Es muy común pensar que los cibercriminales que actúan en Internet únicamente emplean webs, correos electrónicos o redes sociales como herramientas. Pero no siempre es así, también usan recursos que quizás parezcan más anticuados como los SMS o las llamadas telefónicas. En el caso de los SMS estos ataques se llaman smishing y en el de las llamadas vishing.
En este post quiero hablarte del segundo, del vishing, porque cada vez es más habitual recibir este tipo de ataques.
Si quieres saber qué es eso del vishing y cómo protegerte, no tienes más que seguir leyendo.
Qué es el vishing
▣ El vishing es un ataque de ingeniería social, un fraude, que se lleva a cabo mediante una llamada telefónica. Está compuesto por las palabras voice y phising.
▣ El atacante recopila información de sus objetivos en Internet y luego realiza una llamada telefónica suplantando a personas o a representantes de empresas o entidades que reconocen y en los que confían.
▣ Este tipo de fraudes funciona bastante bien, porque aprovecha la confianza que se genera con la comunicación verbal, reforzada con los datos que ha recabado y estudiado previamente de la persona atacada. Y es que es más fácil recelar de un remitente que tiene mucha información sobre nosotros que nos envía un e-mail u otro tipo de mensaje escrito, que de alguien (muy amable) que se hace pasar por una persona conocida o por una entidad en la que confiamos y que se dirige a nosotros de viva voz.
Qué tipo de reclamos utilizan
Los ganchos que emplean para engañar a los objetivos son muchos.
▣ Una forma de vishing muy habitual es la que se relaciona con los bancos. Suelen llamar haciéndose pasar por alguien de nuestra entidad bancaria que nos informa de que hay alguna incidencia con nuestra cuenta o con nuestra tarjeta que necesita solucionarse enseguida. Para ello nos pedirá el número de cuenta o de tarjeta, la clave o contraseña...
▣ También puedes recibir un SMS que informa de un cargo inesperado en tu tarjeta que incluye un número de teléfono al que llamar que, por supuesto, no corresponde ni al banco ni a la entidad emisora de la tarjeta. En ese teléfono nos pedirán datos para solucionar el problema, aunque lo que realmente los utilizarán para robar tu dinero.
▣ Este tipo de estafas también pueden utilizar la excusa de que hay un error en la factura de tu compañía de telefonía, de electricidad, de gas... Para solucionarlo, te pedirán tus datos bancarios. El error suele ser un cargo mayor del debido, lo que implica una supuesta devolución, algo muy atractivo y que invita a caer en la trampa.
▣ Pueden suplantar a alguien del servicio técnico de nuestro ordenador o de nuestra WiFi y que nos informa de un problema sumamente en nuestro equipo y que necesita una acción inmediata. La inmediatez en la solución requiere un acceso remoto al dispositivo o la descarga de un software... et voilà, según lo hacemos le damos el control al equipo o somos nosotros mismos los que descargamos un software que tiene de todo menos buenas intenciones. Si no has sido tú quien ha detectado la incidencia o si no has recibido una comunicación escrita y fiable de la compañía... desconfía si te llama un técnico salvador.
▣ Otro modo muy frecuente de vishing es el de los regalos, sorteos y concursos. Pueden decirnos que hemos ganado un sorteo, que somos beneficiarios de una promoción especial o de un cheque regalo de un establecimiento, que nos han seleccionado para participar en un concurso exclusivo con grandes premios... y todo ello requiere que les facilitemos todo tipo de datos, también los bancarios. Incluso llegan a pedirnos que entremos en un enlace o que nos descarguemos una aplicación.
▣ Si has puesto a la venta algún artículo de segunda mano en Internet, puedes recibir la llamada de un atacante que supuestamente quiera comprarlo y que te pedirá tus datos bancarios para hacer la compra de una forma más rápida que la que ofrece la plataforma.
▣ Las empresas tampoco se libran de este tipo de fraudes. Suelen llamar indicando que tienen una factura pendiente de pago y que es necesario hacer el pago de forma inmediata. Requieren confirmar el número de cuenta y el NIF o incluso facilitan el suyo para que se les haga el ingreso. Esto suele funcionar bien en empresas pequeñas y medianas. Si son muy pequeñas las compras y gastos son bien conocidos y están muy controlados, por lo que no cuela. Si son muy grandes tampoco les sirve de mucho, porque los tiempos y trámites para realizar los pagos no hacen viable que les funcione.
