¿Has oído la historia de cómo los mensajes de phishing engañaron a los usuarios de Apple iMessage para que desactivaran la protección de sus teléfonos? Las nuevas variantes del malware Medusa también se dirigieron a usuarios de Android en siete países. UPS reveló una filtración de datos después de que la información expuesta de los clientes se utilizara en una campaña de phishing por SMS. El IRS también ha advertido a los estadounidenses sobre un aumento masivo en el número de ataques de phishing por SMS cada año. La extensión de Chrome de una empresa de ciberseguridad fue secuestrada para robar los datos de los usuarios.
Todos estos son casos de phishing y smishing. La suplantación de voz impulsada por la inteligencia artificial alimenta la próxima ola de ataques de phishing. Las noticias hablan constantemente de cómo los estafadores utilizan la clonación de voz y los deepfakes para robar millones de dólares a las organizaciones. Los gobiernos ya están emitiendo alertas de máxima alerta a los funcionarios sobre el intercambio de datos durante las llamadas telefónicas. El aviso también advertía a las víctimas de que los atacantes pueden manipular la información del identificador de llamadas para que parezca que la llamada proviene de un número oficial del gobierno.El vishing, el smishing y el phishing son modos de ataque sofisticados. Sin embargo, un funcionario confirmó que la tarjeta de un delincuente podría ser sustituida por un ataque de phishing. Si no se sabe cómo funcionan estos ataques, se puede correr un grave peligro.
En esta guía se analizan las diferencias entre el phishing, el smishing y el vishing. Aprenderá cómo evitar que se suplanten su identidad, cómo prevenir ser víctima de estos ataques y qué medidas puede tomar para eliminarlos.
Vamos a profundizar en ello.
¿Qué es el phishing?
El phishing es un intento de engañarle a través de mensajes de correo electrónico para que revele información confidencial. Un hacker intentará robar la información de su cuenta bancaria, contraseñas, nombres de usuario o números de tarjetas de crédito. Puede que se fije en cualquier otro dato confidencial y se haga pasar por una entidad de confianza, lo que puede atraer a la víctima.
El phishing se llama así porque sigue un modelo operativo similar al que utilizan los pescadores para capturar peces con cebos. Los ejemplos más comunes de phishing son los ataques en ruta y los scripts entre sitios. Algunos ataques también pueden producirse a través de la mensajería instantánea, por lo que es esencial familiarizarse con sus vectores. Es difícil detectar los ataques de phishing en la red. Un ejemplo clásico es el popular correo electrónico del príncipe nigeriano, una forma avanzada de phishing.
La estafa de desactivación de la cuenta juega con su sentido de la urgencia y le pide que actualice datos importantes, como sus credenciales de inicio de sesión. El atacante puede suplantar dominios bancarios y afirmar que proviene de fuentes oficiales. Si no rellena esos datos, inmediatamente le dirán que su cuenta será desactivada. Hay que actuar con rapidez. El atacante le pedirá su nombre de usuario y contraseña para evitar el proceso de desactivación.
Otra versión inteligente de este ataque consiste en redirigir al usuario al sitio web oficial del banco después de introducir la información clave, para que nada parezca fuera de lo normal. Este ataque de phishing es difícil de detectar, por lo que debe comprobar la barra de direcciones URL y asegurarse de que el sitio web es seguro. Su banco nunca le pedirá su nombre de usuario y contraseña en estas circunstancias.
Las estafas de falsificación de sitios web son otro tipo popular de ataque de phishing. El atacante creará un sitio web idéntico al original o legítimo utilizado por la víctima. Es posible que envíen un correo electrónico que se parezca al de la fuente legítima. Cualquier información que la víctima introduzca en respuesta a estos correos electrónicos puede ser utilizada con fines maliciosos o vendida.
