® 
Vishing (Phishing de Voz)
Definicion
El vishing es un ataque de ingenieria social a traves de llamadas telefonicas en el que los atacantes se hacen pasar por empleados de bancos u organismos oficiales.
El vishing (phishing de voz) es un ataque de ingenieria social a traves de llamadas telefonicas donde los atacantes se hacen pasar por empleados de bancos, organismos gubernamentales o departamentos de IT para extraer informacion sensible. Con la tecnologia de voz de IA, los ataques de vishing son cada vez mas convincentes.
Como funciona el vishing?
El atacante llama a la victima y crea una sensacion de urgencia: hay una transaccion sospechosa, su ordenador esta infectado, hay una investigacion sobre su identidad. Mediante un discurso profesional y conocimiento de datos personales, el atacante genera confianza. La victima es persuadida para compartir credenciales, instalar software de acceso remoto o transferir dinero. El spoofing de identificacion de llamadas muestra el numero de la organizacion suplantada.
Tipos de vishing
Fraude bancario: los atacantes llaman como empleados del banco. Fraude de soporte tecnico: los atacantes dicen ser de Microsoft. Fraude del CEO: los atacantes usan voz generada por IA para imitar a ejecutivos solicitando transferencias urgentes.
Impacto para las organizaciones
El vishing apunta cada vez mas a empleados de organizaciones. El fraude del CEO con deepfake de voz ha causado perdidas de millones por incidente. NIS2 exige formacion en concienciacion que cubra el vishing.
Proteccion
Forme a los empleados para no compartir nunca informacion sensible por telefono sin verificacion. Implemente procedimientos de devolucion de llamada: cuelgue y llame al numero oficial. Utilice verificacion multicanal para transacciones sensibles.
Como ayuda DEFION
DEFION realiza pruebas de vishing como parte de Red Teaming y Social Engineering Assessments.