Scroll Top

Vishing, tendencias que llegan desde USA

Spoofing es una técnica utilizada en vishing
Tiempo de lectura: 9 minutos

Uno de los peligros cibernéticos crecientes es el vishing o phishing vocal, una sofisticada forma de engaño telefónico que combina técnicas de ingeniería social y tecnología para estafar a las personas. Este método de fraude, que se basa en llamadas telefónicas o mensajes de voz para engañar a las víctimas y obtener información sensible, está ganando notoriedad y complejidad, convirtiéndose en una preocupación significativa tanto para individuos como para empresas.

En Estados Unidos, el vishing ha experimentado un aumento alarmante, con atacantes que emplean estrategias cada vez más ingeniosas para burlar las defensas de seguridad. Las empresas y los consumidores se enfrentan a desafíos sin precedentes para proteger su información personal y financiera.

Lo que sucede en Estados Unidos en términos de tendencias y tácticas de ciberseguridad a menudo sirve como un indicador de lo que podría extenderse a otras partes del mundo, incluida España. Con la globalización y la interconexión digital, las tácticas y amenazas que emergen en un país rápidamente encuentran su camino a través de las fronteras, haciendo que sea esencial para los usuarios y las empresas en España estar conscientes y preparados para estos tipos de ataques.

La adaptación y el aprendizaje continuo son clave en la lucha contra el vishing. Al observar y entender cómo evoluciona esta amenaza en un contexto internacional, especialmente en un mercado tecnológicamente avanzado como el de Estados Unidos, podemos anticipar y fortalecer nuestras estrategias de defensa en España, adaptándolas a nuestro contexto específico y a las particularidades de nuestras infraestructuras digitales y hábitos de consumo.

Tendencias actuales en Estados Unidos

Las técnicas de vishing en Estados Unidos están evolucionando constantemente, adaptándose a nuevas tecnologías y explotando vulnerabilidades emergentes en la comunicación digital. Una de las tendencias más alarmantes es el uso de tecnologías sofisticadas como la inteligencia artificial y el deepfake de voz para crear llamadas más convincentes y personalizadas.

Los estafadores están empleando IA para simular voces de personas reales, incluyendo autoridades o representantes de empresas conocidas. Esto eleva el nivel de engaño, haciendo que las llamadas de vishing sean más difíciles de identificar.

El spoofing de identificación de llamadas intenta alterar la información del identificador de llamadas para que parezca que la llamada proviene de una fuente confiable o local. Los atacantes pueden hacer que su número aparezca como si perteneciera a una institución bancaria, un proveedor de servicios o incluso agencias gubernamentales.

Por otra parte, algunos ataques de vishing se centran en obtener códigos de autenticación de dos factores, aprovechando un paso crítico en los procesos de seguridad de muchas cuentas en línea.

En cuanto a estadísticas y datos recientes:

  • Se ha informado de un aumento significativo en los ataques de vishing, especialmente desde el inicio de la pandemia de COVID-19, lo que ha llevado a un incremento en el trabajo remoto y la dependencia de la comunicación digital.
  • Según un informe de 2023, los ataques de vishing han aumentado en más de un 25% en comparación con años anteriores.
  • El FBI y la Comisión Federal de Comercio de EE. UU. han emitido advertencias sobre el aumento de los ataques de vishing, señalando un aumento en las pérdidas financieras relacionadas, que a menudo alcanzan millones de dólares cada año.
  • Los sectores más afectados incluyen finanzas, salud y comercio minorista, donde la información personal y financiera es especialmente valiosa.

Estas tendencias demuestran la necesidad de una mayor conciencia y educación sobre la seguridad cibernética, tanto para individuos como para organizaciones.

¿Deseas contactar con un especialista en transformación digital?

