¿Qué es el vishing? Reconoce y prevén el voice phishing

El término vishing es una co­m­bi­na­ción de las palabras voice (voz) y phishing, por lo que también se denomina en ocasiones voice phishing. Con esta técnica, los atacantes usan la te­c­no­lo­gía VoIP (voz sobre IP) para realizar de forma asequible o gratuita numerosas llamadas frau­du­le­n­tas y conseguir así códigos, co­n­tra­se­ñas o datos bancarios de la víctima, que no suele sospechar nada.

Aquí te mostramos las es­tra­te­gias de estos de­li­n­cue­n­tes, los vishers, y te ex­pli­ca­mos cómo puedes pro­te­ge­r­te frente a estas llamadas frau­du­le­n­tas por VoIP.

Usando una co­m­bi­na­ción de ma­ni­pu­la­cio­nes te­c­no­ló­gi­cas y emo­cio­na­les, los vishers tratan de robar datos sensibles a sus víctimas. En términos técnicos, el vishing consiste en utilizar la te­c­no­lo­gía VoIP (Voice over IP) para ocultar la propia identidad y el número de teléfono desde el que se llama. De esta forma, el de­li­n­cue­n­te finge estar llamando desde un número que en realidad no le pertenece o, en otras palabras, no está conectado a su dirección IP. El voice phishing resulta es­pe­cia­l­me­n­te atractivo para los de­li­n­cue­n­tes porque los costes de las llamadas por VoIP son muy bajos. Basta con disponer de una conexión a Internet activa para realizar millares de llamadas y, si salen bien, reunir mu­chí­si­mos datos.

Sin embargo, además de este aspecto técnico, el vishing también tiene un co­m­po­ne­n­te emocional: los atacantes inventan una historia que a la víctima le suene plausible y le haga creer que es necesario que actúe in­me­dia­ta­me­n­te y comunique ciertos datos im­po­r­ta­n­tes. Este tipo de ma­ni­pu­la­ción entra en el ámbito de la llamada in­ge­nie­ría social (social en­gi­nee­ri­ng), es decir, el conjunto de prácticas de ma­ni­pu­la­ción a nivel personal que tienen el objetivo de obtener in­fo­r­ma­ción co­n­fi­de­n­cial. Los vishers usan trucos psi­co­ló­gi­cos basados en co­m­po­r­ta­mie­n­tos típicos de las personas para mo­ti­var­las a revelar in­fo­r­ma­ción sensible. Si bien existen muchas astucias de vishing di­fe­re­n­tes, todos los ataques siguen un patrón común:

1. Al teléfono, el atacante relata un problema del que pro­ba­ble­me­n­te nunca hayas oído hablar.
2. Para resolver dicho problema, el visher te pide que co­mu­ni­ques datos pe­r­so­na­les, como podrían ser los datos de acceso a un perfil, a una cuenta de banco o los de tu tarjeta de crédito.
3. El de­li­n­cue­n­te enfatiza el carácter urgente de la situación y te insta a actuar de forma inmediata.

En la práctica, los de­li­n­cue­n­tes utilizan una y otra vez los mismos cuentos para obtener los datos de sus víctimas. A co­n­ti­nua­ción te pre­se­n­ta­mos un resumen de las tretas más comunes para ayudarte a di­s­ti­n­guir de forma intuitiva las llamadas frau­du­le­n­tas de las que no lo son.

Una de las ide­n­ti­da­des falsas más populares entre los de­li­n­cue­n­tes de vishing es la del servicio de atención al cliente de una gran empresa de software. En estos casos, el atacante comunica que se ha producido un supuesto problema de software y que la llamada tiene como propósito ayudar a repararlo. Con este pretexto, te pide que de­s­ca­r­gues un programa cuya función en realidad es conceder al visher el acceso remoto a tu di­s­po­si­ti­vo. Una vez instalado ese software, el atacante puede hacer uso con facilidad de otros programas ma­li­cio­sos para robar tus datos pe­r­so­na­les.

Otro ejemplo típico de vishing es aquel en el que se te comunica por teléfono que has ganado un sorteo. Para recibir el premio, sin embargo, debes pagar los gastos de envío y, para co­brár­te­los, su­pue­s­ta­me­n­te, se te piden tus datos bancarios. Se te solicita, además, que firmes un fo­r­mu­la­rio de co­n­se­n­ti­mie­n­to para la do­mi­ci­lia­ción ele­c­tró­ni­ca. Si lo haces, los de­li­n­cue­n­tes pueden, o bien cobrar do­mi­ci­lia­cio­nes regulares de tu cuenta bajo el pretexto de algún tipo de su­s­cri­p­ción, o bien vender tus datos a otros de­li­n­cue­n­tes.

