¿Qué es el vishing y cómo protegerte de estas llamadas fraudulentas?
Hoy en día, uno de los objetivos más codiciados de los ciberdelincuentes son los datos personales. Para ello, utilizan diferentes técnicas y, aunque los ataques a las webs o servidores de la empresa, así a como los ordenadores o dispositivos del usuario final son muy comunes, los ciberdelincuentes saben que es menos costoso y más sencillo tratar de engañar a las personas. Es decir, utilizar la ingeniería social.
En este método, los ciberdelincuentes utilizan diferentes técnicas de comunicación (email, SMS, redes sociales, llamadas…) para tratar de ganarse la confianza de las personas, de forma que sean ellas mismas las que les faciliten estos datos de forma voluntaria. Hoy vamos a explicar qué es el vishing y cómo protegerte de estas llamadas fraudulentas.
Índice
¿Qué es el vishing?
Como hemos comentado, el vishing es un tipo de fraude basado en la ingeniería social y en la suplantación de identidad. Se realiza fundamentalmente a través de llamadas telefónicas, donde el atacante suplanta la identidad de una empresa, organización o incluso de una persona de confianza, con el fin de obtener información personal de sus víctimas.
En este tipo de ataque, la persona que está al otro lado de la línea telefónica trata de ganarse la confianza de sus víctimas y les solicita diferentes datos personales o financieros, como por ejemplo tarjetas de crédito, número de cuenta o personales, el DNI, dirección, credenciales de la banca electrónica, códigos SMS, etc. En el caso de empresas, incluso pueden preguntar por el personal y su situación, de forma que recaben información que les permita realizar un engaño más preciso. Para ello, utilizarán diferentes pretextos, como la devolución de un importe, una promoción, una incidencia bancaria o irregularidades en nuestra empresa.
Para ganarse la confianza de las víctimas y ofrecer más credibilidad en su fraude, el ciberdelincuente – que puede estar suplantando la identidad de una empresa con la que trabajamos, como una mensajería o una entidad financiera – puede haber investigado determinados datos personales, como nombre, dirección de email o código postal. Los pueden haber obtenido a través de un ataque previo de phising o simplemente por habernos registrado de forma voluntaria en alguna página, falso sorteo, etc.
Tipos de vishing: técnicas más utilizadas
Suplantación de identidad de un banco
Es el más habitual. La persona que llama se hace pasar por agente de una entidad financiera y trata de engañar con pretextos como ofertas, cargos inesperados, incidencias en la cuenta, etc. De esta forma, buscarán que la víctima facilite datos personales o financieros que deberían conocer, pero que por cualquier motivo quieren verificar. También pueden tratar de realizar transferencias y, para ello, intentarán lograr que les faciliten las credenciales bancarias y códigos recibidos por SMS.
Soporte técnico informático
Es otra de las técnicas más extendidas, un falso soporte técnico llama para alertar de que el ordenador o dispositivo ha sido detectado como emisor de virus o cualquier otra incidencia que concuerde con la situación de la persona o la empresa. En este caso, amablemente se ofrecen a resolver el problema, limpiar nuestro equipo y evitar de esta manera un mal funcionamiento del mismo. Para ello, nos pedirán acceso remoto al ordenador en el que, una vez tengan el control, instalarán un programa malicioso que se encargue de recopilar todos los datos financieros, empresariales o personales que necesiten.
Suplantación de identidad de una mutua de empresa o un proveedor
Un caso muy concreto de esta técnica está especialmente dirigido hacia las empresas. Se trata de la suplantación de identidad de agentes de mutuas, proveedores o empresas de formación bonificada. Suelen presionar a los empleados para obtener información tras ganarse su confianza para que les faciliten datos financieros o personales, y a los responsables para que realicen trasferencias.
En el primer caso, un supuesto agente de la mutua llamaría, por ejemplo, interesándose por un empleado de baja. De hecho, en los últimos tiempos no es raro que esto ocurra y que la compañía tenga a algún trabajador de la empresa de baja por COVID, por lo que al concordar con la situación, el responsable no sospecha del fraude. Tras ganarse la confianza, tiran del hilo para obtener datos financieros con el fin de, supuestamente, realizar los pagos que correspondan por la baja de dicho empleado a la empresa.
En el caso de los proveedores el gancho es la mercancía retenida que debería salir, pero por cualquier motivo está parada, normalmente debido a una irregularidad en el pago. En esta modalidad se presiona a los empleados para que faciliten los datos o realicen una transferencia, haciéndoles responsables de posibles retrasos o problemas en la distribución.
¿Cómo evitar el vishing?
A pesar de lo fácil que pueda parecer el engaño es relativamente sencillo evitar el vishing. En primer lugar, siempre deberíamos verificar la identidad del remitente. Para ello podemos realizar una búsqueda del número desde el que nos están llamando que muchas veces está marcado como spam, pero sobre todo no facilitar ningún dato en esta llamada aunque confiemos. Si esto no es posible porque en pantalla aparece un nombre, debemos ser previsores, ya que los ciberdelincuentes pueden falsear fácilmente este dato.
Ante cualquier sospecha y siempre que nos soliciten algún dato sensible o confidencial (datos personales, financieros o empresariales), lo más seguro es consultar con quién estamos hablando, colgar con cualquier pretexto, y realizar nosotros mismos la llamada al teléfono oficial de la empresa o persona que nos está llamando (nunca devolver la llamada al que nos ha marcado). De este modo, evitaremos cualquier engaño al comprobar la veracidad de la llamada mediante otro medio.
Por ejemplo, si nos llaman diciendo que son de una entidad financiera, lo correcto es no ofrecer datos y ser nosotros los que directamente nos pongamos en contacto con nuestro banco contándoles lo que nos han dicho en la llamada, ya sea una incidencia o una oferta. Si estamos siendo víctimas de una suplantación de identidad, el banco desconocerá dicha oferta o incidencia y ya habremos detectado que realmente se trataba de una estafa. Además, esto ayudará al banco a prevenir a sus clientes del ataque y evitar futuras víctimas de la estafa.
Lo mismo podríamos decir en el supuesto del falso servicio técnico que quiere revisar nuestro ordenador, la mutua o el proveedor que tiene mercancía retenida. En todo caso, en ningún momento deberíamos facilitar información personal por teléfono. Tampoco seguir sus indicaciones o instalar ninguna aplicación en nuestros ordenadores o teléfonos móviles.
También deberíamos bloquear el número de teléfono desde el que recibimos la llamada para evitar que en el futuro nos vuelvan a molestar. Como medida de prevención, no está de más contactar con el banco para que bloqueen cualquier operación inusual que se pueda producir o activar la verificación en dos pasos para los servicios cuya información se ha intentado obtener.
Por último, para garantizar la seguridad de las comunicaciones, es fundamental realizar un correcto uso de la tecnología. A ello se une la necesidad mantenerse relativamente informado sobre la actualidad el sector cibernético, realizar pequeños test de espacios de confianza para comprobar el nivel de seguridad de la compañía y formar a nuestros trabajadores, ya que muchas de las estafas de vishing se dirigen a los teléfonos genéricos de la empresa.