Los smartphone son herramientas más proclives a sufrir vishing
Los smartphone son herramientas más proclives a sufrir vishing

Casos recientes de vishing en Estados Unidos

Los recientes ataques de vishing en Estados Unidos han demostrado no solo la sofisticación de los estafadores sino también su capacidad de adaptación a nuevas tecnologías y circunstancias sociales. A continuación, se analizan ejemplos específicos de estas campañas, destacando los métodos y tácticas empleados:

  1. Ataque a través de mensajes de voz falsificados: Uno de los casos más notorios involucró mensajes de voz que parecían provenir de instituciones bancarias reconocidas. Estos mensajes instaban a las víctimas a llamar a un número proporcionado para “verificar transacciones sospechosas” en sus cuentas. Al llamar, las víctimas eran engañadas para revelar información confidencial, como números de cuenta y claves de acceso.
  2. Campaña de deepfake de Voz: Se reportó un caso donde los atacantes utilizaron tecnología de deepfake para simular la voz de un alto ejecutivo de una empresa, solicitando a los empleados transferencias urgentes de fondos. La similitud de la voz con la del ejecutivo real fue lo suficientemente convincente como para engañar a varios empleados.
  3. Vishing y COVID-19: Con el inicio de la pandemia, se detectó un aumento en las estafas relacionadas con el COVID-19. Los atacantes se hacían pasar por autoridades sanitarias ofreciendo pruebas del virus o vacunas a cambio de información personal y detalles de tarjetas de crédito.
  4. Spoofing de identificación de llamadas en agencias gubernamentales: En otro caso, los estafadores usaron técnicas de spoofing para hacer parecer que sus llamadas provenían de agencias gubernamentales, como el IRS (Servicio de Impuestos Internos). Las víctimas eran presionadas para pagar supuestas deudas fiscales o enfrentar consecuencias legales.
  5. Estafas de soporte técnico: Este método implica llamadas de personas que se hacen pasar por técnicos de empresas reconocidas como Microsoft o Apple. Los estafadores alertan sobre supuestos virus o problemas en los equipos de las víctimas, obteniendo acceso remoto a los dispositivos y, posteriormente, a información sensible.

Los métodos de vishing pueden variar desde tácticas de miedo y urgencia hasta el uso de tecnologías avanzadas como el deepfake de voz. La constante en todos estos ejemplos es el aprovechamiento de la confianza y la falta de sospecha de las víctimas.

Implicaciones para España

La observación de las tendencias de vishing en Estados Unidos sugiere una posible traslación de estas tácticas a España, teniendo en cuenta que los patrones de ciberdelincuencia suelen expandirse globalmente. A continuación, exploramos cómo estas tendencias podrían manifestarse en el contexto español y comparamos la situación actual de ciberseguridad en ambos países.

  1. Adaptación de técnicas a la realidad española: Los ciberdelincuentes suelen adaptar sus estrategias a contextos locales. En España, esto podría implicar el uso de tácticas de vishing que se aprovechen de temas de actualidad nacional, como cambios en la legislación o eventos nacionales significativos.
  2. Uso de tecnología avanzada: La tendencia de usar tecnología de deepfake y spoofing en llamadas podría replicarse en España. Esto supone un desafío mayor para las empresas y los consumidores, quienes deben estar más alerta ante llamadas que aparentan ser de fuentes fiables.
  3. Concienciación y preparación: Aunque España ha avanzado en concienciación sobre ciberseguridad, el escenario en EE.UU. destaca la necesidad de intensificar la formación y las medidas preventivas, tanto en empresas como en usuarios individuales.
  4. Respuesta de las autoridades: En Estados Unidos, la respuesta a estos ataques incluye la implementación de marcos regulatorios como STIR/SHAKEN para combatir el spoofing de llamadas. España podría considerar medidas similares o reforzar las ya existentes para combatir estas estafas.
  5. Colaboración internacional en ciberseguridad: Dada la naturaleza global de los ciberataques, la colaboración entre España y Estados Unidos, así como con otros países, es crucial. Compartir información sobre tácticas de vishing y estrategias de respuesta puede ser un paso importante para anticipar y contrarrestar estas amenazas.
  6. Impacto en las PYMEs y grandes empresas: Tanto en EE.UU. como en España, las PYMEs pueden ser especialmente vulnerables al vishing debido a recursos de seguridad más limitados. Es vital que estas empresas adopten medidas proactivas para protegerse.

Prevención y protección

Protegerse del vishing requiere una combinación de medidas de seguridad, concienciación y el uso de herramientas adecuadas.

La educación y concienciación es la primera línea de defensa. Tanto las empresas como los usuarios individuales deben estar informados sobre qué es el vishing y cómo operan los estafadores. Realizar simulacros de vishing y proporcionar formación regular sobre seguridad puede aumentar significativamente la concienciación.

La verificación rigurosa antes de proporcionar cualquier información personal o financiera por teléfono. Si alguien dice llamar de una institución conocida, cuelga y llama directamente al número oficial de la entidad para confirmar la legitimidad de la solicitud.

El uso de tecnología anti-vishing. Existen herramientas y servicios que ayudan a identificar y bloquear llamadas fraudulentas. Estos sistemas pueden alertar a los usuarios sobre posibles estafas o bloquear automáticamente números conocidos por realizar vishing.

Políticas de seguridad en la empresa. Las empresas deben desarrollar políticas claras sobre el manejo de información sensible. Esto incluye limitar quién tiene acceso a información crucial y establecer procedimientos para la verificación de solicitudes inusuales.

Actualizaciones de Software y Seguridad. Mantener los sistemas actualizados con los últimos parches de seguridad es crucial. Esto incluye actualizar el software de seguridad, como firewalls y programas antivirus.

El fortalecimiento de las contraseñas y autenticación de dos factores. El uso de contraseñas fuertes y la autenticación de dos factores puede prevenir el acceso no autorizado a cuentas, incluso si los detalles de la cuenta son comprometidos.

La colaboración con autoridades. En caso de un intento de vishing, es importante reportarlo a las autoridades pertinentes. Esto no solo ayuda a investigar el incidente específico, sino que también contribuye a una base de datos más amplia para prevenir futuros ataques.

Recursos de educación y soporte. E recursos oficiales y plataformas en línea que ofrecen información y asistencia sobre ciberseguridad, incluyendo el vishing, como el Instituto Nacional de Ciberseguridad (INCIBE) en España.

Implementando estas estrategias y manteniéndose informado sobre las últimas tácticas de vishing, tanto individuos como empresas pueden fortalecer significativamente su protección contra estos engañosos y potencialmente costosos ataques

El papel de las autoridades y la legislación

El abordaje del vishing por parte de las autoridades y la legislación es un aspecto clave en la lucha contra este tipo de fraude cibernético. Tanto en EE.UU. como en España, se han implementado diversas medidas y acciones para combatir el vishing y proteger a los ciudadanos.

En Estados Unidos

  1. Adopción de tecnologías de autenticación de llamadas: La Comisión Federal de Comunicaciones (FCC) de EE.UU. ha implementado el marco STIR/SHAKEN, que obliga a los proveedores de servicios telefónicos a autenticar las llamadas y combatir la suplantación de identidad telefónica.
  2. Educación y sensibilización pública: Agencias como la Federal Trade Commission (FTC) llevan a cabo campañas de concienciación pública sobre vishing y otros fraudes telefónicos, ofreciendo recursos educativos y líneas directas para reportar fraudes.
  3. Colaboración Internacional: Las autoridades estadounidenses colaboran con organismos internacionales y policías de otros países en la persecución de redes de vishing que operan a nivel global.
  4. Legislación y penalizaciones: Se han implementado leyes específicas para penalizar el vishing y otras formas de phishing, tratando estos delitos como graves infracciones penales.

