Qué es el “vishing”, cuáles son las estafas más comunes y qué hacer si se cae en ellas

Entre la larga lista de estafas, timos y fraudes que los ciberdelincuentes pueden practicar con un bajo coste y menor riesgo para ellos, el llamado “vishing” no es de las más conocidas a pesar de no ser nada estrictamente novedoso. Las estafas que se inician por una llamada telefónica existen desde hace muchas décadas, pero la tecnología les ha permitido alcanzar un nivel de sofisticación impensable hace no demasiado y el contexto ha hecho el resto.

La ingeniería social, las filtraciones masivas de datos de particulares fáciles de localizar en Internet y de usar por cualquiera con la suficiente falta de escrúpulos, los servicios de VoIP y las herramientas de “software” que permiten falsificar la identificación de una llamada han abonado el terreno para que el “vishing” se haya convertido en una táctica tan común como eficaz.

Ya en 2020, el FBI alertó del crecimiento de este tipo de fraudes parejo al crecimiento del teletrabajo como consecuencia de las restricciones impuestas por la pandemia y son comunes las alertas de la Oficina de Seguridad del Internauta (OSI), el Instituto Nacional de Ciberseguridad (INCIBE) y las cuerpos y fuerzas de seguridad sobre este tipo de estafas. Te contamos qué tienes que saber para estar prevenido frente a este tipo de fraudes.

¿Qué es el “vishing”?

Se trata de un anglicismo que unifica los términos “phishing” y “voice”. “Phishing” son las estafas que se basan en la suplantación de identidad en las que el ciberdelincuente se hace pasar por una entidad que sea de confianza para la víctima (un banco, una empresa, un organismo oficial, etc) para obtener datos sensibles como información bancaria u otros. Su forma más común y menos costosa es a través de correos electrónicos fraudulentos, que es lo que se entiende por “phishing”. Si el contacto con la víctima se inicia por un SMS es lo que se conoce por “smishing” y si es por una llamada de voz entonces estamos ante un caso de “vishing”,

Mientras que las dos primeras son las formas menos arriesgadas y más sencillas de suplantar una identidad, el “vishing” requiere la interacción directa con los estafadores a través de una llamada de voz. La mayoría de la gente no está acostumbrada a que le engañen de forma tan directa, por lo que un buen esquema de “vishing” tiene más probabilidades de obtener resultados.

La ingeniería social es un factor común pero no imprescindible en estas tácticas. Disponer de algún dato de la víctima, como el nombre y número de teléfono, facilita suplantar la identidad de una empresa prestadora de cualquier tipo de servicio que la víctima pueda ser cliente y dar una impresión de legitimidad. Las listas con datos personales de usuarios provenientes de filtraciones de seguridad son muy fáciles de localizar en Internet y una de las razones por la que es importante proteger la privacidad de los datos personales.

Otros rasgos que definen el “vishing” es el uso de servicios VoIP (Voz sobre IP, es decir, llamadas a través de Internet) que dificultan el rastreo de las llamadas, de marcadores automáticos que van probando números de teléfono hasta obtener una respuesta y comunicar entonces a la víctima con el estafador y el uso de falsificadores de identificación de llamada que permiten una suplantación de identidad más convincente. Es decir, servicios web, “apps” y programas informáticos que permiten al estafador desde escoger el número con el que va a aparecer en la pantalla del móvil de la víctima hasta modificar el sonido de su voz.

Con todos estos elementos y la habilidad que demuestren los ciberdelincuentes en pergeñar un esquema que convenza a la víctima para entregar información que pueden aprovechar, las posibilidades son enormes.

¿Cuáles son las estafas de “vishing” más habituales?

Los ciberdelincuentes suelen adaptar sus estafas a las circunstancias del momento. En el contexto actual de crisis energética, un engaño presentado como una oferta ventajosa de un distribuidor de energía que requiere la entrega de los datos bancarios es mucha mejor opción ahora que hace un año, por ejemplo. Los esquemas de “vishing” más habituales, según la firma de seguridad ESET, son los siguientes.

Soporte técnico informático

Dada la ubicuidad del sistema operativo Windows, Microsoft es una de las empresas más suplantadas en este tipo de engaños, aunque puede valer cualquier tipo de soporte técnico. En este caso el estafador no necesita sonsacar datos sensibles a la víctima, sino convencerla de la necesidad de permitirle el acceso a su equipo mediante una herramienta de acceso remoto como TeamViewer con la excusa de cualquier problema técnico o de seguridad detectado por la falsa empresa. Una vez conectado al equipo de la víctima, el ciberdelincuente lo tiene fácil para engañar mostrando indicios falsos de una infección; por ejemplo, mediante los mensajes de errores o advertencias habituales que suelen encontrarse en el Visor de Eventos de Windows. Con la víctima convencida, se le insta a la instalación de un supuesto antivirus o “software” de seguridad por una determinada cantidad de dinero y con la que el atacante ya dispondrá de acceso al equipo y su información cuando quiera.

Reembolso por servicio

En este caso, los criminales establecen un contacto telefónico para informar sobre una supuesta devolución de dinero por un servicio contratado en el pasado y que la compañía prestadora dejó de ofrecer. A partir de esta justificación, el estafador persuade a la víctima para que instale un “software” de acceso remoto en su equipo y una vez conseguido se la insta a que acceda a su cuenta bancaria desde el equipo comprometido. En paralelo, se simula la transferencia de la mencionada devolución a través de un sitio web falso para a continuación modificar la cantidad sujeta a devolución y que parezca que se le ingresa más de lo debido. Se apela a la buena fe de la víctima para que proceda a la devolución de la diferencia, momento en el que se consuma la estafa.

Problemas financieros/Problemas legales/Suplantación de identidad de organismo estatal

Los atacantes se hacen pasar por la Policía, un banco, una firma legal o un organismo estatal para informar sobre algún problema o movimiento fraudulento asociado a la víctima o por resultar beneficiario de algún tipo de ayuda. Con esta excusa, los atacantes solicitan la entrega de información personal y en algunos casos el acceso a la computadora del usuario para obtener credenciales sensibles.

Algún familiar o persona cercana está en problemas

Simulando ser algún conocido o en nombre de esa persona, los atacantes solicitan con urgencia al receptor de la llamada la necesidad de entregar dinero, ya sea físicamente o mediante una cuenta bancaria que será proporcionada por el mismo canal de comunicación. En múltiples ocasiones se emplean métodos demanipulación emocional agresivos, como un llanto falso o la apelación a algún incidente sufrido por el supuesto conocido de la víctima, para añadir urgencia al engaño.

¿Qué hacer si se ha caído en un engaño de “vishing”?

La Oficina de Seguridad del Internauta recomiendo tomar las siguientes medidas si se sospecha haber sido víctima de una estafa de “vishing”:

1) Escanear nuestro dispositivo con un antivirus actualizado.

2) Eliminar cualquier archivo que hayamos descargado del correo.

3) Bloquear el número que nos haya contactado.

4) Cambiar las contraseñas de aquellas cuentas que hayan podido ser vulneradas.

5) Activar la verificación en dos pasos en las cuentas que lo permitan para evitar la suplantación de identidad.

6) Contactar con el banco para cancelar cualquier pago no autorizado o cancelar nuestra tarjeta en caso necesario.

7) Recopilar todas las pruebas posibles y denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado