¿Qué es el vishing? Reconoce y prevén el voice phishing

El término vishing es una combinación de las palabras voice (voz) y phishing, por lo que también se denomina en ocasiones voice phishing. Con esta técnica, los atacantes usan la tecnología VoIP (voz sobre IP) para realizar de forma asequible o gratuita numerosas llamadas fraudulentas y conseguir así códigos, contraseñas o datos bancarios de la víctima, que no suele sospechar nada.

Aquí te mostramos las estrategias de estos delincuentes, los vishers, y te explicamos cómo puedes protegerte frente a estas llamadas fraudulentas por VoIP.

Usando una combinación de manipulaciones tecnológicas y emocionales, los vishers tratan de robar datos sensibles a sus víctimas. En términos técnicos, el vishing consiste en utilizar la tecnología VoIP (Voice over IP) para ocultar la propia identidad y el número de teléfono desde el que se llama. De esta forma, el delincuente finge estar llamando desde un número que en realidad no le pertenece o, en otras palabras, no está conectado a su dirección IP. El voice phishing resulta especialmente atractivo para los delincuentes porque los costes de las llamadas por VoIP son muy bajos. Basta con disponer de una conexión a Internet activa para realizar millares de llamadas y, si salen bien, reunir muchísimos datos.

Sin embargo, además de este aspecto técnico, el vishing también tiene un componente emocional: los atacantes inventan una historia que a la víctima le suene plausible y le haga creer que es necesario que actúe inmediatamente y comunique ciertos datos importantes. Este tipo de manipulación entra en el ámbito de la llamada ingeniería social (social engineering), es decir, el conjunto de prácticas de manipulación a nivel personal que tienen el objetivo de obtener información confidencial. Los vishers usan trucos psicológicos basados en comportamientos típicos de las personas para motivarlas a revelar información sensible. Si bien existen muchas astucias de vishing diferentes, todos los ataques siguen un patrón común:

1. Al teléfono, el atacante relata un problema del que probablemente nunca hayas oído hablar.
2. Para resolver dicho problema, el visher te pide que comuniques datos personales, como podrían ser los datos de acceso a un perfil, a una cuenta de banco o los de tu tarjeta de crédito.
3. El delincuente enfatiza el carácter urgente de la situación y te insta a actuar de forma inmediata.

En la práctica, los delincuentes utilizan una y otra vez los mismos cuentos para obtener los datos de sus víctimas. A continuación te presentamos un resumen de las tretas más comunes para ayudarte a distinguir de forma intuitiva las llamadas fraudulentas de las que no lo son.

Una de las identidades falsas más populares entre los delincuentes de vishing es la del servicio de atención al cliente de una gran empresa de software. En estos casos, el atacante comunica que se ha producido un supuesto problema de software y que la llamada tiene como propósito ayudar a repararlo. Con este pretexto, te pide que descargues un programa cuya función en realidad es conceder al visher el acceso remoto a tu dispositivo. Una vez instalado ese software, el atacante puede hacer uso con facilidad de otros programas maliciosos para robar tus datos personales.

Otro ejemplo típico de vishing es aquel en el que se te comunica por teléfono que has ganado un sorteo. Para recibir el premio, sin embargo, debes pagar los gastos de envío y, para cobrártelos, supuestamente, se te piden tus datos bancarios. Se te solicita, además, que firmes un formulario de consentimiento para la domiciliación electrónica. Si lo haces, los delincuentes pueden, o bien cobrar domiciliaciones regulares de tu cuenta bajo el pretexto de algún tipo de suscripción, o bien vender tus datos a otros delincuentes.

Puesto que las cuentas bancarias o las tarjetas son, en muchos casos, el blanco del voice phishing, muchos delincuentes dicen ser precisamente personal del banco. En estas situaciones, el robo de datos suele ocurrir sin que haya siquiera contacto directo con la víctima: el visher deja simplemente un mensaje en el buzón de voz que informa de que la cuenta bancaria ha sido hackeada o de que podría haber ocurrido un fallo técnico.

Si llamas entonces al número indicado, oirás un mensaje grabado que te pedirá tus datos de acceso a la plataforma de banca online o los de tu tarjeta de crédito. El atacante espera que el mensaje del buzón te haga entrar en pánico y obedecer, al fin y al cabo hay pocos temas más delicados que los datos bancarios.

Para reconocer el vishing y evitarlo de forma efectiva, hay que estar muy despierto y tener una desconfianza sana frente a las autoridades. Si recibes llamadas de supuestos trabajadores de una empresa, ten siempre en cuenta los siguientes consejos:

Consejo 1. Intenta averiguar siempre si el número que contacta contigo es siquiera un número oficial de la supuesta empresa para la que trabaja el interlocutor. En cualquier caso, incluso si, efectivamente, encuentras el número en cuestión en la web de la empresa, no lo tomes como una garantía de la legitimidad de la llamada. Falsificar números de teléfono es un componente importante del vishing, por lo que la comprobación del número solo debe ser un primer proceso de cribado que descarte ataques muy mal diseñados.

Consejo 2. Ante la mínima duda, corta la llamada y llama tú mismo al servicio de atención al cliente de la empresa para preguntar si conocen el número y si se trata de un proceso habitual. Para llamar, utiliza siempre números de teléfono que aparezcan en la web de la empresa, nunca llames a números que solo aparezcan en correos que supuestamente provienen de dicha empresa. Tales correos electrónicos podrían ser parte de un ataque de (voice) phishing.

Consejo 3. Nunca comuniques datos de acceso ni datos bancarios por teléfono. Las empresas serias nunca te pedirán los datos de acceso a tus cuentas por teléfono: si tu interlocutor te los pide, niégate a dárselos y avisa de esta llamada a la empresa en cuestión.

Consejo 4. Si sospechas que has sido víctima de un ataque de vishing, comunícalo a la policía y pon una denuncia. También deberías avisar del caso a la empresa de la que el delincuente decía formar parte. Si se han obtenido datos bancarios, habla con tu banco y bloquea la cuenta temporalmente. En el caso de los datos de acceso a cuentas, estas pueden bloquearse por lo general a través de la web. Si utilizas la misma contraseña para diversas cuentas (lo cual no se recomienda en ningún caso), cámbiala de inmediato en todas ellas.

La definición de vishing que hemos presentado al principio del artículo permite distinguir este método de otras tácticas fraudulentas para robar datos digitales.

Mientras que la puerta de entrada de los delincuentes de vishing es la telefonía IP, en el caso del phishing se trata de correos electrónicos que tratan de pescar datos personales de usuarios ingenuos. Para conseguirlo, los correos se redactan de la manera más auténtica posible, incluyendo un enlace a una página web maliciosa. Un tipo especial de phishing es el spear phishing, en el que los delincuentes buscan datos de personas muy concretas. Los llamados spear phishers, por lo tanto, no lanzan una gran red fraudulenta, sino que pescan con lanza para conseguir los datos de víctimas específicas.

Por otra parte, existe el smishing, que también funciona de forma similar, pero utiliza el SMS como canal para obtener datos confidenciales.

El vishing, el phishing y el smishing se diferencian, por lo tanto, en el medio que utilizan los estafadores para establecer contacto con sus víctimas, pero el objetivo de las tres variantes es el mismo: robar información confidencial, como pueden ser datos bancarios, datos de tarjetas de crédito o de acceso a cuentas, para obtener beneficio económico.