Las páginas falsas o duplicadas eran fáciles de detectar en los inicios de Internet, pero hoy en día los sitios fraudulentos parecen representaciones perfectas de los originales. Debe comprobar la URL en el navegador web y buscar la certificación HTTPS para asegurarse de que el sitio web es seguro. Si un sitio web no tiene certificados de autenticación, es una señal de alerta.
El phishing clonado es otra estafa muy popular. Se puede copiar un correo electrónico legítimo enviado anteriormente y modificar su contenido y enlaces para atraer a la víctima y que lo vuelva a abrir. Será una sucesión continua de correos electrónicos. Por ejemplo, el atacante puede utilizar el mismo nombre de archivo que los archivos adjuntos originales para sus archivos maliciosos.
Estos correos electrónicos se reenviarán con una dirección de correo electrónico falsificada que parece provenir del remitente original. Esta táctica se aprovecha de la confianza de las víctimas y las involucra en comunicaciones suficientes para que actúen.
Impacto del phishing
Los ataques de phishing no solo interrumpen las operaciones de su empresa. Una vez que un atacante se cuela en su red, puede instalar ransomware o malware, o provocar interrupciones en el sistema. Todos sabemos que esto supone una pérdida de productividad y puede reducir la eficiencia de su organización. El phishing puede afectar gravemente a sus tiempos de respuesta; en ocasiones, estos ataques pueden durar meses.
No le sorprenderá saber lo difícil que es recuperarse de un ataque de phishing. Es posible que su personal no pueda continuar con su trabajo y que sus activos de datos sean robados, dañados o manipulados. Sus servicios en línea pueden quedar fuera de servicio, lo que impedirá el reconocimiento de sus clientes. Para la mayoría de las organizaciones, la restauración de las operaciones puede llevar hasta 24 horas.
Pero si no tiene suerte, el daño no se limitará a la discontinuidad operativa. En el proceso, perderá dinero, datos y la reputación de su empresa, lo que puede llevar mucho más tiempo recuperar. Las multas reglamentarias tampoco son ninguna broma. El uso indebido o el mal manejo de los datos conllevan sanciones que pueden alcanzar millones.
Hemos oído historias de British Airways, Facebook, Marriott Hotels y otras organizaciones que se han visto afectadas por casos de este tipo.
¿Qué es el smishing?
El smishing consiste en enviar mensajes SMS fraudulentos para que las personas revelen información confidencial o descarguen software malicioso. Los atacantes suelen comprar datos personales en la web oscura y se dirigen a una persona basándose en datos robados de violaciones anteriores. Mediante pasarelas SMS y herramientas de suplantación de identidad, los atacantes ocultan sus números de teléfono para que parezcan legítimos. A veces, pueden infectar los teléfonos con malware oculto, lo que les permite extraer datos a lo largo del tiempo.
Cuando la víctima responde o hace clic en un enlace, los atacantes recopilan información personal o financiera para realizar transacciones no autorizadas o robar la identidad. A menudo pasan desapercibidos para los filtros de spam del teléfono o la configuración de seguridad predeterminada de Android/iOS, que nunca son suficientes para prevenir estafas avanzadas. Algunos ejemplos de smishing son las notificaciones falsas de premios, las alertas de fraude bancario, las estafas fiscales, los engaños de soporte técnico y las amenazas de cancelación de servicios. Los atacantes también pueden pedir a las víctimas que descarguen aplicaciones maliciosas que roban datos directamente de un dispositivo.
Impacto del smishing
Los ataques de smishing pueden dar lugar al robo de información personal, lo que conduce al fraude financiero y al robo de identidad de por vida. Las víctimas encontrarán cargos no autorizados en sus cuentas bancarias o nuevas líneas de crédito contratadas a su nombre. Las empresas podrían sufrir daños en su reputación si los empleados revelan involuntariamente datos de clientes a través de enlaces de smishing. Los canales de comunicación públicos podrían verse comprometidos si los atacantes comienzan a utilizar teléfonos secuestrados para difundir aún más mensajes maliciosos.
