¿Sabes qué es el Vishing, qué riesgos implica y cómo puedes evitarlo? El Vishing es un tipo de estafa informática, en el que el cibercriminal, utilizando el teléfono móvil o el correo electrónico, se hace pasar por una fuente fiable. Para conseguir un Vishing eficaz, el cibercriminal busca engañar al objetivo y obtener sus datos personales, normalmente alegando supuestas razones de seguridad. La finalidad del Vishing es robar la identidad o el dinero de los usuarios y empresas.
A pesar de que la ciudadanía cada vez está más concienciada del peligro de facilitar información confidencial por teléfono o a través de Internet, el Vishing es un delito que continua afectando a miles de personas a diario en todo el mundo.
En este artículo, te explicaremos los aspectos más relevantes del Vishing para prevenir y evitar que tanto tú, las personas de tu entorno como tu organización, podáis protegeros de esta ciberestafa:
- ¿Qué es el Vishing?
- Modus Operandi del Vishing
- Ejemplos de Vishing
- 6 consejos prácticos para prevenir y evitar ser víctima del Vishing
¿Qué es el Vishing?
La palabra 'Vishing' es una combinación de 'voz' y 'phishing'. La suplantación de identidad consiste en utilizar el engaño para que una determinada persona revele información personal o confidencial propia o de su organización.
No obstante, en lugar de usar el correo electrónico, las llamadas telefónicas regulares o las páginas web fraudulentas como los llamados phishers (quienes utilizan la técnica del phishing para estafar), los cibercriminales utilizan un servicio telefónico por Internet también conocido como VoIP (Voz sobre Protocolo de Internet).
Hacerse pasar por una persona, un negocio legítimo o una administración pública para estafar a las personas no es un fenómeno nuevo, el Vishing es simplemente un nuevo giro en una vieja rutina. De hecho, el Vishing lleva existiendo desde hace casi tanto tiempo como el servicio de telefonía por Internet, al ser un canal mucho más "anonimizable" y por tanto poder delinquir con total impunidad.
Los cibercriminales utilizan lo que se conoce como ingeniería social a través de una combinación de tácticas de miedo, presión y manipulación emocional para intentar engañar a las personas y que proporcionen su información. [Aquí te ofrecemos una Guía práctica contra la Ingeniería social]
"El objetivo del Vishing es simple: robar tu dinero, tu identidad o ambos a través de la mentira y la manipulación"
Estos Vishers incluso crean perfiles falsos de identificación de llamadas (llamados 'falsificación de identificación de llamadas') que hacen que los números de teléfono parezcan legítimos.
Otros tipos de engaños a víctimas son los siguientes:
Modus operandi del Vishing
1. Modus operandi de Vishing de email + contestador automático:
El modus operandi de Vishing más común es el envío de correos electrónicos que solicitan que se llame a un número de teléfono en el que aparece un contestador automático en el que se le pide usuario información confidencial.
"El modus operandi con contestadores automáticos, es menos eficaz que la llamada en directo pero mucho más masivo y escalable, consiguiendo datos a escala internacional con muy pocos recursos y riesgo."
Normalmente, la excusa es que se ha detectado un movimiento extraño en sus cuentas bancarias. Por ejemplo, el retiro de elevadas cantidades de dinero de alguna tarjeta de crédito o débito. De esta manera, los cibercriminales consiguen alarmar a los usuarios, quienes al final acabarán revelando una serie de datos personales con el objetivo de detener o revertir esas operaciones o transferencias (que pueden ser verdaderas o no).
Fórmate con el Máster Profesional de Analista Criminal y Criminología Aplicada de la mano de profesores Policías, Guardia Civiles, Directores de Seguridad y otros profesionales de la Criminología en activo.
2. Modus operandi de Vishing con phishing + llamada telefónica:
Otro procedimiento de Vishing es cuando el cibercriminal obtiene la información confidencial mediante un correo electrónico o una web fraudulenta, lo que se denomina ataque phishing pero necesita alguna información que le falta (normalmente un código de SMS) que se exige cuando se tiene activado el Doble Factor de Autenticación.
En este caso el cibercriminal necesita el código SMS o la clave del token digital para poder validar las operaciones, transferencias o compras online fraudulentas. De manera que los cibercriminales llaman por teléfono al cliente identificándose como personal del banco y tras "darle confianza" y alarmarle de algún modo, mediante argumentos de urgencia o de riesgo, le pedirán la clave que necesitan.
En estos casos de Vishing, los cibercriminales se encargan de recrear todo el escenario en relación con la llamada para engañar a las personas y conseguir su objetivo como, por ejemplo, replicar voces y el ambiente de un centro de llamadas, ponerte en espera con una música corporativa, etc..
Para conseguirlo, llevan a cabo estas acciones:
- Recaban información del cliente como nombre completo o dirección (normalmente publicadas por el usuario o su entorno en Internet), números de cuentas o tarjetas bancarias (normalmente publicadas en la Deep Web o en la Dark Web).
