Phishing, Vishing y Smishing

Phishing, Vishing y Smishing
De Leire · 02/2025 

·  Ciberdelincuencia

Etiquetas: Vulnerabilidad informática

Phishing, vishing y smishing son tres de las amenazas cibernéticas más comunes hoy en día. Estos ataques se fundamentan en técnicas de ingeniería social, recurso delictivo que busca explotar la escasa precaución de las víctimas en cuestiones de ciberseguridad. En este artículo te explicamos qué son estos ataques, cómo se diferencian entre sí y cómo puedes identificarlos.

PHISHING

Esta técnica se basa en el envío de correos electrónicos que imitan iconos, logos, formatos, etc. característicos de remitentes conocidos, como, por ejemplo, proveedores de referencia de servicios tecnológicos, o reputadas redes sociales. Alguien desprevenido podría, sin las comprobaciones de seguridad necesarias, confundir el contenido de tales mensajes y tomarlos por verdaderos, habida cuenta de la confianza que genera en la víctima la supuesta autenticidad del remitente. Imitando los detalles contenidos en correos legítimos, el phishing disimula, bajo la falsa apariencia de los elementos tomados de fuentes fácilmente identificables, una batería de recursos (enlaces, etc.) que buscan engañar a su víctima, para que esta, sin ser consciente de ello, comparta con el atacante información sensible (credenciales, cuentas bancarias, etc.), o active contenido malicioso (malware, etc.) que conlleve graves consecuencias.

SMISHING

A diferencia del anterior, el canal de comunicación ya no es el correo electrónico, sino las aplicaciones de mensajería instaladas en los smartphones. El emisor fraudulento burla la confianza de su víctima y consigue, mediante mensajes de texto engañosos, obtener datos como, por ejemplo, números de tarjetas de crédito. Se explota la ingenuidad de la persona objetivo de la estafa, apremiándole a iniciar una acción que, supuestamente, ayudará a evitar un peligro, o una situación grave, cuando, en realidad lo que persigue es obtener información que reporte alguna ganancia al atacante.

VISHING

Este recurso también se basa en la ingeniería social y en la suplantación de identidad, como hemos visto en las dos técnicas anteriores. En esta ocasión, la vía elegida para perpetrar la estafa son las llamadas de voz. Los ciberdelincuentes engañan mediante comunicación telefónica fraudulenta a sus víctimas, haciéndoles creer que están hablando con alguna organización legítima (como una entidad pública, por ejemplo) para, mediante subterfugios, conseguir información.

SIMILITUDES Y DIFERENCIAS ENTRE EL PHISHING, VISHING Y SMISHING

Estos métodos tienen un objetivo común: robar información sensible, como contraseñas, datos bancarios o números de tarjetas de crédito, pero cada uno utiliza un canal de comunicación distinto. Sin embargo, todos se basan en tácticas similares de manipulación psicológica, un componente clave de la ingeniería social.

  • Objetivo común: Los tres ataques están diseñados para obtener información personal o financiera de las víctimas.
  • Tácticas de manipulación psicológica: En todos los casos, los ciberdelincuentes emplean estrategias que manipulan las emociones y comportamientos de las víctimas, creando una falsa sensación de urgencia o confianza para que los usuarios entreguen la información solicitada.
  • Comunicaciones fraudulentas: Los tres tipos de ataques recurren al uso de mensajes que parecen provenientes de una institución legítima como, por ejemplo, un grupo financiero, una empresa conocida o una autoridad confiable, cuando en realidad son delictivos.

Aunque los tres ataques persiguen el mismo objetivo, se diferencian en los canales que utilizan los ciberdelincuentes para obtener la información.

