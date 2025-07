En el mundo de la ciberseguridad, los atacantes y defensores han estado atrapados durante mucho tiempo en una carrera armamentista. Los atacantes identifican una vulnerabilidad y la explotan. Los defensores corrigen la vulnerabilidad y fortalecen las protecciones para evitar ataques similares en el futuro. Enjuague y repita.

Pero a medida que las soluciones de seguridad se vuelven más avanzadas y las prácticas de seguridad más refinadas, a los piratas informáticos les resulta cada vez más difícil encontrar fallas explotables en primer lugar.

En respuesta, muchos atacantes centraron su atención en objetivos menos fáciles de solucionar: las personas.

Según el IBM X-Force Threat Intelligence Index, el phishing y el abuso de cuentas de usuario válidas son dos de las tres formas más comunes en que los delincuentes cibernéticos irrumpen en las redes de las empresas en la actualidad.

Al secuestrar cuentas legítimas, los atacantes pueden hacerse pasar por usuarios reales, eludiendo muchas medidas de seguridad a medida que se mueven lateralmente y escalan privilegios.

Y si bien los correos electrónicos y los mensajes de texto alguna vez fueron los modos predeterminados de los phishers en todas partes, estos métodos dan mucho menos frutos en la era de los filtros avanzados de spam.

Las llamadas telefónicas son una historia diferente.

"Si observamos muchas filtraciones de datos importantes ahora, veremos que en realidad fue una llamada telefónica lo que inició la filtración", dice Carruthers. “Alguien que se hizo pasar por un empleado llamó al help desk para restablecer la contraseña de una cuenta. Ahora tienen el control de esa cuenta y pueden ingresar a muchos sistemas”.

Los proveedores de servicios han implementado filtros de llamadas no deseadas para ayudar a combatir las estafas telefónicas, pero no son tan confiables como los filtros de correo electrónico y mensajes de texto.

Además, gracias a la popularidad de los programas de bring your own device (BYOD), los empleados a menudo usan teléfonos inteligentes personales para tareas comerciales. Las organizaciones a menudo tienen mucho menos control sobre la seguridad de estos dispositivos que sobre las cuentas de correo electrónico corporativas, por ejemplo.

Pero quizás lo más peligroso del vishing es que, cuando la víctima responde a una llamada, hay poco que alguien más pueda hacer para intervenir.

Una conversación telefónica no ofrece las oportunidades de escrutinio sin prisas que podría ofrecer un correo electrónico. Los estafadores emplean este hecho a su favor, aumentando el sentido de urgencia y bombardeando a la víctima con preguntas e información. La víctima no tiene espacio para detenerse y Think sobre si todo cuadra.

Todos estos factores hacen que el vishing sea notablemente eficaz. Carruthers conoce este hecho de primera mano, tanto por su tiempo como hacker de personas como por ser una de las facilitadoras de la Social Engineering Community Vishing Competition (SECVC) en DEF CON.

La competencia enfrenta a 14 equipos entre sí para ver quién puede completar la mayor cantidad de objetivos durante una llamada de vishing en tiempo real realizada desde una cabina insonorizada frente a una audiencia.

"El propósito no es decir: 'Miren lo buenos que somos en esto de la ingeniería social'", explica Carruthers. "Es para mostrar cuán frecuente es la ingeniería social y cómo sucede realmente. Mucha gente Think que es solo basado en el correo electrónico. Se olvidan de las llamadas telefónicas y de lo increíblemente exitosos que son”.

En la competencia más reciente, dice Carruthers, cada equipo cumplió al menos algunos de sus objetivos, lo que significa que extrajo algún tipo de información o hizo que las personas tomaran medidas arriesgadas.

En otras palabras: Las estafas de vishing parecen obtener siempre algo de sus objetivos. Las contramedidas de nadie son perfectas.

Como miembro de X-Force, Carruthers ayudó a muchas organizaciones a renovar su formación de concientización en materia de seguridad. Según su experiencia, la mayoría de los programas de formación no cubren en absoluto las estafas de vishing. Cuando lo hacen, se detienen en consejos de alto nivel como "No indique su contraseña por teléfono".

"Tenemos trucos para evitar eso", dice Carruthers. “No voy a pedir su contraseña por teléfono. Voy a decir: 'Vaya a este sitio web e ingrese su nombre de usuario y contraseña. No me lo des. Eso no es seguro'”.

Por supuesto, es un sitio web que Carruthers o peor, un verdadero actor de amenazas controla, y ahora tienen tus credenciales.