- Instauran un sentido de urgencia, haciendo creer que el dinero o ciertos datos confidenciales están en peligro para que la víctima responda instantáneamente.
En un mundo tan hiperconectado y dependiente de la tecnología como el actual, los conocimientos en Ciberseguridad son más necesarios que nunca. A nivel personal y profesional debemos saber sobre Ciberseguridad para poder prevenir las ciberamenazas y, en caso de que nos afecten, poder gestionarlas eficazmente. [Aquí encontrarás todos los cursos recomendados sobre Ciberseguridad, de nivel principiante a nivel Experto]
Ejemplos de Vishing
Una gran parte de las denuncias de fraude notificadas fueron víctimas mediante el modus operandi del contacto telefónico utilizando diferentes escenarios, motivos o "discursos de ingeniería social".
Estos son algunos de los ejemplos más comunes de Vishing:
- Cuenta bancaria o de tarjeta de crédito "comprometida"
Ya sea una persona o un mensaje pregrabado a modo de contestador, se informará a la víctima que hay un problema con su cuenta o un pago que realizó de una cuantía económica importante.
Es posible que los cibercriminales soliciten las credenciales de inicio de sesión para solucionar el problema o que realice un nuevo pago para verificar su identidad. En lugar de proporcionar la información que se nos solicita, es recomendable colgar y llamar al número público de nuestra entidad financiera para verificarlo.
- Préstamo no solicitado u ofertas de inversión
Los cibercriminales llamarán al usuario con ofertas que son demasiado buenas para ser verdad. Por ejemplo, ganar millones de euros con una pequeña inversión, pagar todas las deudas con una solución rápida u obtener todos los préstamos perdonados de una sola vez.
Por lo general, los cibercriminales piden actuar rápidamente y con urgencia, debiendo la víctima pagar una pequeña tarifa. Es importante saber que los prestamistas e inversores legítimos no ofrecen este tipo de ofertas y no inician el contacto de la nada y menos por teléfono.
Evita como norma general dar datos bancarios por teléfono, ya sea porque se trate de un cibercriminal o porque alguien puede estar escuchando la llamada, ya sea por internet o alguien que está cerca tuyo (oficina, vecinos, etc.).
- Estafa de la Seguridad Social o Agencia Tributaria
Las llamadas telefónicas son el método más utilizado por los cibercriminales para llegar a las personas más mayores. Se hacen pasar por representantes de la Seguridad Social y tratan de obtener información financiera de la víctima, como su número de la Seguridad Social o los detalles de su cuenta bancaria, con el objetivo de utilizar dichos datos posteriormente para obtener beneficios, acceder a sus cuentas o robar su dinero.
- Estafa de impuestos
Hay muchas variaciones de este tipo de estafa, pero generalmente, la víctima recibirá un mensaje pregrabado. El mensaje suele informar de que algo está mal con su declaración de impuestos y si no devuelve la llamada, se emitirá una orden de arresto, denuncia, introducción a una lista pública de morosos o bloqueo de sus cuentas.
Los cibercriminales suelen combinar esta acción con un identificador de llamadas falsificado para que parezca que la llamada proviene de la Agencia Tributaria.
6 consejos para evitar ser víctima del Vishing
Cualquier persona puede acabar siendo víctima de Vishing o de otro tipo de estafa. Para evitarlo, a continuación, te proporcionamos 6 consejos para evitar el ciberdelito del Vishing:
- Utiliza una aplicación de identificación de llamada: las innumerables alternativas de voz sobre IP posibilitan la creación de números falsos de forma muy sencilla. Por ello, una buena opción para evitar llamadas fraudulentas sería descargar una aplicación específica como, por ejemplo, Truecaller.
- No hagas clic en los enlaces ni respondas a las indicaciones. Si recibes un mensaje automatizado o un correo electrónico en el que se te pide hacer clic en enlaces o responder preguntas, no lo hagas. Varios ejemplos de directrices pueden ser: "Presione el botón 2 para eliminarle de nuestra lista" o "Diga 'sí' para hablar con un operador".
- Verifica la identidad de la persona que se ha puesto en contacto contigo. Si el remitente proporciona un número de devolución de llamada, puede ser parte de la estafa, así que no lo uses. En su lugar, busca el número de teléfono público oficial de la empresa o institución que se supone que te está contactando y llámales por tu cuenta o acude físicamente a su sede física.
- Nunca facilites información personal o confidencial: ni tampoco respondas a requerimientos sobre tu tarjeta de débito o crédito, documento de identidad, dirección, fecha de nacimiento, etc. Ante cualquier duda, debes llamar al banco y notificar que te han solicitado información financiera en nombre de su entidad, ellos suelen estar informados de los modus operandi de Vishing, Phishing, etc.