TIPOS DE MENSAJES DE INGENIERÍA SOCIAL

Los ciberdelincuentes usan diversas estrategias para engañar a las víctimas, dependiendo del tipo de entidad que intentan suplantar:

  1. Ingeniería social en el ámbito bancario: Los ciberdelincuentes se hacen pasar por instituciones financieras legítimas con el fin de obtener información sensible. Utilizan pretextos como bloqueos de cuentas, actividad sospechosa o cargos no reconocidos para engañar a las víctimas.
  2. Ingeniería social en entidades públicas: Los atacantes se suplantan como organismos y entidades gubernamentales, enviando correos electrónicos que abordan temas como devoluciones de impuestos, pago de multas de tráfico, solicitudes de ayudas, entre otros, con el fin de robar datos personales.
  3. Ingeniería social a entidades privadas: Los ciberdelincuentes apelan a los sentimientos de los usuarios a través de asuntos y mensajes diseñados para captar su atención. Entre las empresas más suplantadas se encuentran compañías eléctricas, supermercados y tiendas en línea, empresas de mensajería y transporte, operadoras de telefonía, redes sociales, plataformas de videojuegos, servicios de almacenamiento en la nube, proveedores de servicios de correo electrónico y plataformas de entretenimiento y streaming.

INDICIOS SOSPECHOS QUE AYUDAN A IDENTIFICAR ESTOS ATAQUES

Errores gramaticales y ortográficos: Los mensajes fraudulentos suelen contener errores en su redacción, lo que puede indicar que no son de una fuente confiable.

Solicitud de información sensible: Se solicitan datos que una empresa legítima no pediría por este medio, como contraseñas, PIN, claves de firma o números de identificación personal.

Enlaces o archivos sospechosos: Los mensajes incluyen enlaces que redirigen a sitios web falsos o maliciosos, o bien archivos adjuntos que podrían contener malware o virus.

Urgencias o amenazas: El mensaje genera un sentido de urgencia, presionando al destinatario para que actúe rápidamente bajo la amenaza de sufrir consecuencias, como el cierre de cuenta, multas o problemas de seguridad.

CÓMO EVITAR SER VÍCTIMA DE ESTOS ATAQUES

  • No abrir correos ni mensajes de desconocidos: Elimínalos y bloquea al remitente. No respondas ni compartas información personal.
  • Verificar el remitente y los enlaces: Asegúrate de que los mensajes provienen de fuentes confiables antes de hacer clic o proporcionar datos sensibles.
  • Mantener los dispositivos y software actualizados: Instala actualizaciones de seguridad para protegerte de vulnerabilidades.
  • Usar antivirus y seguridad móvil: Instala y actualiza software de seguridad para detectar amenazas como malware y smishing.
  • Activar la autenticación de dos factores: Refuerza la seguridad de tus cuentas siempre que sea posible.
  • Si recibes un mensaje sospechoso, verifica su autenticidad: Contacta directamente con la empresa a través de su sitio web o número oficial.

EDUCACIÓN Y CONCIENCIACIÓN

Concienciar a los empleados sobre los riesgos cibernéticos es crucial para proteger la información de la organización. Los ciberdelincuentes explotan la falta de conocimiento y confianza de los empleados para ejecutar ataques como phishing, vishing y smishing. Sin una formación adecuada, los empleados pueden convertirse en un objetivo fácil, comprometiendo datos sensibles y la seguridad empresarial. Según el informe Verizon DBIR 2023, el 74% de las brechas de seguridad involucran al factor humano, ya sea por error, uso indebido de privilegios, uso de credenciales robadas o ingeniería social.

Una fuerza laboral informada actúa como primera línea de defensa. Programas de capacitación, simulaciones de ataques y la actualización constante de buenas prácticas ayudan a los empleados a detectar y prevenir amenazas. Fomentar una cultura de ciberseguridad reduce significativamente el riesgo de ataques y fortalece la seguridad organizacional.

En JakinCode te ayudamos a proteger tu negocio desarrollando una cultura de conciencia cibernética enfocada en la seguridad de la información.

Artículos relacionados

  • Barcelona Cybersecurity Congress 2025: Un encuentro clave para la protección digital

Barcelona Cybersecurity Congress 2025: Un encuentro clave para la protección digital

05/2025

  • CyberLehia 2025: La cantera del futuro digital se consolida en Euskadi

CyberLehia 2025: La cantera del futuro digital se consolida en Euskadi

04/2025

  • Phishing, Vishing y Smishing

Phishing, Vishing y Smishing

02/2025

  • 10 contraseñas que los hackers pueden descifrar en menos de 5 minutos

10 contraseñas que los hackers pueden descifrar en menos de 5 minutos

01/2025