¿Qué es el vishing y cómo defenderse contra él?

Es un caso muy común. Un usuario visita una plataforma de redes sociales y hace clic en un enlace que le llama la atención. Al hacer clic en este enlace, aparece una pantalla azul con un mensaje de advertencia que le solicita llamar a un teléfono gratuito para resolver un problema técnico grave.

Un técnico solícito responde al teléfono, más que dispuesto a ayudar por un módico precio. La estafa culmina cuando la víctima le proporciona los datos de su tarjeta de crédito para pagar el software que resuelve el problema informático, algo que le costará muy caro.

El software no funciona y el técnico diligente desaparece para siempre. El usuario se convierte en otra víctima de una práctica maliciosa denominada "vishing".

El vishing en breve

Mucha gente ha oído hablar del "phishing". El phishing incluye correos electrónicos y mensajes de texto atractivos que solicitan al usuario hacer clic en enlaces a archivos o sitios web que albergan malware. Los enlaces también pueden aparecer en anuncios online dirigidos a los usuarios.

El vishing utiliza el lenguaje verbal para estafar a los usuarios persuadiéndolos para que realicen acciones que creen que les benefician. Con frecuencia, el vishing comienza donde termina el phishing.

En el ejemplo anterior, la víctima hace clic en un enlace de un anuncio online que le resulta interesante. El malware que contiene el enlace genera un bloqueo que solo puede resolver el "técnico" diligente que hay al otro lado del teléfono. Para que el problema se solucione, la víctima tendrá que realizar un pago. Por supuesto, todo era una estafa, y la "compañía" del técnico era en realidad el origen del problema.

¿Es muy común el vishing?

Según la BBC, en 2015 el fraude con tarjetas de crédito generó 16 mil millones de USD en todo el mundo, y el vishing llegó a generar 1000 millones de USD. Básicamente, los ataques de vishing se pueden producir siempre que los autores obtienen acceso a información personal de las víctimas.

Los cibercriminales crean adrede las condiciones adecuadas para estafar a usuarios desprevenidos y conseguir que proporcionen voluntariamente datos personales de valor, como nombres completos, direcciones, números de teléfono y números de tarjetas de crédito.

Con esta información, los cibercriminales pueden solicitar numerosos pagos de forma fraudulenta, como el importe de la falsa reparación del equipo del usuario o el de un software antivirus (dependiendo de la estafa).

El mecanismo del vishing se desata en cuanto los cibercriminales tienen la más mínima cantidad de información sobre los intereses del usuario. Esta información se utiliza para instar a la víctima a resolver un problema que le afecta y ofrecerle la sencilla solución del día en un tono reconfortante.

Cómo identificar el vishing

A veces, a los usuarios les resulta difícil identificar el vishing. Con frecuencia, las víctimas no se dan cuenta de que la persona que les ayuda desde el otro lado del teléfono las está estafando hasta que le dan sus credenciales. Pese a esto, existen algunas señales que ayudan a detectar posibles fraudes.

En muchos casos, la persona que atiende al usuario afirma ser una experta o una eminencia de su ámbito. Puede hacerse pasar por técnico informático, banquero, policía o incluso simular que ha sufrido el mismo ataque.

Sin embargo, si no se trata de un impostor, no debe ser difícil comprobar su profesión con una simple llamada telefónica. Si no puede o se niega a proporcionarte la información necesaria para verificar su identidad, no confíes en ella. Aunque te proporcione sus datos de contacto, debes comprobar su veracidad llamando a un número de teléfono público oficial para contactar con su organización.

Pese a que sea normal claudicar ante la presión, la urgencia es un indicador inequívoco del fraude. Los usuarios deben contar hasta tres y anotar toda la información que les ofrece su interlocutor sin proporcionarle ningún dato. Siempre podrán acceder a fuentes externas para encontrar un número de teléfono público al que llamar y cerciorarse de que la información que han recibido es verídica.

Los destinatarios de estas llamadas tampoco deben hacer clic en los enlaces de los correos electrónicos (phishing) ni los SMS (SMiShing) que les envíe el usuario. Cualquier tipo de correspondencia puede contener "ganchos" para descargar malware que podría hacerse con el control de los sistemas informáticos, robar las credenciales del usuario e incluso espiarlo.

Si los usuarios reciben llamadas no solicitadas en las que se les ofrece cualquier tipo de servicio informático, no deben intentar devolverlas desde el mismo teléfono en el que las recibieron.

En la actualidad, existe tecnología que permite bloquear la línea telefónica de la víctima al finalizar la llamada y redirigir las siguientes llamadas a la línea fraudulenta. Los usuarios que consideren que están siendo víctimas de un ataque deben utilizar otro teléfono para llamar a un número de teléfono público oficial.

Denunciar el crimen

Un verdadero técnico que pretenda salvar un equipo tras un incidente de malware insistirá en que los usuarios cambien la contraseña de sus cuentas, se pongan en contacto con su banco y sus empresas de tarjetas de crédito y vigilen de cerca las transacciones financieras. Los usuarios de EE. UU. también deben informar de las llamadas de vishing a la Comisión Federal de Comercio, ya sea online o llamando al (888) 382-1222. El departamento especializado en delitos en Internet del FBI también se encarga de investigaciones de vishing.

Aunque es improbable que el vishing y el phishing, su homólogo online, desaparezcan pronto, la vigilancia y una buena dosis de escepticismo pueden ayudar a reducir el riesgo de la pérdida que generan estos tipos de estafas.

Productos relacionados:

What Is Vishing?

Kaspersky

El vishing es la variante verbal de la práctica conocida como "phishing". El vishing utiliza el lenguaje verbal para estafar a los usuarios persuadiéndolos para que realicen acciones que creen que les benefician.