Vishing qué es y Como Evitarlo | Máster en Ciberseguridad Online

Vishing, qué es y Como Evitarlo; Hoy en día los usuarios pasamos tanto tiempo conectados a nuestros dispositivos, que es importante que estemos atentos, porque los ciberdelincuentes no descansan y siempre intentarán crear nuevas estafas y fraudes con los que hacerse con nuestra información personal.

Vamos a dar una definición de vishing:

El vishing es un ciberdelito que utiliza el teléfono para robar información personal confidencial de las víctimas. A menudo denominado phishing de voz, los ciberdelincuentes utilizan hábiles tácticas de ingeniería social para convencer a las víctimas de que actúen, entregando información privada y acceso a cuentas bancarias.

Al igual que el phishing o el smishing, el vishing se basa en convencer a las víctimas de que están haciendo lo correcto al responder a la persona que llama. A menudo, la persona que llama finge ser del gobierno, del departamento de impuestos, de la policía o del banco de la víctima.

Los ciberdelincuentes utilizan amenazas y un lenguaje persuasivo para hacer sentir a las víctimas que no tienen otra opción que proporcionar la información que se les pide. Algunos ciberdelincuentes utilizan una conversación forzada para enmarcar su conversación como una ayuda a la víctima para evitar cargos penales. Una segunda táctica habitual es dejar mensajes de voz amenazantes en los que se dice al destinatario que devuelva la llamada inmediatamente, o se arriesga a ser detenido, a que le cierren las cuentas bancarias o algo peor.

Además de hablar sobre vishing, qué es y como evitarlo, vamos a ver las diferencias con los ataques que más se le asemejan.

El término phishing se empezó a utilizar alrededor de 1990 para describir las actividades que los estafadores utilizaban como «cebo» para atrapar a sus víctimas en Internet. Incluso hoy, la palabra se asocia a estafas basadas en la ingeniería social, es decir, estafas que intentan manipular a las personas para que caigan en una trampa.

Con la evolución de la ciberdelincuencia, han surgido los términos «smishing» y «vishing», que pueden clasificarse como tipos de phishing. En el caso del smishing, los delincuentes envían mensajes de texto para intentar convencer a la víctima de que haga clic en un enlace malicioso o responda al mensaje facilitando sus datos. Todo el proceso se limita al intercambio de texto.

En los ataques de vishing, hay un contacto de voz en algún momento del intento de fraude. El envío inicial de un SMS sólo sirve de cebo para confirmar que el número pertenece realmente a alguien o simplemente para inducir a una víctima potencial a llamar a un número para que los delincuentes puedan seguir con el ataque.

Para entender cómo funciona este tipo de ataque y que podamos identificarlo y evitarlo en nuestro día a día, veámoslo a través de un ejemplo:

Al padre de la familia García le gusta usar su teléfono móvil para todo. Desde que lo consiguió no ha parado de llamar, escribir a amigos, descargar aplicaciones, etc. Además, le gusta estar informado de todos los descuentos y promociones que encuentra, registrándose en diferentes webs y rellenando formularios online.

Repentinamente, su teléfono comienza a sonar, y cuando contesta, tiene la siguiente conversación:

– Hola, hola, ¿eres el dueño de la línea 668-……?

– Sí, dígame.

– Te llamo de la compañía telefónica CODAFONE por tu última factura. Parece que hubo un error, porque se debió descontar una parte. Esto se debe a un acuerdo que tenemos con su banco. Para su comodidad, le reembolsaremos esta parte proporcional en su cuenta bancaria, para lo cual necesito que valide sus datos bancarios.

– Por supuesto, muy bien. Mis datos de contacto son los siguientes…

Aquí respondemos a nuestra pregunta, ¿vishing qué es y como evitarlo? Nuestro protagonista no dudó y compartió sus datos bancarios y de tarjeta con el supuesto agente de la compañía telefónica, pronto se dio cuenta de que había sido estafado.

¿Qué ha pasado? Los ciberdelincuentes habían logrado obtener información de nuestro protagonista a través de su correo electrónico. Dado que se registró en varias ofertas y promociones y compartió datos a través de formularios en línea, debe haber sido víctima de otro tipo de fraude, al revelar información confidencial, como su dirección de correo electrónico y su número de teléfono, que los atacantes usaron para obtener aún más dinero y más información sobre él.

