Phishing y vishing: Diferencias, cómo funcionan y cómo protegerte

Ser víctima de una estafa digital es una de las cosas más frustrantes que pueden pasarte. Y lo peor es darte cuenta de lo ingenuo que fuiste al caer en la trampa, y lo fácil que hubiera sido evitarla. Hablando de esto, vamos a conocer a fondo dos métodos que suelen usar los ciberdelincuentes: phishing y vishing, sus diferencias, cómo funcionan y, sobre todo, cómo protegerte.

Phishing y vishing: Dos maneras diferentes de engañarte

Es increíble la creatividad que manifiestan los ciberdelincuentes para entrampar a sus víctimas. No solo tienen habilidades digitales para robar datos sensibles, sino también habilidades sociales para manipular, engañar y convencer. Un ejemplo de esto son los ataques por bombardeo de notificaciones, también conocido como MFA Fatigue, que se aprovechan de tu cansancio para hacer que te equivoques.

El phishing y vishing también son dos tipos de estafas digitales que combinan diversas estrategias para lograr un mismo fin: engañarte. La primera lleva más tiempo en uso, y consiste en la «pesca» (fishing) de datos confidenciales a través de mensajes, correos electrónicos y sitios web falsos. El criminal lanza el anzuelo usando estos medios digitales, con la esperanza de que la víctima lo muerda.

El vishing, por su parte, es una variante del phishing que tiene el mismo fin que este, pero que se ejecuta usando otro medio. El término combina las palabras voice y phishing, alertando que el criminal usará su voz para engañarte. Puede que te contacte a través de una o varias llamadas telefónicas, o que te deje mensajes o notas de voz haciéndose pasar por quien no es.

Así que la principal diferencia entre el phishing y vishing es el canal de ataque utilizado.
Con el primero, el criminal usa medios digitales (correo, SMS, redes) para interactuar con su víctima.
Con el segundo, se vale de medios telefónicos como llamadas o mensajes de voz.

Contenido exclusivo - Clic Aquí El autocompletado de contraseñas desaparece de Microsoft Authenticator y se integra en Edge

Ahora bien, ¿cómo funcionan exactamente estas trampas y qué puedes hacer para protegerte? Hablemos de ello.

Cómo funcionan el phishing y vishing

La medida más efectiva para protegerte del phishing y vishing es entender cómo se orquestan estos ataques. Detrás de un correo malicioso o una llamada fraudulenta hay un conglomerado de elementos. Claro, no hace falta conocerlos todos o tener una mente criminal, pero sí es importante saber cómo funcionan. De esta manera, será más fácil detectar las señales de alarma y saber qué hacer para frustrar el ataque.

Phishing: El anzuelo digital

¿Cómo funciona el phishing? Básicamente, consiste en un ataque masivo y automatizado que busca «pescar» la mayor cantidad de víctimas posibles. Para ello, el atacante prepara y envía un «cebo»: miles de comunicaciones fraudulentas vía email, SMS (smishing) o mensajes en redes sociales.

El detalle es que todos estos mensajes están diseñados para parecer legítimos y provenir de una fuente confiable. Puede ser tu banco, tu red social, Netflix, una empresa de mensajería, o incluso tu departamento de IT. Pero hay algo más: el mensaje suele crear una sensación de urgencia o alarma a fin de nublar tu juicio.

Algunas frases comunes del phishing son: «Su cuenta será suspendida en 24 horas», «Actividad sospechosa detectada», o «Tiene un paquete retenido, confirme sus datos». Lo que busca el atacante es crear pánico para que hagas clic en un enlace malicioso creyendo que así solucionarás el problema.

Contenido exclusivo - Clic Aquí Cómo detectar si hay apps espiándote en segundo plano en Android

El enlace te dirige a un sitio web que parece legítimo: el diseño, logo y tono del mensaje son idénticos a los oficiales. La URL, sin embargo, será ligeramente diferente, pero no lo notas. A solicitud del sitio, introduces tus credenciales (usuario, contraseña, datos de la tarjeta de crédito, etc.). Y así, toda es información sensible cae directamente en manos del estafador.

Vishing: La voz del engaño

Si el phishing es como un anzuelo, el vishing es como un arpón dirigido, y el canal de ataque suele ser una llamada telefónica. Esta estrategia es mucho más personalizada: va dirigida a un usuario en específico. El estafador lo llama directamente, a menudo usando técnicas de suplantación de identidad.

Es por eso que la llamada parece tan legítima: en la pantalla del móvil aparece el número de una institución real, como un banco o la policía. Además, el delincuente del otro lado está entrenado para expresarse de modo convincente. Tono de voz, vocabulario… se expresa tal y como un agente de soporte técnico, un funcionario bancario o incluso un representante del gobierno.

Así, el estafador logra ganarse tu confianza y, acto seguido, te informa de un «problema» que debes resolver con su cooperación. Para ello, te pide que proporciones información, reenvíes un código, instales una aplicación de acceso remoto o que transfieras dinero a una «cuenta segura» para «protegerlo». Sea lo que sea, su objetivo es el mismo: engañarte y robarte.

Medidas efectivas para protegerte del phishing y vishing

Ahora ya tienes una idea clara de cómo funciona el phishing y vishing. Pero queda por responder la pregunta más importante: ¿qué puedes hacer para protegerte? Tus mejores aliados contra estas amenazas son el escepticismo y la desconfianza. Con esto en mente, enlistamos las medidas más efectivas para prevenir estafas con phishing y vishing:

Contra el phishing:
- Verifica el remitente y no confíes en correos que parezcan sospechosos, aunque usen logos oficiales.
- No hagas clics en enlaces dudosos. Pasa el cursor sobre el enlace para ver la URL real antes de hacer clic.
- Activa la autenticación en dos pasos para añadir una capa extra de seguridad a tus cuentas.
- Usa gestores de contraseñas, como Bitwarden o 1Password, ya que no autocompletarán tus credenciales en sitios web falsos.
- Mantén actualizados tus navegadores e instala un antivirus potente.
Contra el vishing:
- De nuevo, desconfía de las llamadas inesperadas, sobre todo si te piden datos personales o acceso remoto.
- No te dejes presionar por la urgencia. Si sientes presión, es una señal de alarma.
- No compartas información confidencial por teléfono. Recuerda que los bancos y empresas legítimas NUNCA solicitan datos sensibles de esa forma.
- Nunca instales software a petición de una llamada, incluso si es software legítimo.
- Verifica la identidad del interlocutor. Por ejemplo, cuelga la llamada y llama tú directamente al número oficial de la empresa.
- Bloquea números sospechosos y reporta cualquier intento de phishing y vishing.

Contenido exclusivo - Clic Aquí Meta afronta una demanda por presuntas descargas de adultos para entrenar su IA

En definitiva, no caigas en la trampa del phishing y vishing. La principal línea de defensa eres tú, así que no permitas que jueguen con tu confianza, miedo o urgencia. Mantén la calma, sigue las sugerencias antes mencionadas y plántate firme contra la delincuencia digital.

Andrés Leal

Desde muy joven he sentido una gran curiosidad por todo lo relacionado con los avances científicos y tecnológicos, en especial aquellos que nos hacen la vida más fácil y entretenida. Me encanta estar al tanto de las últimas novedades y tendencias, y compartir mis experiencias, opiniones y consejos sobre los equipos y gadgets que uso. Esto me llevó a convertirme en redactor web hace poco más de cinco años, enfocado principalmente a los dispositivos Android y sistemas operativos Windows. He aprendido a explicar con palabras simples aquello que resulta complicado para que mis lectores puedan entenderlo fácilmente.