Ni siquiera los operadores de telecomunicaciones pueden bloquear todos los SMS sospechosos, lo que deja a los usuarios expuestos. Lo peor de todo es que el smishing puede sacudir los cimientos mismos de la confianza en las comunicaciones digitales, y las organizaciones también podrían verse expuestas a implicaciones legales y normativas si se revelara cualquier tipo de información confidencial. Las consecuencias (tensiones financieras, gastos legales y una marca mancillada) podrían persistir mucho tiempo después del suceso.
¿Qué es el vishing?
El vishing, también conocido como phishing de voz, utiliza llamadas telefónicas o mensajes para engañar a las personas y que revelen datos confidenciales. Los atacantes pueden falsificar los identificadores de llamadas o utilizar tecnología deepfake, haciendo que parezca que la llamada proviene de una entidad de confianza, como un banco, una oficina gubernamental o incluso un compañero de trabajo. La mayoría de los empleados sin formación serán los principales objetivos. Los estafadores crean narrativas creíbles, como solicitudes de pago urgentes o emergencias de proveedores, para forzar decisiones rápidas.
Esta forma de ingeniería social combina la interacción humana con la tecnología. Los atacantes pueden hacerse pasar por el servicio de asistencia informática o afirmar que son de RR. HH. y ejecutar guiones plausibles que intentan extraer datos de inicio de sesión, credenciales u otra información corporativa confidencial. Los delincuentes también pueden suplantar a altos ejecutivos o familiares utilizando software de modificación de la voz. El vishing puede engañar a cualquier persona que esté desprevenida o no sea consciente de la seguridad. Las grandes empresas corren un riesgo especial, ya que la suplantación de identidad del identificador de llamadas puede eludir incluso los sistemas de seguridad telefónica más básicos, lo que podría abrir la puerta a fugas de datos o fraudes financieros.
Impacto del vishing
El vishing plantea graves problemas tanto para las personas como para las organizaciones. Los atacantes pueden dejar mensajes de voz falsos o llamar a empleados desprevenidos, lo que puede dar lugar al robo de propiedad intelectual o información bancaria. Dado que las llamadas telefónicas se perciben como algo más personal, las víctimas pueden confiar instintivamente en lo que oyen. Las tácticas de urgencia, como fingir que se ha vencido el plazo de pago de un proveedor importante, pueden empujar a las víctimas a responder sin verificar los detalles. La falta de autenticación multifactorial o procesos de aprobación deficientes agravan el daño al facilitar a los estafadores el cambio de cuentas críticas.
Esto afectó recientemente a Retool, una plataforma para desarrolladores que desapareció y se vio comprometida, lo que afectó a 27 clientes en la nube. Este incidente pone de manifiesto cómo las llamadas de ingeniería social pueden comprometer la seguridad de una organización en cuestión de minutos. Muestra los efectos en cadena de las pérdidas financieras, la exposición de datos y la desconfianza a largo plazo entre los empleados y socios.
Seis diferencias fundamentales entre el phishing, el smishing y el vishing
A continuación se presentan seis diferencias clave entre estos tres métodos de ataque, junto con breves ejemplos y consejos sobre cómo las organizaciones y las personas pueden protegerse.
1. Canal de distribución principal
El phishing suele llegar por correo electrónico; el smishing se basa en SMS o mensajes instantáneos, mientras que el vishing se basa en llamadas de voz. Los atacantes elegirán el canal que mejor se adapte al objetivo que vayan a utilizar: correo electrónico para cuentas de trabajo, mensajes de texto para usuarios de teléfonos inteligentes y llamadas telefónicas para un contacto directo.
2. Modelo operativo
Los phishers crean enlaces o páginas de inicio de sesión falsos para recopilar credenciales; los smishers envían URL o archivos adjuntos maliciosos a través de mensajes de texto, y los vishers hablan con los objetivos en tiempo real. Cada método se basa en engañar al usuario para que revele datos personales o corporativos.
3. Ejemplos de ataques
¿Quiere comparar el phishing con el smishing o ver la diferencia entre smishing y vishing? A continuación, te mostramos algunos ejemplos de cómo podrían ser los mensajes que recibas:
- Phishing: Recibes una alerta repentina sobre la seguridad de tu cuenta. Proviene de un amigo de tu organización llamado Tom o del director general.
- Smishing: Un mensaje de texto con un "cupón de venta flash" que obliga a los usuarios a entrar en un sitio web malicioso.
- Vishing: De repente, puede recibir una llamada telefónica en la que le informan de que su suscripción al almacenamiento en la nube está a punto de caducar. Oirá una palabra relacionada con su proveedor de servicios en la nube y se convencerá. Te pedirá que realices un pago urgente por teléfono.
4. Desencadenantes emocionales
El phishing tiende a basarse en tácticas de miedo o urgencia. Por otro lado, el smishing se basa en la emoción (ganancias en la lotería, obsequios) o el miedo (alertas bancarias). El vishing aprovecha la ansiedad con presión en tiempo real. La ingeniería social está diseñada para provocar clics, respuestas o revelaciones impulsivas en cada caso.
5. Vulnerabilidades corporativas
Las organizaciones suelen confiar en soluciones de seguridad para el correo electrónico, pero pasan por alto el filtrado de SMS o la verificación de llamadas de voz. El phishing elude los filtros de spam débiles; el smishing burla las defensas del correo electrónico corporativo; el vishing se aprovecha de los empleados sin formación que dan por buena una llamada del "soporte técnico". La autenticación de dos factores no siempre es obligatoria, lo que deja las cuentas en riesgo en todos los canales.
6. Lagunas de conocimiento
Los atacantes explotarán las lagunas de conocimiento: Los empleados que solo han recibido formación sobre amenazas por correo electrónico pueden caer en el smishing o el vishing. Además, la combinación de tácticas, como un correo electrónico (phishing) seguido de un mensaje de texto de confirmación (smishing), añade credibilidad. La formación periódica y el escepticismo ante solicitudes inusuales mitigan estos riesgos.
Obtenga más información sobre amenazas
Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.
Más informaciónPhishing, smishing y vishing: diferencias clave
A continuación se muestra una lista de las diferencias clave entre phishing, smishing y vishing:
| Área de diferenciación | Phishing | Smishing | Vishing |
|---|---|---|---|
| Canal de entrega | Se dirige a correos electrónicos; a menudo utiliza direcciones falsificadas o enlaces de phishing. | Se basa en SMS o mensajes instantáneos enviados a través de operadores móviles o aplicaciones de mensajería. | Implica llamadas telefónicas o mensajes de voz, a veces utilizando la suplantación de identidad del identificador de llamadas. |
| Objetivos típicos | Cuentas de correo electrónico personales o del trabajo, redes sociales, servicios en línea. | Usuarios de teléfonos inteligentes, a menudo con filtros de spam o seguridad integrada limitados. | Personas o empleados localizables por teléfono, especialmente aquellos que no están familiarizados con las amenazas basadas en la voz. |
| Herramientas comunes | Formularios de inicio de sesión falsos, archivos adjuntos con malware, correos electrónicos que parecen urgentes. | Enlaces fraudulentos, solicitudes de descarga de aplicaciones maliciosas o solicitudes de información personal. | Software de manipulación de voz, centros de llamadas falsos o mensajes de voz fraudulentos. |
| Gancho emocional clave | Miedo a perder el acceso, no cumplir plazos urgentes o quedarse sin acceso a una cuenta. | Emoción (ganar un premio), temor (alertas de fraude bancario) o urgencia (notificaciones de plazos fiscales). | Presión de una persona que llama en directo fingiendo ser un jefe, un proveedor o un funcionario del gobierno y exigiendo una acción rápida. |
