Vishing

¿Qué es el Vishing y cómo funciona?

VeraSoul
VeraSoul Seguridad
8 Min.
86 / 100

¿Te has preguntado alguna vez lo que es el Vishing y cómo funiona? Corren tiempos de era digital, la cual avanza de una manera muy rápida, y los ciberdelincuentes aprovechan nuevas oportunidades.

Hoy en día, los usuarios pasamos tanto tiempo conectados a nuestros dispositivos que es importante que estemos alerta, ya que los ciberdelincuentes no descansan y siempre estarán tratando de elaborar nuevas estafas y fraudes con los que hacerse con nuestra información personal.

Ahora que ya sabes que el phishing trata de obtener nuestros datos personales a través de páginas webs muy similiares a las auténticas, como puede ser la de tu banco o incluso la propia web de correos (tratando la suplantación desde ese punto de vista), que el smishing pretende conseguir nuestra inforación por medio de los mensajes de texto SMS u otra plataforma de mensajería, el vishing lo intentará por medio de las llamadas telefónicas en las que se emplea mucho la ingeniería social para convencernos y obtener la misma información.

El modus operandi consta de dos pasos:

  1. El atacante debe haber obtenido información confidencial sobre su víctima, como su nombre y apellidos, el correo, domicilio, parte de los datos de su tarjeta de crédito, etc. Esto lo obtiene gracias a otros ataques realizados sobre sus víctimas, como el phishing.
  2. Una vez obtenida esta información, es el momento de realizar una llamada telefónica al cliente, haciéndose pasar por su banco, una empresa de mensajería o un servicio técnico para utilizar la información anterior y que su víctima confíe en él. Tras esto, tratará de obtener más información, conseguir que el usuario instale algún malware en su equipo o realice algún tipo de pago.

¿Cómo funciona el vishing?…

Son muchos los términos que se desconocen en el mundo de la ciberseguridad, tales como phishing, smishing, y del que hoy nos toca hablar, el vishing. Por ello, que mejor que hacerlo mediante un ejemplo: a todos nos gusta usar el móvil para casi todo, o para todo, realizar llamadas, escribir a familiares y amigos, descargar aplicaciones, estar informado de descuentos y promociones registrándonos en páginas webs o bien rellenando formularios online.

Smishing

De pronto, su teléfono comienza a sonar, y al descolgar, mantiene la siguiente conversación:

  • Hola, buenos días, ¿es usted Fulanito de Tal, titular de la línea XXX-XXX-XXX?
  • Sí, soy yo.
  • Soy Fulanito de Cual, le llamo de la compañía telefónica PhonePhone, en relación a su última factura. Parece que ha habido un error, pues debería habérsele descontado una parte. Esto es debido a un acuerdo que tenemos con su banco. Por comodidad para usted, le haremos la devolución de esta parte proporcional a su cuenta bancaria, pero necesito que me valide sus datos bancarios.
  • Claro. Mis datos son los siguientes…

Esta sueleserl a típica conversación telefónica, y en un 95% de los receptores, caen en la trampa, dando la información solicitada por el interlocutor.

La supuesta devolución nunca llegó y Fulanito de Tal no tardó en darse cuenta de que había sido víctima de un fraude.

Los ciberdelincuentes han conseguido obtener cierta información de nuestro protagonista a través de su correo electrónico. Como se había estado registrando en varias ofertas y promociones y compartiendo datos a través de formularios online, debió de haber sido víctima de otro tipo de fraude, regalando información sensible, como su correo electrónico y número de teléfono, que los atacantes utilizaron para obtener aún más información sobre él.

Luego, se hicieron pasar por su compañía de teléfono para ofrecerle un atractivo descuento y recabar el resto de los datos que necesitaban.

A pesar de la amenaza, este tipo de fraudes son fácilmente identificables y los usuarios disponemos de varias pautas y buenas prácticas que nos pueden ayudar a defendernos de los ciberdelincuentes:

  1. VERIFICAR SIEMPRE la identidad del remitente. Si nos aparece un número desconocido en la pantalla de nuestro teléfono, una alerta de spam o no nos convence, siempre podemos comprobar el número de teléfono en Google para ver si está relacionado con algún tipo de fraude.
  2. NO hacer clic ni seguir sus indicaciones. Es común que los atacantes se sirvan de mensajes y correos automatizados para engañar a sus víctimas o conseguir que descarguen algún malware.
  3. NO facilitar nunca información personal. Aunque no estemos seguros de si se trata de un fraude, nunca deberemos compartir nuestros datos con un desconocido.

Si recibimos alguna llamada telefónica de nuestro banco u otro servicio de confianza, debemos saber que ellos ya disponen de toda la información que necesitan para realizar estos trámites y que, bajo ningún concepto, debemos compartir con ellos datos sensibles, como nuestra tarjeta de crédito o contraseñas, ni dejar que un desconocido tome control sobre nuestros dispositivos.

Los hackers se han modernizado. Los bots están programados para intentar decenas de veces el mismo truco hasta conseguir que alguien muerda el anzuelo. La tecnología Deep Fake y la Inteligencia Artificial (AI) están agilizando la proliferación de este tipo de scam. A veces, el truco está en llamar a alguien, pero solo un par de toques, para que esa persona devuelva la llamada y en ese momento robarle los datos.

¿Qué hacer si soy víctima de vishing?…

En el caso de que sospechemos estar ante un caso de vishing, lo mejor que podemos hacer es cortar toda comunicación, y si tenemos la sospecha de haber sido víctimas de este fraude, lo que deberemos hacer es lo siguiente:

  1. Escanear nuestro dispositivo con un antivirus actualizado.
  2. Eliminar cualquier archivo que hayamos descargado del correo.
  3. Bloquear el número que nos haya contactado.
  4. Cambiar las contraseñas de aquellas cuentas que hayan podido ser vulneradas.
  5. Activar la verificación en dos pasos en las cuentas que lo permitan para evitar la suplantación de identidad.
  6. Contactar con el banco para cancelar cualquier pago no autorizado o cancelar nuestra tarjeta en caso necesario.
  7. Recopilar todas las pruebas posibles y denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado

Consejos…

  • Debemos hacer labor de concienciación hacia los más mayores y vulnerables, y si resulta conveniente, pedirles que nunca realicen ninguna gestión sin supervisión.
  • Ante cualquier publicación que nos invite a acceder a algún lugar conocido, debemos ver el modo de hacerlo sin utilizar su enlace. Es mucho más seguro buscar la página en Internet.
  • Cuando hablamos de redes sociales, es importante desconfiar siempre de sorteos, cupones descuento y ofertas desorbitadas. Si alguna tienda realiza un sorteo o regala un cupón lo hará desde sus canales oficiales.

En resumen…

Smishingvishing y phishing son tres tecnicismos adoptados del inglés que identifican un proceso muy similar y que forman parte de lo que conocemos hoy como ingeniería social. Engloban una estrategia común con la que los delincuentes consiguen engañar a muchos usuarios en Internet, siempre con el fin de sacar algún tipo de beneficio.

Compartir
Dejar un comentario