmediatez y la naturaleza casual de los mensajes de texto, por lo que es más probable que los usuarios respondan rápidamente y sin sospechas. Dada la ubicuidad de los teléfonos inteligentes y la creciente dependencia de las comunicaciones basadas en SMS, los ataques de smishing han aumentado rápidamente.

Vishing

Como se definió anteriormente en este artículo, el vishing utiliza la comunicación de voz, generalmente a través de llamadas telefónicas, para manipular a las víctimas. Los atacantes pueden hacerse pasar, ya sea a través de texto o tecnología de clonación de voz de IA, por figuras de autoridad como funcionarios fiscales, trabajadores de soporte técnico o incluso familiares en apuros. 

Su objetivo suele ser el mismo que el del phishing y el smishing: extraer información confidencial, como contraseñas o números de tarjetas de crédito, o convencer a la víctima de realizar acciones específicas, como transferir fondos. El vishing tiene la capa adicional de explotar directamente la psicología humana a través de una conversación en tiempo real, lo que hace más difícil para las víctimas detenerse y evaluar críticamente la situación.

Diferencias clave en los vectores y tácticas de ataque

El phishing opera predominantemente a través del correo electrónico, lo que lo convierte en una forma escrita de engaño. Los atacantes a menudo utilizan plantillas de correo electrónico y logotipos bien elaborados para imitar organizaciones legítimas. Estos correos electrónicos suelen contener enlaces o archivos adjuntos maliciosos que explotan vulnerabilidades en el sistema del destinatario una vez que se hace clic en ellos o se descargan.

El smishing aprovecha los SMS, un medio conocido por su brevedad y urgencia. Los mensajes suelen contener URL acortadas para camuflar enlaces maliciosos, y los usuarios pueden estar más inclinados a confiar en los textos debido a la naturaleza personal de los dispositivos móviles.

El vishing se basa en la interacción de voz, lo que puede agregar una capa de presión o manipulación emocional que no se transmite tan fácilmente a través del texto. Los atacantes pueden usar tácticas como falsificar números de teléfono para hacer que la llamada parezca provenir de una fuente auténtica, como una agencia gubernamental o una institución conocida.

Cómo protegerse a sí mismo y a su organización del vishing

Los ataques de vishing son cada vez más sofisticados, pero hay medidas claras que su organización puede tomar para mitigar el riesgo. La implementación de las estrategias adecuadas puede ayudar a proteger la información personal y corporativa de las amenazas de phishing basadas en voz.

Capacitación sobre concientización en materia de seguridad 

Es fundamental educar periódicamente a los empleados sobre las tácticas de vishing. Los programas de capacitación integrales pueden enseñar al personal a reconocer señales de alerta como llamadas no solicitadas, tácticas de presión o solicitudes de información confidencial. La concientización es la primera línea de defensa para prevenir ataques exitosos.

Procedimientos de autenticación de llamadas 

La implementación de procedimientos estrictos de autenticación de llamadas puede reducir la probabilidad de ser víctima de vishing. Asegúrese de que los empleados sigan los protocolos de verificación, como devolver la llamada a números oficiales y utilizar la autenticación multifactor (MFA) para confirmar la identidad de la persona que llama antes de compartir cualquier información confidencial.

Uso de tecnología antispam 

Aproveche las tecnologías de filtrado de llamadas y antispam impulsadas por la IA para bloquear llamadas sospechosas o no solicitadas antes de que lleguen a su equipo. Estas herramientas pueden analizar patrones y detectar posibles intentos de phishing, proporcionando una capa adicional de protección contra ataques de vishing.

Planes de respuesta a incidentes 

Contar con un plan de respuesta a incidentes sólido es esencial para minimizar el daño si se produce un ataque de vishing. Asegúrese de que su organización disponga de protocolos claros para informar de llamadas sospechosas e investigar posibles violaciones, de modo que se puedan tomar medidas rápidas para contener cualquier amenaza.

Inteligencia artificial, seguridad e inteligencia de amenazas 

La incorporación de soluciones de seguridad impulsadas por la IA puede mejorar la capacidad de su organización para detectar y responder a campañas de vishing en tiempo real. Al aprovechar la inteligencia sobre amenazas, estos sistemas pueden identificar métodos de vishing emergentes, lo que permite defensas proactivas que evolucionan a medida que cambia el panorama de amenazas.

Mirando hacia el futuro: la importancia de un enfoque Zero Trust en capas 

El phishing, el smishing y el vishing explotan el eslabón más débil de la ciberseguridad: el comportamiento humano. Para combatir eficazmente estas amenazas, las organizaciones deben adoptar un enfoque Zero Trust, asumiendo que ninguna comunicación, plataforma o usuario es inherentemente confiable. 

Este cambio de paradigma requiere una estrategia de defensa multicapa que integre la supervisión impulsada por la IA, la autenticación continua y la protección de los puntos finales. Al combinar la educación de los usuarios con tecnología de vanguardia, las organizaciones pueden mantenerse a la vanguardia de los atacantes y reducir significativamente el riesgo de ser víctimas de la ingeniería social. 

A medida que estas tácticas maliciosas evolucionan, también deben hacerlo las defensas, garantizando que cada correo electrónico, mensaje de texto y llamada telefónica se examine con el mismo nivel de diligencia y escepticismo. Aunque el phishing, el smishing y el vishing presentan distintos desafíos, una estrategia de seguridad unificada y mejorada con IA puede ayudar a mitigar los riesgos que plantean los tres, fomentando un entorno digital más resistente y seguro.

Cómo puede ayudar Zscaler

Para defenderse eficazmente contra el cambiante panorama de las amenazas, las organizaciones deben integrar controles avanzados de prevención del phishing en las estrategias Zero Trust. A la vanguardia de esta estrategia de defensa se encuentra el Zscaler Zero Trust Exchange™, desarrollado sobre una sólida arquitectura Zero Trust.

Al adoptar un enfoque integral de la ciberseguridad, Zero Trust Exchange frustra eficazmente tanto los ataques de phishing convencionales como los impulsados por inteligencia artificial en múltiples etapas de la cadena de ataque con:

Prevención de phishing y C2 basada en IA

Los modelos de IA de Zscaler detectan sitios de phishing conocidos y de paciente cero para evitar el robo de credenciales y la explotación del navegador, además de analizar patrones de tráfico, comportamiento y malware para detectar en tiempo real infraestructura de comando y control (C2) nunca antes vista.

Defensa sandbox de IA basada en archivos 

El Zscaler Sandbox en línea impulsado por la IA detecta instantáneamente archivos maliciosos mientras mantiene la productividad de los empleados. Nuestra tecnología AI Instant Verdict identifica, pone en cuarentena y previene instantáneamente archivos maliciosos de alta confianza (incluyendo amenazas de día cero) mientras elimina la necesidad de esperar al análisis de estos archivos.

IA para bloquear amenazas web 

Zscaler Browser Isolation, impulsado por la IA, bloquea las amenazas de día cero y al mismo tiempo garantiza que los empleados puedan acceder a los sitios adecuados para realizar su trabajo. Nuestra AI Smart Isolation puede identificar cuándo un sitio puede ser riesgoso y abrirlo de manera aislada para el usuario, transmitiendo el sitio como píxeles en un entorno seguro y contenido.

¿Quiere ver la potente defensa contra el phishing de Zscaler en acción? Programe una demostración personalizada con uno de nuestros expertos y permítanos mostrarle cómo Zscaler protege contra las amenazas basadas en IA más avanzadas.