¿Has recibido en alguna ocasión una llamada sospechosa? ¿Alguien que se ha intentado hacer pasar por tu soporte técnico o por tu gestor bancario con la intención de alarmarte y solicitando información personal? Si la respuesta es afirmativa, es muy probable que hayas recibido una llamada fraudulenta que intenta usurpar la identidad de otra empresa. Esta acción se conoce como vishing.
Los avances tecnológicos, las mayores facilidades para compartir información personal y el desconocimiento sobre el funcionamiento de las nuevas herramientas y aplicaciones de servicios de pago, como Bizum, hacen que el vishing tenga cada vez más víctimas.
¿Qué es el vishing?
El vishing es un tipo de amenaza en la que el ciberdelincuente combina una llamada telefónica fraudulenta con la información que ha conseguido anteriormente de la víctima a través de otras técnicas en internet. Este término es una conjunción de las palabras voice y phishing.
La llamada es el último paso de este fraude online, por el que intentarán obtener información crítica tuya. Esto pasa por conseguir tu número de tarjeta o una clave que solo tengas tú y que te ha llegado a uno de tus dispositivos, como un token digital o SMS. El objetivo no es otro que finalizar algún tipo de operación en la que esas claves son necesarias.
Al disponer de información previa del usuario se consigue persuadirlo con más facilidad, ya que cree que el motivo de la llamada es real, y acaba facilitando los datos necesarios para poder proceder a la estafa.
Así funciona el vishing
Cuando somos víctimas de un fraude como el vishing, hay que tener en cuenta que los ciberdelincuentes han realizado un trabajo previo. En primer lugar, necesitan hacerse con información confidencial de su víctima, ya sea a través de un correo electrónico o de una web fraudulenta (phishing). Una vez tengan estos datos, les faltará el último paso de la llamada para culminar su estafa.
Para completar su trabajo, les hará falta una clave que habrá llegado por SMS o a través de un token digital. Ahí es cuando llega su último movimiento. El ciberdelincuente necesita contactar con la víctima y la vía elegida suele ser la telefónica. Se identifican como personal de banco, de una organización pública o de alguna otra compañía reconocida, y utilizando un tono de alarma solicitarán la clave que tan solo posee el cliente. Con ella, podrán finalizar la transacción que tienen en marcha.
Ejemplos comunes de vishing
Uno de los últimos casos sonados de vishing ha sido el de la Seguridad Social y Bizum, aunque con frecuencia salen a la luz nuevas estrategias de vishing muy bien desarrolladas con el objetivo de engañar a la perfección a sus víctimas.
En el caso mencionado, una persona llama haciéndose pasar por un empleado de la Seguridad Social y le indica a la futura víctima que le van a realizar un ingreso especial para hacer frente a la crisis del coronavirus. Normalmente se trata de una prestación por maternidad y se gestiona a través de Bizum. ¿Cuál es la trampa? Cuando el usuario acepta esta transacción no recibe la cifra indicada, sino que recibe un cargo por ese importe.
Aunque en la aplicación de Bizum esta operación aparezca indicada como un cargo, el hecho de haber recibido antes la llamada y la falta de costumbre con la aplicación hace que muchos usuarios se confundan y la acepten.
Además de este ejemplo de suplantación gubernamental, hay más casos en los que los estafadores se hacen pasar por órganos públicos, como Hacienda. En esta estafa se recibe una llamada de un supuesto trabajador de Hacienda que comunica que se debe una cantidad de impuestos y que se debe pagar lo antes posible para evitar una sanción. Una vez que el usuario se ha creído esta parte, solo queda solicitarle la información personal para proceder a saldar la deuda.
También se han reconocido estafas de vishing en las que suplantan a instituciones bancarias o financieras para realizar llamadas informando de cargos fraudulentos en la cuenta, ofertas especiales o cualquier otro motivo con el que pretenden que el usuario acabe facilitando sus datos.
Otro ejemplo muy común de vishing es el conocido “fraude del telemarketing”. El usuario recibe una llamada telefónica para comunicarle que está a punto de caducar la garantía de su vehículo, que quieren reducirle la tasa de interés de la tarjeta de crédito, que una organización benéfica necesita que colabore con una pequeña donación… Los ejemplos son muy variados y la finalidad es siempre la misma: convencer al usuario con algún beneficio para que aporte sus datos bancarios.
El “fraude del sorporte técnico” tiene un planteamiento muy parecido. En esta ocasión, la llamada es de un representante del soporte técnico que quiere resolver un problema en el ordenador de la víctima. Para resolverlo necesita que la víctima le facilite el acceso remoto. Finalmente, la víctima tiene que pagar por este servicio prestado.
Hay que tener claro que ninguna empresa solicita a sus clientes datos críticos vía telefónica por lo que, si nos encontramos en un caso así, estaremos sufriendo un ataque de vishing.
Vishing, phising y smishing
Aunque el vishing es la técnica de estafa por suplantación más conocida, hay otras dos prácticas que guardan mucho en común, el phising y el smishing, de las cuáles también os hemos hablado en el blog. Las tres comparten esa parte previa de conseguir información del usuario antes de proceder a contactar con el, pero, ¿en qué se diferencian?
- Como comentamos antes, en el vishing la víctima recibe una llamada telefónica.
- En las estafas por phising el contacto con la víctima se realiza por medio de un correo electrónico que también suele suplantar la identidad de alguna compañía o entidad reconocida.
- El smishing usa como vía de contacto los SMS. Desde los que envía un enlace malicioso que la víctima debe seguir.
Así puedes evitar ser víctima de esta nueva ciberestafa
Comprueba siempre los números desde los que recibes las llamadas y las direcciones de correo electrónico. Si el número te parece sospechoso, puedes no responder e incluso bloquearlo. Si dicen pertenecer a una determinada compañía u organización, puedes comprobar si ese número o correo aparece en la web oficial de dicha empresa o buscarlo por internet.
Ninguna empresa solicita a sus clientes que revelen claves de acceso o datos críticos de forma telefónica. En el supuesto de recibir una llamada de este tipo, es importante mantener la calma y no dar ningún dato. Si la recibes, te agradecemos que nos avises en tuseguridad@abanca.com para poder investigarlo.
Es importante, además, tener los equipos actualizados con las últimas versiones para intentar evitar hackeos. También es recomendable que sigas otro tipo de precauciones como no abrir archivos adjuntos de destinatarios desconocidos o no visitar páginas web potencialmente peligrosas.
Por otra parte, desde la Oficina de Seguridad del Internauta (OSI) recomiendan vigilar con regularidad qué información personal está disponible en internet, con la finalidad de detectar si se han subido datos privados que pueden ser usados sin consentimiento.
Recuerda que los contenidos de este blog tienen carácter informativo. Cualquier actuación motivada por su contenido o por la interpretación de las normas a las que hace referencia deberá ser analizada de forma específica teniendo en cuenta la situación particular de que se trate.
