Recibe una llamada. La persona que llama se presenta como alguien del banco, de la agencia tributaria o del departamento de TI de su propia organización. La voz suena profesional, la historia es creíble y hay prisa. En menos de tres minutos ha compartido información que normalmente nunca daría a una persona desconocida. Bienvenido al mundo del voice phishing.
Definición: voice phishing (vishing)
El voice phishing, abreviado como vishing, es una forma de ingeniería social en la que un atacante intenta obtener información sensible por teléfono. A diferencia del phishing por correo electrónico, donde la víctima debe hacer clic en un enlace, el vishing es una interacción directa y personal. El atacante adapta su historia en tiempo real según las respuestas de la víctima.
¿Cómo funciona un ataque de vishing?
Un ataque típico de vishing se desarrolla en cuatro fases: preparación, contacto, manipulación y explotación. El atacante recopila información sobre el objetivo por adelantado, contacta haciéndose pasar por una parte de confianza, aplica presión psicológica y aprovecha la información obtenida.
¿Por qué es tan eficaz el vishing?
Su eficacia se basa en tres pilares: la interacción humana, porque una voz genera confianza; la velocidad de la conversación, que deja poco tiempo para pensar; y la dificultad de detección técnica, ya que no existe un filtro antispam para llamadas telefónicas.
¿Qué puede hacer?
Establezca un protocolo de verificación, forme regularmente a sus empleados con escenarios realistas, evalúe la resiliencia mediante mystery calls y fomente una cultura en la que las llamadas sospechosas se reporten.