▣ Otra forma de captar incautos es haciéndose pasar por representantes de Hacienda, de la Seguridad Social o de otro organismo oficial para informar de sanciones, deudas, confirmación de datos o incluso de concesión de ayudas y subvenciones. Por ello piden todo tipo de datos personales y bancarios. Los objetivos de este reclamo son tanto empresas como particulares.
Como puedes ver los ataques son de lo más variado. Estos son sólo algunos que pueden servirte de referencia, pero debes tener en cuenta que los cibermalos no descansan y su creatividad no tiene límites, así que es importante estar siempre alerta.
Cómo evitar este tipo de ataques
▣ Presta atención a todas las llamadas. En muchos casos respondemos con el pensamiento en otras cosas y nos perdemos una buena parte de los detalles y de la información que no da nuestro interlocutor.
▣ No compartas información personal sin ton ni son. Hazlo únicamente cuando sea necesario y siempre cuando los destinatarios sean reconocidos y reconocibles.
▣ Nunca facilites tus datos bancarios a través del teléfono. Nunca. Los bancos, compañías y entidades ya los tienen o recaban esos datos de forma personal o de plataformas seguras.
▣ Ten siempre presente que ningún banco ni caja de ahorros, ni mucho menos otro tipo de empresas y organismos, te van a pedir tus claves ni passwords.
▣ Estate alerta ante números desconocidos, ocultos o sospechosos. Aunque eso no siempre es señal de fraude, puesto que las llamadas desde centralitas o call centers pueden despistar, pero conviene prestar algo más de atención si hay algo diferente en la llamada.
▣ Presta atención a la identificación de quien te llama, su nombre y la empresa a la que representa. En muchos casos suelen obviar parte de la información o la dicen tan deprisa que es difícil enterarse.
▣ Ante la duda, confirma la identidad del interlocutor. Pídele que te llame más tarde con la excusa que quieras (o sin justificarte siquiera). Así tendrás tiempo para ser tú el que hables directamente con la empresa o entidad a través de su forma de contacto oficial para cerciorarte de la legitimidad de la llamada.
▣ También puedes pedirle información que únicamente puede tener la persona o la entidad que dice llamarte. Si no es capaz de responderte, malo. ¿No te has fijado en que cuando eres tú quien llama te hacen preguntas de control? Suelen pedirte que confirmes algo: tu nombre completo, tu dirección, tu teléfono... Pues tú también.
▣ Si te apremian o utilizan el miedo para que hagas algo, desconfía. Lo que intentan es que actúes antes de pararte a pensar.
▣ No instales un software de acceso remoto a instancias de otro, salvo que sea alguien del departamento de informática de tu empresa (y al que conozcas) o de una persona de tu entera confianza. Ten en cuenta que ese tipo de software le permite hacerse al otro con el control de tu dispositivo.
▣ Puedes usar aplicaciones de identificación y bloqueo de llamadas.
▣ Si has sido víctima de ataque de vishing denuncia lo antes posible. Puedes hacerlo ante la Policía Nacional, la Guardia Civil o incluso ante los tribunales de justicia.
Espero que esta información te ayuden a estar alerta y a protegerte ante del vishing, aunque siempre hay que tener presente que la seguridad y la protección nunca se alcanzan al 100%.
Post relacionados:
Phishing: Evita Morder el Anzuelo
Mucho Ojo con las Estafas en Internet
Cosas que (Nunca) Deberías Compartir en Redes Sociales
Consejos para Proteger Tus Cuentas Bancarias en Internet
La primera vez que apareció el post Qué es el Vishing y cómo Protegerte fue en el blog de Todos Somos Clientes.
Qué es el vishing y cómo protegerte by 1 de N Tecnologías de la Información - Arancha Moreno is licensed under a Creative Commons Reconocimiento-NoComercial-SinObraDerivada 4.0 Internacional License.
Entradas
No hay comentarios:
Publicar un comentario
Estamos encantados de que nos dejes tus aportaciones, porque tu opinión es importante para nosotros. Sólo te pedimos que, por favor, no publiques links ni contenidos publicitarios de ningún tipo, porque estos no serán publicados. Si deseas anunciarte, contacta con nosotros previamente. Gracias.