Cuando se habla de ingeniería social, la mayoría piensa en correos de phishing. Sin embargo, los atacantes no se limitan al correo electrónico: también explotan otros canales más directos y, en muchos casos, más efectivos. Dos ejemplos cada vez más comunes son el vishing y el smishing, técnicas que combinan engaño, urgencia y confianza para manipular a los usuarios.
El vishing (voice phishing) consiste en llamadas telefónicas en las que el atacante se hace pasar por una figura de autoridad o un representante legítimo, como un banco, una empresa de mensajería o incluso un área interna de la organización. Con un guion bien preparado, logran que el usuario revele información sensible o siga instrucciones que comprometen la seguridad. La voz humana, con su tono de urgencia y credibilidad, sigue siendo un arma poderosa para engañar.
El smishing (SMS phishing), por su parte, aprovecha los mensajes de texto o aplicaciones de mensajería. Un enlace que aparenta ser legítimo puede llevar al usuario a un sitio falso donde ingresa credenciales o descarga malware. La efectividad de esta técnica radica en la confianza que aún existe en los mensajes cortos y en la rapidez con la que los usuarios tienden a reaccionar sin verificar el origen.
Para los CISOs, el reto no es solo técnico, sino cultural. Bloquear correos sospechosos es relativamente sencillo, pero controlar llamadas y mensajes que llegan directamente a los dispositivos personales resulta mucho más difícil. La mejor defensa es la concientización: enseñar a los usuarios a desconfiar de solicitudes urgentes, verificar números y enlaces, y reportar cualquier intento sospechoso. Sin ese componente humano, la organización queda expuesta.
En definitiva, vishing y smishing son recordatorios de que la ingeniería social evoluciona constantemente. Mientras la tecnología avanza en protección, los atacantes buscan nuevas formas de explotar la confianza. Preparar a los usuarios para reconocer estas tácticas es tan importante como cualquier inversión en herramientas avanzadas de seguridad.
Acciones inmediatas
- Incluye el vishing y el smishing en tus campañas de concientización.
- Simula escenarios de llamadas y mensajes fraudulentos para entrenar usuarios.
- Refuerza la política de nunca compartir información sensible por teléfono o SMS.
- Promueve la verificación directa de cualquier solicitud urgente.
- Implementa canales claros para reportar intentos de ingeniería social.
En TBSEK ayudamos a los CISOs a diseñar programas de capacitación que incluyen todas las formas de ingeniería social, fortaleciendo la primera línea de defensa: las personas. Contáctanos aquí.
