Dice un proverbio de la Biblia “Los perversos no descansan hasta hacer el mal y no pueden dormir hasta que no le hacen daño a alguien”, a lo que podríamos añadir que si encima hacen el mal en plena era digital lo tienen más fácil. 

Estafadores ha habido siempre y siempre los habrá. La diferencia es que ahora el defraudador cuenta con más herramientas para cometer sus fechorías y además se puede amparar en el anonimato que la era digital le proporciona. Hoy día tenemos la suerte de contar con muchas herramientas que nos permiten estar constantemente comunicados y además poder realizar cientos de gestiones digitalmente, pero al mismo tiempo esto puede ser un problema si no estamos alerta.

¿Qué es el vishing y cómo funciona?

Este pasado verano la Policía Nacional advertía a través de sus redes sociales del incremento de delitos que se estaban produciendo con esta práctica debido al aumento de denuncias por parte de personas que habían sido víctimas del mismo.

Pero ¿en qué consiste este fraude? Lo primero que tenemos que decir es que este tipo de práctica delictiva no es nueva, ya que trata de obtener información personal de la víctima a través de una llamada telefónica que realiza a la misma, pero para realizar este engaño el delincuente ha podido usar previamente herramientas digitales para obtener cierta información personal de la víctima.

Según INCIBE (Instituto Nacional de Ciberseguridad) el vishing es un tipo de fraude basado en la ingeniería social y en la suplantación de identidad. Se realiza a través de llamadas telefónicas, donde el atacante suplanta la identidad de una empresa, organización o incluso de una persona de confianza, con el fin de obtener información personal de sus víctimas.

Lo primero que tenemos que tener en cuenta es que hay existen varias modalidades de esta práctica delictiva y vamos a tratar de explicar las dos más comunes, pero todas tienen en común la llamada telefónica que se hace a la víctima.

Por un lado tenemos el vishing donde hacen una llamada telefónica y el delincuente se hace pasar por un banco, compañía de telecomunicaciones o cualquier otra empresa con la que la víctima tiene o ha tenido algún tipo de relación. Pero ¿Cómo sabe el delincuente cuales son las compañías o empresas con las que se relaciona la víctima? Posiblemente el atacante ha obtenido esa información confidencial previamente a través de otro tipo de ataque digital como el phishing (ha enviado un correo falso y la víctima ha facilitado determinados datos o ha introducido esos datos en una web falsa) y otras veces el propio atacante simplemente prueba, por ejemplo, se hace pasar por empleado la compañía X y si la víctima confirma que es de dicha compañía continúa con la llamada para tratar de culminar el fraude. En la llamada telefónica el delincuente va tratar de obtener información confidencial como pueden ser datos bancarios, personales, o bien el usuario y contraseña del área de clientes para luego acceder con los mismos y completar el fraude.

Pero como los malos cada vez son más sofisticados, por otro lado tenemos el vishing donde el objetivo es grabar nuestra voz y en concreto buscan que digamos la palabra “si” (algo que es relativamente fácil, ya que muchas personas contestamos al teléfono diciendo “si”) para grabar la misma. Una vez que el estafador ha grabado nuestra voz la podrá usar, por ejemplo, para llamar al servicio de atención al cliente del banco y usar la voz para autorizar algunas operaciones.

¿Cómo tratar de evitarlo?

Lo primero que tenemos que tener en cuenta es que, en condiciones normales, ninguna compañía de la que seamos clientes nos va a pedir nunca datos personales o confidenciales nuestros, salvo en el momento de darnos de alta en algún servicio o a la hora de comprar algún producto, más que nada porque dichos datos ya los tiene. Igualmente, y esto es muy importante, ninguna empresa jamás nos va a solicitar que le digamos cual es el usuario o contraseña de nuestra área de clientes o cualquier otra contraseña o código que sean necesarios para realizar gestiones digitalmente como, por ejemplo, nuestra clave de autorización para realizar operaciones bancarias.

Debemos sospechar de las llamadas realizadas desde números ocultos o números que tienen una numeración anormalmente larga (más de 9 dígitos) y ante cualquier  sospecha de que podemos estar ante un fraude lo mejor es colgar la llamada y ponernos en contacto con el servicio de atención al cliente de la empresa que supuestamente nos ha llamado para verificar si están realizando ese tipo de llamadas.

Por otro lado, en caso de que creamos haber sido víctimas de vishing el INCIBE nos facilita las siguientes recomendaciones:

• Escanear nuestro dispositivo con un antivirus actualizado.
• Eliminar cualquier archivo que hayamos descargado del correo.
• Bloquear el número que nos haya contactado.
• Cambiar las contraseñas de aquellas cuentas que hayan podido ser vulneradas.
• Activar la verificación en dos pasos en las cuentas que lo permitan para evitar la suplantación de identidad.
• Contactar con el banco para cancelar cualquier pago no autorizado o cancelar nuestra tarjeta en caso necesario.

Para saber más:

Cuadernos de Seguridad

INCIBE

Xataka