El vishing es un tipo de estafa en la cual el atacante se comunica con la víctima, por teléfono o mensaje de voz, haciéndose pasar por alguien más. Usualmente una empresa, banco u otra entidad, con el objetivo de convencer al usuario que le brinde sus datos personales o credenciales de acceso a una cuenta. Un clásico de la criminalidad, pero en estos casos del cibercrimen.
El vishing está basado en técnicas de ingeniería social, que es la práctica de obtener información confidencial a través de la manipulación de usuarios. El término vishing encierra dos conceptos: voice (porque el atacante usa la voz para perpetrar sus engaños) y phishing, tal como se denomina a los engaños basados en la suplantación de identidad.
Técnicas de Vishing
Información correcta:
Tienen su nombre, dirección, número telefónico e información bancaria. De hecho, toda la información que usted esperaría escuchar de un funcionario de verdad.
Urgencia:
Se le hace creer que su dinero está en peligro, y que debe actuar con rapidez. El miedo suele llevar a las personas a actuar sin pensar.
Habilidades telefónicas:
El número de teléfono parece provenir de otro sitio (como ocurre con el spoofing). Así que usted contesta el teléfono con intención de creerle a quien le llama, dado que el número parece convincente.
Atmósfera empresarial:
Se escucha mucho ruido de fondo, de modo que da la impresión de ser un call center (en vez de un tío metido en un sótano). Los estafadores tienen un call center, o logran montar efectos de sonido en la llamada.
En este tipo de cibercrimen el atacante llama a la víctima y le dice que fue seleccionada para recibir un supuesto beneficio para lo cual le da un código numérico. En una segunda llamada, otro atacante, que supuestamente también es parte de la entidad gubernamental que le otorgará el beneficio, le dice que tiene que ir a una sucursal bancaria para ingresar ese código obtenido en primera instancia y así percibir el supuesto bono.
Aquí lo que termina ocurriendo es que el atacante guía a la víctima para que esta configure la clave recibida como nuevo acceso a su cuenta bancaria online, y así el ciberdelincuente obtiene acceso a sus fondos.
En Argentina se reportaron estafas telefónicas en las cuales se hacen pasar por abogados del Ministerio de Desarrollo Social para informar sobre la supuesta entrega de un bono, cuando en realidad todo se trata de una maniobra para robar el acceso a la cuenta bancaria del usuario, según alertaron desde la empresa de ciberseguridad Eset.
Este tipo de metodología también fue identificada el año pasado: se identificó que estafadores se hacían pasar por Anses y llamaban telefónicamente con la excusa de ayudar a cobrar el IFE. La periodista Cecilia Bona, compartió a través de su cuenta de Twitter que un familiar fue víctima de un engaño de este tipo.
Se comunicaron por WhatsApp diciendo que eran de Anses y la convencieron de ir al cajero para supuestamente ingresar el código para percibir el beneficio pero lo cierto es que modificó su clave de homebanking.
Cuando los cibercriminales accedieron al portal de banco solicitaron un préstamo por 200 mil pesos. La entidad al identificar movimientos sospechosos bloqueó parte de las transacciones. Pero los criminales se llegaron a transferir 80 mil pesos.
La forma más efectiva y tantas veces dichas ante estos casos para evitar el vishing es no facilitar ninguna información personal ni bancaria a través del teléfono cuando recibas una llamada, especialmente las claves únicas que recibas por SMS o WhatsApp.
Tanto el banco como la compañía telefónica disponen de la información necesaria para realizar las gestiones, por lo que no es necesario que se la proporciones de nuevo a quien está llamando.
