El vishing y smishing son técnicas de fraude derivadas del phishing, que buscan engañar a las personas para obtener información confidencial a través de mensajes de voz y texto.
En la era digital, los métodos de fraude han evolucionado considerablemente, representando una amenaza obligando a adoptar medidas preventivas entre los usuarios. Muchas de las modalidades de estafa derivan del phishing, técnica en la que se busca engañar a las personas para que revelen información personal y confidencial, como contraseñas, números de tarjetas de crédito o datos bancarios.
El vishing y smishing son dos técnicas que se desprenden del phishing, según indicó el especialista en ciberseguridad y académico de la Facultad de Ingeniería de la Universidad de Concepción, Dr. Pedro Pinacho Davidson.
«Vishing y smishing son técnicas que usan los cibercriminales para engañar a las personas a través de mensajes de audio y texto, respectivamente. El vishing utiliza mensajes de voz, que pueden transmitirse mediante llamadas telefónicas o mensajes de voz digitales, mientras que el smishing emplea mensajes de texto, como SMS o mensajes de WhatsApp, para cometer fraude», expresó el docente.
En la misma línea el jefe de la Unidad de Arquitectura Tecnológica de la Dirección de Tecnologías de Información UdeC, Ítalo Foppiano Reyes, agregó que estas modalidades de fraude se han popularizado con el creciente uso de dispositivos móviles para acceder a redes sociales y servicios de comercio electrónico.
«Ahora es común la utilización de aplicaciones específicas como Mercado Libre, Amazon, AliExpress, Sodimac, entre otras, vinculadas a estos casos de vishing y smishing», explicó Ítalo Foppiano, quien junto a Pedro Pinacho fue parte de la Mesa de Ciberseguridad de la Comisión Desafíos del Futuro, Ciencia, Tecnología e Innovación del Senado convocada en 2022.
Una de las claves para entender cómo los estafadores perpetran con éxito los actos es la ingeniería social, en donde se ataca directamente la sensibilidad de las víctimas en lugar de vulnerar sistemas de seguridad.
«La ingeniería social utiliza técnicas psicológicas para convencer a las personas de que el mensaje es legítimo», sostuvo el Dr. Pedro Pinacho. «Pueden explotar la confianza en familiares, generar un sentido de urgencia o escasez. Con la inteligencia artificial generativa, incluso pueden imitar voces humanas con sorprendente precisión, haciendo que los mensajes sean aún más convincentes».
Para evitar caer en estafas de vishing, el docente de la Facultad de Ingeniería recomienda no entregar nunca datos sensibles y autentificar la identidad del interlocutor: «Debemos estar atentos a anomalías en la comunicación. Si un mensaje tiene una forma de comunicarse distinta a lo habitual, proviene de un número internacional, o genera una sensación de urgencia o miedo, es probable que sea fraudulento. Siempre es útil hacer preguntas que solo la persona real podría responder».
La atención a estos detalles inusuales puede ser vital para detectar y frenar la ejecución de fraudes.«En WhatsApp», complementó Pedro Pinacho, «los mensajes pueden ser enviados en horarios inusuales, usando un lenguaje diferente o pidiendo acciones atípicas. Mensajes de SMS de contactos desconocidos que ofrecen ganancias rápidas o promociones increíbles también son sospechosos. Es fundamental desconfiar por defecto y bloquear números sospechosos»
En cuanto a las medidas tecnológicas para prevenir estos tipos de fraude, el jefe de la Unidad de Arquitectura Tecnológica de la DTI sostuvo que a nivel institucional la factibilidad de implementación de soluciones depende de quién cuenta con la propiedad del equipo que se vea afectado.
«Considerando que este tipo de fraude utiliza el dispositivo móvil que, en la mayoría de los casos, es de propiedad del usuario, no es factible la implementación de medidas tecnológicas si no se cuenta con la administración de estos dispositivos por parte de la institución», comentó Ítalo Foppiano.
Al respecto, la Universidad cuenta con protocolos específicos para manejar incidentes de phishing, como el cambio inmediato de la contraseña de la cuenta institucional y la notificación a la mesa de ayuda.
En caso de que un funcionario sea víctima de vishing o smishing, Foppiano recomienda cambiar inmediatamente las credenciales de los servicios comprometidos y revalidar el dispositivo: «El caso más común es la toma de control de WhatsApp, donde es necesario revalidar el dispositivo ingresando nuevamente el código de seis dígitos enviado por SMS. Además, es recomendable activar un segundo factor de autenticación».
Sin embargo, añadió que «la medida más viable es la capacitación y educación de los usuarios para ayudarles a identificar este tipo de amenazas», ya que la mayoría de los dispositivos móviles son de propiedad personal.
Adscribiendo a este punto, el Dr. Pedro Pinacho estima que «la mejor herramienta es el sentido común». Por ello, recomienda entre otras medidas «mantener nuestro perfil digital cerrado y desconfiar de actividades desconocidas es crucial. La ciberhigiene, que incluye prácticas como revisar configuraciones de privacidad y no compartir información sensible, es esencial para mantenerse seguro».
Para esto, sumó, es importante seguir las campañas de concientización pública: «Son fundamentales, ya que el principal vector de ciberataques sigue siendo la vulnerabilidad humana. La educación y el entrenamiento para reconocer y responder adecuadamente a estas amenazas son cruciales. Con el avance de las inteligencias artificiales generativas, los ciberdelincuentes tienen más herramientas para hacer sus engaños más creíbles, lo que aumenta la necesidad de estar bien informados y preparados».