Qué es y por qué sigue funcionando
El vishing es una forma de fraude basada en llamadas telefónicas en la que el atacante se hace pasar por un banco, un proveedor, soporte técnico o incluso por un responsable interno para manipular a la víctima. Su objetivo suele ser obtener credenciales, datos personales, códigos de verificación (OTP) o provocar una acción: transferencias, cambios de cuenta bancaria, instalación de software o acceso remoto. Funciona porque aprovecha la presión del “directo” y la autoridad aparente del interlocutor.
Cómo se ejecuta en entornos empresariales
En empresas, el vishing se combina con información previa (web, redes sociales, filtraciones) para sonar convincente: nombres de directivos, cargos, proveedores habituales o procesos internos. Es frecuente que el atacante pida “verificar” datos, confirmar un pago urgente o resolver un supuesto incidente de seguridad. En ataques más elaborados, se enlaza con email (BEC) o con smishing para enviar enlaces o códigos durante la llamada.
Cómo reducir el riesgo
La defensa principal es de proceso: protocolos de verificación para pagos y cambios sensibles, prohibir compartir códigos OTP por teléfono y establecer un canal oficial de confirmación (devolver llamada a número verificado, doble validación interna). A nivel de hábitos, el equipo debe aprender a detectar urgencias artificiales y guiones típicos. Este tipo de protección se refuerza con formación y concienciación orientada a fraudes y suplantaciones.