En España:

  1. Esquemas de reporte y sensibilización: El Instituto Nacional de Ciberseguridad (INCIBE) ofrece un servicio de atención a incidentes de seguridad, incluyendo el vishing, y realiza campañas de sensibilización para educar al público sobre riesgos y prevención.
  2. Cooperación con entidades financieras: Las autoridades españolas trabajan en estrecha colaboración con el sector bancario para detectar y prevenir fraudes financieros, incluyendo los cometidos a través del vishing.
  3. Marco legal: La legislación española, al amparo del Código Penal, contempla delitos relacionados con el fraude y la usurpación de identidad, aplicables a casos de vishing.
  4. Protección de datos personales: La Agencia Española de Protección de Datos (AEPD) asegura el cumplimiento del Reglamento General de Protección de Datos (RGPD), lo que incluye la seguridad de los datos personales que podrían verse comprometidos en ataques de vishing.

Comparativa de las medidas adoptadas en ambos países

Mientras que en EE.UU. se han enfocado en la implementación de tecnologías avanzadas como STIR/SHAKEN para la autenticación de llamadas y en una legislación específica para estos delitos, en España el énfasis se pone en la cooperación entre el sector público y privado y en la protección de datos personales bajo el RGPD. Ambos países reconocen la importancia de la educación y la sensibilización pública como herramientas fundamentales en la prevención del vishing.

Futuro del vishing y tendencias emergentes

El vishing, como forma de ataque cibernético, está en constante evolución, adaptándose a los cambios tecnológicos y a las medidas de seguridad. Las tendencias emergentes indican que el futuro del vishing podría ser aún más sofisticado y difícil de detectar, presentando nuevos desafíos tanto para individuos como para empresas.

  1. Uso de inteligencia artificial y deepfakes en vishing

Una tendencia preocupante es el uso potencial de la inteligencia artificial (IA) y la tecnología de deepfakes para crear llamadas de vishing más convincentes. Imagina recibir una llamada de un “familiar” o un “compañero de trabajo” que suena exactamente como ellos, pero en realidad es un audio generado por IA diseñado para engañarte. Estas tecnologías podrían aumentar significativamente la eficacia de los ataques de vishing, haciéndolos más creíbles y difíciles de identificar.

  1. Automatización y escalada de vishing

La automatización de llamadas de vishing es otra área de crecimiento. Los atacantes pueden utilizar sistemas automatizados para realizar un mayor volumen de llamadas, aumentando así sus posibilidades de éxito. Estos sistemas podrían incluso adaptarse y aprender de interacciones previas para mejorar su eficacia.

  1. Personalización a través de la recopilación de datos

El vishing del futuro probablemente se caracterizará por una mayor personalización. Con el acceso a grandes voles de datos personales disponibles en la dark web y en las redes sociales, los atacantes podrían personalizar sus tácticas para cada objetivo, aumentando así la probabilidad de éxito.

  1. Vishing a través de plataformas móviles y aplicaciones

A medida que aumenta la dependencia de los smartphones, es probable que veamos un aumento en los ataques de vishing dirigidos a través de aplicaciones de mensajería y plataformas móviles. Los estafadores podrían explotar las vulnerabilidades de seguridad en estas aplicaciones para lanzar ataques más efectivos.

  1. Expansión a nuevos sectores y demografías

Con la evolución de las tácticas de vishing, es probable que los atacantes amplíen su enfoque a nuevos sectores y demografías, incluyendo aquellos que anteriormente no eran considerados objetivos principales, como los jóvenes digitalmente nativos que pueden ser menos conscientes de los riesgos del vishing.

Impacto de las nuevas tecnologías

La introducción de nuevas tecnologías, como el 5G, que promete una mayor conectividad y velocidades de datos, podría ser un arma de doble filo. Si bien mejora la comunicación legítima, también podría permitir a los atacantes de vishing operar de manera más eficiente y en una escala mayor.