Puesto que las cuentas bancarias o las tarjetas son, en muchos casos, el blanco del voice phishing, muchos de­li­n­cue­n­tes dicen ser pre­ci­sa­me­n­te personal del banco. En estas si­tua­cio­nes, el robo de datos suele ocurrir sin que haya siquiera contacto directo con la víctima: el visher deja si­m­ple­me­n­te un mensaje en el buzón de voz que informa de que la cuenta bancaria ha sido hackeada o de que podría haber ocurrido un fallo técnico.

Si llamas entonces al número indicado, oirás un mensaje grabado que te pedirá tus datos de acceso a la pla­ta­fo­r­ma de banca online o los de tu tarjeta de crédito. El atacante espera que el mensaje del buzón te haga entrar en pánico y obedecer, al fin y al cabo hay pocos temas más delicados que los datos bancarios.

Para reconocer el vishing y evitarlo de forma efectiva, hay que estar muy despierto y tener una de­s­co­n­fia­n­za sana frente a las au­to­ri­da­des. Si recibes llamadas de supuestos tra­ba­ja­do­res de una empresa, ten siempre en cuenta los si­guie­n­tes consejos:

Consejo 1. Intenta averiguar siempre si el número que contacta contigo es siquiera un número oficial de la supuesta empresa para la que trabaja el in­te­r­lo­cu­tor. En cualquier caso, incluso si, efe­c­ti­va­me­n­te, en­cue­n­tras el número en cuestión en la web de la empresa, no lo tomes como una garantía de la le­gi­ti­mi­dad de la llamada. Fa­l­si­fi­car números de teléfono es un co­m­po­ne­n­te im­po­r­ta­n­te del vishing, por lo que la co­m­pro­ba­ción del número solo debe ser un primer proceso de cribado que descarte ataques muy mal diseñados.

Consejo 2. Ante la mínima duda, corta la llamada y llama tú mismo al servicio de atención al cliente de la empresa para preguntar si conocen el número y si se trata de un proceso habitual. Para llamar, utiliza siempre números de teléfono que aparezcan en la web de la empresa, nunca llames a números que solo aparezcan en correos que su­pue­s­ta­me­n­te provienen de dicha empresa. Tales correos ele­c­tró­ni­cos podrían ser parte de un ataque de (voice) phishing.

Consejo 3. Nunca co­mu­ni­ques datos de acceso ni datos bancarios por teléfono. Las empresas serias nunca te pedirán los datos de acceso a tus cuentas por teléfono: si tu in­te­r­lo­cu­tor te los pide, niégate a dárselos y avisa de esta llamada a la empresa en cuestión.

Consejo 4. Si sospechas que has sido víctima de un ataque de vishing, co­mu­ní­ca­lo a la policía y pon una denuncia. También deberías avisar del caso a la empresa de la que el de­li­n­cue­n­te decía formar parte. Si se han obtenido datos bancarios, habla con tu banco y bloquea la cuenta te­m­po­ra­l­me­n­te. En el caso de los datos de acceso a cuentas, estas pueden blo­quear­se por lo general a través de la web. Si utilizas la misma co­n­tra­se­ña para diversas cuentas (lo cual no se re­co­mie­n­da en ningún caso), cámbiala de inmediato en todas ellas.

La de­fi­ni­ción de vishing que hemos pre­se­n­ta­do al principio del artículo permite di­s­ti­n­guir este método de otras tácticas frau­du­le­n­tas para robar datos digitales.

Mientras que la puerta de entrada de los de­li­n­cue­n­tes de vishing es la telefonía IP, en el caso del phishing se trata de correos ele­c­tró­ni­cos que tratan de pescar datos pe­r­so­na­les de usuarios ingenuos. Para co­n­se­gui­r­lo, los correos se redactan de la manera más auténtica posible, in­clu­ye­n­do un enlace a una página web maliciosa. Un tipo especial de phishing es el spear phishing, en el que los de­li­n­cue­n­tes buscan datos de personas muy concretas. Los llamados spear phishers, por lo tanto, no lanzan una gran red frau­du­le­n­ta, sino que pescan con lanza para conseguir los datos de víctimas es­pe­cí­fi­cas.

Por otra parte, existe el smishing, que también funciona de forma similar, pero utiliza el SMS como canal para obtener datos co­n­fi­de­n­cia­les.

El vishing, el phishing y el smishing se di­fe­re­n­cian, por lo tanto, en el medio que utilizan los es­ta­fa­do­res para es­ta­ble­cer contacto con sus víctimas, pero el objetivo de las tres variantes es el mismo: robar in­fo­r­ma­ción co­n­fi­de­n­cial, como pueden ser datos bancarios, datos de tarjetas de crédito o de acceso a cuentas, para obtener beneficio económico.