Qué es el vishing y cómo evitarlo

El teléfono móvil es una de las principales herramientas para tratar de estafar a los consumidores. Desde la OSI, la Oficina de Seguridad Informática advierten de la peligrosidad del 'vishing' un fraude basado en la ingeniería social y en la suplantación de identidad.

¿Quién no ha recibido una llamada de una empresa en la que la persona que llama solicita los datos? Bien, así es exactamente como se lleva a cabo este tipo del estafa. En el 'vishing' una persona llamará a nuestro terminal y se hará pasar por trabajador de una empresa, organización o hasta por una persona conocida para conseguir información personal de la víctima. La suplantación de personalidad se puede hacer mediante una llamada pero también por medio de SMS.

El estafador procede en dos partes:

1.- El delincuente debe conocer algo de información personal sobre la persona a la que pretende estafar. Esto es, nombre, apellidos, la dirección postal, correo electrónico y hasta parte dela numeración de la tarjeta de crédito u otro dato de tipo bancario. Este trabajo previo lo ha realizado con otros ataques destinados a la estafa como el es 'phishing'.

2.- Llega el momento de realizar la llamada suplantando la identidad del banco, empresas de mensajería, diferentes servicios técnicos u otras empresas que pueden necesitar este tipo de información personal. Lo que quiere el delincuente es además de obtener más imformación sobre la vícitma u otras posibles víctimas es que el usuario instale un programa malicioso o haga algún pago.

Desde la OSI ofrecen un ejemplo en forma de conversación ficticia para saber cómo funciona este tipo de ataque con el fin de estafar a la víctima.

Un padre de familia usa el teléfono para todo. Llamar por teléfono, mensajes con compañeros de trabajo y amigos, descargar aplicaciones con diferentes fines... Además, le gusta estar informado de todos los descuentos y promociones que encuentra, registrándose en distintas webs y rellenando algún que otro formulario online.

De pronto, su teléfono comienza a sonar, y al descolgar, mantiene la siguiente conversación:

- Hola, muy buenas tardes, ¿es usted el titular de la línea XXX-XXX-XXX?

- Sí, soy yo.

- Le llamo de la compañía telefónica TELEFUN2 en relación a su última factura. Parece que ha habido un error, pues debería habérsele descontado una parte. Esto es debido a un acuerdo que tenemos con su banco. Por comodidad para usted, le haremos la devolución de esta parte proporcional a su cuenta bancaria, para lo que necesito que me valide sus datos bancarios.

- Claro, muy bien. Mis datos son los siguientes…

Nuestro protagonista no lo dudó y compartió con el supuesto agente de la compañía telefónica su cuenta bancaria y los datos de su tarjeta. Sin embargo, la supuesta devolución nunca llegó y ese padre de familia no tardó en darse cuenta de que había sido víctima de un fraude.

Bandera Microsoft Teams ¿Qué había ocurrido? Los ciberdelincuentes habían conseguido obtener cierta información de nuestro protagonista a través de su correo electrónico. Como se había estado registrando en varias ofertas y promociones y compartiendo datos a través de formularios online, debió de haber sido víctima de otro tipo de fraude, regalando información sensible, como su correo electrónico y número de teléfono, que los atacantes utilizaron para obtener aún más información sobre él.

Luego, se hicieron pasar por su compañía de teléfono para ofrecerle un atractivo descuento y recabar el resto de los datos que necesitaban.

A pesar de que este tipo de intentos de fraude cada vez son más comunes también tienen una serie de rasgos identificables y existen pautas que pueden ayudar a reconocerlos y evitarlos.

1.- Verificar la identidad del remitente. Si aparece un número desconocido en la pantalla del teléfono, una alerta de spam o no nos convence, siempre se puede buscar el número en Google para ver si está relacionado con algún tipo de fraude.

2.- No hacer clic ni seguir las indicaciones. Los ciberdelincuentes suelen acudir a mensajes y correos automatizados para engañar a sus víctimas o conseguir que descarguen algún malware.

3.- No facilitar información personal. Aunque no estemos seguros de si se trata de un fraude, nunca deberemos compartir nuestros datos con un desconocido.

3.- El banco, la empresa de mensajería, etc, ya disponen de la información necesaria para hacer su trabajo y nunca se deben compartir datos sensibles con personas desconocidas por teléfono o por e-mail.

En el caso de que sospechemos estar ante un caso de vishing, lo mejor que podemos hacer es cortar toda comunicación, y si ya es tarde este es el procedimiento que debe serguir:

• Temas
• Estafas
• Ciberataque
• Ciberseguridad