- Cuelga si sospechas: En el momento en que sospeches que se trata de una llamada telefónica fraudulenta, no sientas la obligación de tener que mantener una conversación cortés. Los cibercriminales suelen ser muy persuasivos mediante técnicas de manipulación e ingeniería social. Simplemente cuelga y bloquea el número.
- Actualiza constantemente tu sistema de antivirus y las herramientas antispyware. Los cibercriminales, por lo general, aprovechan las brechas de seguridad que tienen las versiones más antiguas para atacar a los usuarios. [Aquí te facilitamos 15 consejos para tener una vida cibersegura]
Quiero saber más, ¿qué hago?
Si quieres ampliar información sobre cualquier ámbito de la Ciberseguridad, consulta estos artículos de nuestro blog:
- 7 consejos para protegerte del crimen como servicio o crime as a service
- ¿Qué es la ciberadicción o el trastorno de adicción a Internet?
- ¿Qué son los ataques malwareless?
- Qué son los troyanos: tipos, modus operandi, medidas preventivas y consejos
-
Qué es el blockchain: definición, tipos, ejemplos, ventajas y utilidades
- Qué es Bitcoin: origen, usos, ventajas y riesgos
- VPN: Definición, usos, ventajas y comparativa.
- Deepfakes: Qué es, tipos, riesgos y amenazas.
- Cómo escoger Antivirus para tu ordenador y smartphone (Guía Práctica).
- Ciberguerra: tipos, armas, objetivos y ejemplos de la guerra tecnológica.
- Guía práctica de control parental: consejos, ventajas y herramientas para prevenir los riesgos de Internet para tus hijos.
- Data Brokers: Quiénes son y por qué son una amenaza para nuestros datos.
- Diferencia entre Ciberseguridad, Seguridad Informática y Seguridad de la Información.
- ¿Qué es el fingerprinting o la huella digital de nuestros dispositivos?
- Estafa de Inversión: qué es, tipos, señales de alerta y consejos
- Estamos asistiendo al nacimiento de una nueva civilización
- Zero-Day: qué es, modus operandi y consejos preventivos
- Salidas profesionales en Ciberseguridad: funciones, trabajos y sueldos
- Estafa de la factura falsa: qué es, modus operandi, señales y consejos
- Vishing: qué es, modus operandi, ejemplos y cómo evitarlo
- ¿Qué es el Egosurfing y cómo puede ayudarnos?
- Fraude del CEO: qué es, modus operandi y consejos preventivos
- Smishing: qué es, riesgos, ejemplos y cómo evitarlo
- Guía Práctica contra la Ingeniería Social
- Guía para teletrabajar de forma eficaz y segura desde casa
- Medidas de seguridad para teletrabajar de forma segura
- Conoce los 15 consejos de ciberseguridad para tener una vida más cibersegura
- Dark Web: riesgos, contenidos y cómo acceder (Guía Práctica)
- ¿Qué son las cookies y cómo eliminarlas?
- ¿Qué es el malware y qué tipos de malware pueden afectarte?
- Lista de 45 consejos de seguridad bancaria: ¿Cómo mantener mis cuentas bancarias seguras?
- ¿Qué hacer si me suplantan la identidad en Facebook, Instagram, Twitter o LinkedIn?
- Digitalización masiva: riesgos, oportunidades y nuevas salidas profesionales
- Los 5 mapas de ciberataques más populares de 2019
- ¿Qué es el ransomware y cómo prevenir este ataque? (Guía práctica)
- ¿Qué es el ciberacoso y qué tipos existen?
- Ciberataque a Baltimore: ¿Cómo hackear una ciudad?
- ¿Qué es un ataque botnet y cómo evitarlo?
- ¿Investigar por Internet? La Web Superficial, la Deep Web y la Dark Web
- Conoce las claves de la Nueva Estrategia Nacional de Ciberseguridad en España
- Las 6 tendencias en Ciberseguridad que marcan (y marcarán) el mundo digital
- ¿Por qué votas lo que votas en la era de la desinformación y las Fake News?
- Conoce los 4 retos para la Ciberseguridad de la próxima década
- Conoce los 5 sectores en los que más se valora la formación en Ciberseguridad
- Ataques de desinformación: qué son y cómo podemos evitarlos
- ¿Qué debemos tener en cuenta antes de aprender Ciberseguridad?
- Cómo Evitar Estafas y Fraudes en el Blackfriday: Compra Segura Online
- La Estafa amorosa: cómo el amor mueve montañas (de dinero)
- Phishing bancario por email: modus operandi y consejos preventivos
- Introducción a la Ciberseguridad: primeros pasos
- Wearables para policías y personal de seguridad: ventajas y riesgosFallo de seguridad en redes WiFi: consejos y soluciones
- Wearables: riesgos de la tecnología inteligente
- Fallo de seguridad en redes WiFi: consejos y soluciones
Si quieres empezar ya a formarte en Ciberseguridad, te recomendamos estos cursos online: