Vishing: ¿Qué es y cómo protegerse de este fraude telefónico?
El auge de la tecnología, y especialmente de la inteligencia artificial, ha facilitado la proliferación de nuevas formas de fraude digital, entre las que destaca el vishing. Está técnica está basada en la ingeniería social que, a través de llamadas telefónicas, persigue obtener información personal y financiera de las víctimas.
¿Qué es el vishing?
El vishing es una variante del phishing: una estafa en la que los ciberdelincuentes emplean llamadas telefónicas para engañar a las víctimas y obtener datos personales o financieros. El mismo término lo indica, ya que proviene de la combinación de las palabras voice y phishing, haciendo referencia al medio utilizado en el ataque: la voz.
El método del engaño utilizado por los ciberdelincuentes es hacerse pasar por entidades legítimas, como bancos, operadores de telecomunicaciones y otras empresas de servicios, con el objetivo de sustraer información sensible. Una vez que han obtenido los datos adecuados, son capaces de suplantar la identidad de la víctima.
¿Cómo funciona el vishing?
Sigue un esquema bastante similar en la mayoría de los casos, aunque varía en función de la estrategia y sofisticación del ataque. Generalmente, los delincuentes obtienen cierta información previa de la víctima a través de otras técnicas, como el phishing, para hacer la llamada más creíble.
En la llamada telefónica, se hacen pasar por una entidad conocida, como una entidad bancaria o una compañía proveedora de servicios, para solicitar información confidencial bajo alguna situación urgente o de especial atractivo, como una oferta.
Por ejemplo, una de las formas más comunes es la suplantación de empleados bancarios que informan a la víctima sobre supuestas actividades fraudulentas en sus cuentas. Para “solucionar” el problema, solicitan datos que les permiten realizar operaciones por su cuenta, como números de tarjetas o claves de autorización que se reciben por SMS.
En otros casos, los ciberdelincuentes se hacen pasar por técnicos de soporte informático que, bajo la excusa de corregir un fallo en el equipo, piden acceso remoto al dispositivo. En realidad, aprovechan la intromisión para instalar malware o acceder a diversos tipos de cuentas, como las de banca digital.
¿Cómo puede evitarlo?
La prevención es fundamental para evitar caer en este tipo de fraude. Conviene tener en cuenta una serie de pautas que ayudan a identificar e impedir los intentos de vishing:
- No facilitar información personal o bancaria por teléfono: las entidades legítimas, como bancos o empresas, nunca solicitan datos sensibles en una llamada o mensaje, de hecho tienen un fuerte compromiso con la ciberseguridad.
- Evitar seguir instrucciones sospechosas: en ningún caso se debe instalar software o seguir enlaces proporcionados por desconocidos durante una llamada.
- Desconfiar de llamadas no solicitadas: ante cualquier comunicación inesperada que pida realizar acciones urgentes, es preferible colgar y contactar con la empresa en cuestión a través de sus canales oficiales.
- Bloquear números sospechosos: si se identifica una llamada como fraudulenta, se aconseja bloquear el número. Igualmente, nunca hay que devolver una llamada perdida en este caso.
- Contar con un software de seguridad: aunque no evitará que se proporcionen datos por teléfono, ayudará a impedir la visita a un enlace web que sea fraudulento o instalar un programa que contenga malware.
¿Qué hacer si se es víctima de vishing?
En caso de haber sido víctima de un ataque de vishing lo más importante es actuar rápidamente, con vistas a minimizar los daños en la medida de lo posible. Los principales pasos a seguir son:
- Contactar con el banco para informar sobre lo sucedido y bloquear cualquier posible movimiento o acceso no autorizado a las cuentas y tarjetas.
- Escanear el dispositivo con un antivirus actualizado, en caso de haberse instalado algún programa sospechoso o visitado algún enlace.
- Cambiar las contraseñas de todas las cuentas que puedan haberse visto comprometidas. Esto incluye tanto las guardadas en el navegador como las de cualquier sitio web en la que se tenga abierta la sesión.
- Denunciar el fraude ante las autoridades, como la Policía Nacional o la Guardia Civil, para iniciar las investigaciones oportunas.
Diferencias entre vishing y phishing
Como hemos comentado, el vishing y el phishing son técnicas de ingeniería social que persiguen el mismo objetivo: obtener información sensible de las víctimas. Sin embargo, la diferencia principal radica en el medio que utilizan.
Así, mientras que el phishing se realiza a través de correos electrónicos fraudulentos que contienen enlaces o archivos adjuntos maliciosos, el vishing se lleva a cabo mediante llamadas telefónicas. No obstante, ambos métodos suelen emplearse al mismo tiempo en un fraude, para lograr un mayor efecto.
Diferencias entre vishing y smishing
El smishing es otra variante del phishing, pero en lugar de utilizar el correo electrónico o la voz, el fraude se comete mediante mensajes de texto (SMS). En estos mensajes, los atacantes suelen incluir enlaces que dirigen a páginas web fraudulentas o números de teléfono para continuar el fraude por otras vías.
Por tanto, a diferencia del vishing, que se basa en llamadas directas, el smishing busca engañar a través de mensajes, que suelen proclamar una urgencia. Pero de forma similar, hacen que la víctima proporcione información confidencial de manera rápida y, muchas veces, sin sospechas.
Relacionados