| Método de recopilación de datos | Hacer clic en enlaces o descargar archivos que capturan credenciales de inicio de sesión, información financiera o datos personales. | Pulsar enlaces en mensajes de texto, proporcionar información a través de SMS de respuesta o instalar aplicaciones maliciosas que recopilan datos confidenciales. | Compartir contraseñas o datos financieros por teléfono o seguir las instrucciones de voz para verificar información confidencial. |
| Estrategia de prevención | Utilizar filtros de correo electrónico, verificar las URL, implementar la autenticación multifactorial (MFA) y mantener la precaución con los archivos adjuntos sospechosos. | Compruebe la autenticidad del remitente, nunca haga clic en enlaces desconocidos, instale soluciones de seguridad móvil y denuncie los SMS sospechosos. | Forme a los empleados para que validen la identidad de las personas que llaman, eviten divulgar datos confidenciales por teléfono y utilicen procedimientos de verificación mediante devolución de llamada. |
Conclusión
El phishing, el smishing y vishing pueden afectar a cualquier organización, independientemente de su tamaño o sector. Son tiempos críticos para defenderse de estas amenazas en constante evolución mediante la vigilancia y las mejores prácticas de seguridad. Recuerde que explotar la confianza humana es la primera línea de las campañas de ingeniería social; por lo tanto, la formación y la concienciación deben estar en primera línea. Tanto si trabaja con datos confidenciales como si solo utiliza servicios en línea a diario, vale la pena estar atento y adelantarse varios pasos.
"FAQs
El phishing, el smishing y el vishing utilizan ingeniería social, pero difieren en la forma en que los atacantes se ponen en contacto con usted. El phishing se basa en correos electrónicos con páginas de inicio de sesión falsas, el smishing utiliza mensajes de texto fraudulentos y el vishing emplea llamadas de voz para extraer información privada. Los delincuentes suelen hacerse pasar por fuentes de confianza y envían ofertas urgentes o tentadoras para atraer a las víctimas y que revelen datos confidenciales.
Las personas con conocimientos limitados sobre ciberseguridad o con protecciones obsoletas en sus dispositivos son los principales objetivos, ya sea de phishing, smishing, vishing o cualquier otra estafa de ingeniería social. Los atacantes también se centran en las grandes organizaciones, donde un solo empleado sin formación puede permitir el acceso no autorizado. Las personas de alto valor —ejecutivos, figuras públicas o personal sanitario— pueden sufrir ataques más intensos debido a los datos que manejan.
Conocer la diferencia entre phishing, smishing y vishing puede ayudarle a detectar señales de alerta. Compruebe las fuentes de correo electrónico y las URL en busca de phishing, tenga cuidado con los enlaces de texto en el smishing y cuestione las llamadas no solicitadas que le pidan información personal en el vishing. Las estafas suelen caracterizarse por saludos genéricos, lenguaje urgente o archivos adjuntos sospechosos. Verificar la autenticidad con un segundo canal puede evitar estas amenazas.
Cualquiera puede ser víctima de phishing, smishing o vishing, pero quienes manejan transacciones financieras, los trabajadores remotos o los empleados con cuentas privilegiadas suelen correr un mayor riesgo. Los atacantes se aprovechan de los usuarios ocupados y distraídos, personas demasiado concentradas en sus tareas como para examinar cada llamada o mensaje. Las pequeñas empresas y las grandes corporaciones son objetivos potenciales si se descuida la formación en materia de seguridad.
Las herramientas antivirus ayudan a bloquear amenazas específicas, pero no pueden proteger completamente contra la ingeniería social. Es fundamental comprender la diferencia entre phishing, smishing y vishing, ya que estas tácticas se aprovechan de la confianza humana más que de las vulnerabilidades del software. Las soluciones antivirus complementan la formación en materia de sensibilización, los filtros de correo electrónico y la autenticación multifactorial, pero los usuarios deben permanecer alerta y mostrarse escépticos ante enlaces, llamadas o mensajes sospechosos.