A pesar de la amenaza, el vishing es fácil de evitar y los usuarios cuentan con varias pautas y mejores prácticas que pueden ayudarnos a defendernos de los ciberdelincuentes.

Para profundizar sobre vishing, qué es y como evitarlo, veamos algunos ejemplos de los tipos más comunes.

Para acceder a los números de teléfono de las víctimas, los estafadores utilizan diferentes métodos. Uno de ellos es la obtención de información sensible a través de megafiltraciones de datos, normalmente disponibles en la dark web, o incluso a través de redes sociales y sitios de empleo. En estos casos, es aún más fácil ganarse la confianza de la gente, ya que el delincuente tendrá a mano datos como el nombre, el cargo y la empresa de la víctima.

Otra técnica habitual es el envío de mensajes de texto a números aleatorios. Los mensajes suelen pedir a la persona que llame a la «empresa» o incluso ofrecen la opción de responder a algo, como «envía ‘STOP’ si no quieres seguir recibiendo este mensaje». Una vez que la persona responde, el delincuente obtiene la confirmación de que el número está siendo utilizado por alguien y, por tanto, es un objetivo potencial.

Algunos ejemplos de ataques de vishing son:

Alerta de una entidad financiera

El estafador llama a la víctima diciendo que es de su banco u otra institución y le informa de que hay un problema con su cuenta o tarjeta de crédito. La falsa alerta también puede llegar por SMS inicialmente, pidiendo a la persona que llame a un número para resolver el problema.

Ofrece inversiones y otras soluciones financieras

Otra táctica utilizada en las estafas de vishing son los enlaces que ofrecen la oportunidad de saldar deudas por un valor inferior al original o de realizar inversiones con promesas de alta rentabilidad. Estas «ofertas» suelen ser por tiempo limitado, por lo que la persona debe actuar inmediatamente.

Solicitud del número de la Seguridad Social o del plan de salud

En algunos casos, los estafadores intentan convencer a sus objetivos de que compartan información personal, como su número de plan de salud, para que puedan beneficiarse de los servicios. También son comunes las estafas en las que los delincuentes se hacen pasar por agentes del gobierno afirmando que el número de la seguridad social de la víctima ha sido suspendido y le piden que confirme el número para poder reactivarlo.

Facturación por un servicio de asistencia técnica

Este tipo de ataque puede producirse mediante el envío de un enlace que abre una página en la que se informa de que se ha detectado un problema en el ordenador y que hay que llamar a un número para recibir asistencia técnica. Otra técnica habitual es que el delincuente llame directamente a la víctima para avisarle de que hay un fallo en el dispositivo y que se está contactando con él para ayudarle. Al final del servicio, se cobra una tarifa por reparar un problema que no existía inicialmente.

1. Verificar la identidad del remitente. Si aparece un número desconocido en la pantalla de nuestro teléfono, una alerta de spam o no nos convence, siempre podemos verificar el número de teléfono en Google para ver si está relacionado con algún tipo de fraude.

2. No hagas clic ni sigas sus instrucciones. Es común que los atacantes utilicen mensajes y correos electrónicos automáticos para engañar a sus víctimas para que descarguen malware.

3. Nunca proporcione información personal. Aunque no sepamos si se trata de un fraude, nunca debemos compartir nuestros datos con un extraño.

Si recibimos una llamada telefónica de nuestro banco u otro servicio de confianza, debemos saber que ellos ya tienen toda la información que necesitan para realizar estos trámites y que bajo ninguna circunstancia debemos compartir con ellos datos sensibles, como nuestra tarjeta de crédito, información o contraseñas, o dejar que un extraño tome el control de nuestros dispositivos.

Cuando estemos ante un caso de vishing lo mejor que podemos hacer es cortar toda comunicación, y si sospechamos que hemos sido víctimas de este fraude, lo que debemos hacer es lo siguiente:

1. Escanear nuestro dispositivo con antivirus actualizado.

2. Eliminar todos los archivos que descargamos del correo.

3. Bloquea el número que nos contactó.

4. Cambiar las contraseñas de las cuentas que puedan haber sido comprometidas.

5. Habilitar la verificación en dos pasos en las cuentas que lo permitan para ayudar a prevenir el phishing.

6. Ponerse en contacto con el banco para cancelar cualquier pago no autorizado o cancelar nuestra tarjeta si es necesario.