Seguro en muchas ocasiones has escuchado hablar sobre algún caso de un padre o una madre que ha caído en una estafa porque pensaba que la persona que estaba pidiéndole el dinero o los datos era su propio hijo. ¿Cómo ha podido ocurrir eso? ¿Es que no conocen la voz de su propio hijo? Hoy te contamos qué es el vishing, uno de los ciberdelitos más habituales en el que tú también puedes picar.
Conocer este tipo de peligros te puede ayudar a evitar caer en ellos. La información es poder.
¿Qué es el vishing?
El Instituto Nacional de Ciberseguridad (INCIBE) define el vishing como “un tipo de estafa de ingeniería social por teléfono en la que, a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima”.
Es decir, con el vishing se utilizan las llamadas para hacerse pasar por un tercero. En el caso de una empresa, es suficiente con que se identifiquen con su nombre. En el caso de una persona de confianza, como un hijo, un padre o un hermano, puede ser algo más complicado, ya que implica replicar la voz de esa persona. ¿Es posible hacer esto? Lamentablemente, sí.
La fórmula más habitual es la de hacerse pasar por una empresa. El procedimiento que suelen llevar, como indica el INCIBE, es que “los atacantes se hacen pasar por organizaciones legítimas, como bancos, servicios al cliente de empresas, entidades públicas, soportes técnicos de empresas entre otros”. Su objetivo es obtener información personal sobre las víctimas, instalarles a descargar e instalar programas maliciosos o realizar un pago.
Cualquiera de los tres objetivos puede tener una repercusión negativa para la víctima. No es menos grave que nos roben la información a que nos roben el dinero, al menos a largo plazo, porque con nuestros datos personales podríamos tener problemas verdaderamente graves, desde contratar préstamos a nuestro nombre hasta utilizarlo para el siguiente paso: hacerse pasar por un familiar.
Puede parecer que no vamos a caer en la trampa si alguien se hace pasar por un familiar, ya que debe afinar con ciertos datos, la voz de esa persona, etc. Pero para ello, la ingeniería social se encarga de cruzar los datos y de conseguir cómo hacerlo. ¿Y cómo hacen para replicar la voz? IA, otra vez la IA.
¿Cómo reconocer una llamada vishing?
Aunque los métodos utilizados cada vez son más sofisticados, lo cierto es que aplicando un poco el sentido crítico podemos encontrar algunas características comunes a este tipo de llamadas.
Lo primero es la identificación falsa, algo que obviamente es complicado de detectar. En el caso de las empresas, te pueden pedir contraseñas o datos sensibles, algo que ninguna empresa te va a pedir nunca por teléfono. Si te piden este tipo de información de seguridad, desconfía. En el caso de que traten de imitar la voz de alguien conocido, te recomendamos que hagas preguntas concretas para saber si realmente estás hablando con esa persona (en caso de que te hagan alguna petición fuera de lo normal, como que le envíes un pago o descargues un programa), pero lo mejor sin duda es que cuelgues esa llamada y llames a tu conocido al número de teléfono que tienes guardado en la agenda, para asegurarte que te está respondiendo él.
Otra de las características de este tipo de llamadas es que simulan una situación de urgencia. Te instan a que lo que quieran conseguir, lo hagas en esa misma llamada. No hay tiempo para pensarlo, ni para buscar otra alternativa. Actuar tan rápido nos hace caer en este tipo de estafas con una mayor facilidad.
En caso de que no se quiera hacer lo que piden, los ciberatacantes pasan a la fase de las amenazas. Te indican, mediante excusas varias, que si no lo haces al momento tendrás una consecuencia. Esta presión incluye multas, pérdida de dinero, bloqueo de cuentas, etc.
En otros casos, estas llamadas se pueden identificar por las ofertas tentadoras, como precios difíciles de creer, que has ganado algún tipo de sorteo, etc., o bien por la incitación a instalar programas para solucionar el problema, pero en realidad se trata de malware para tus dispositivos.
Normalmente, intentan evitar tus preguntas y también evitan que verifiques la autenticidad de la llamada.
¿Es posible evitar ser víctima de esta ciberestafa?
Si piensas que tú jamás vas a caer en esto, si te crees por encima de la media, que esto les pasa a otros y a ti seguro que no… sentimos decirte que ese es el primer paso para picar en este tipo de estafas, ya que es más fácil que bajes la guardia cuando creas que lo tienes todo controlado. Es un error creer que tú estás al margen de todo esto, porque lo cierto es que nadie lo está.
En cualquier caso, te damos algunas recomendaciones para evitar ser víctima de vishing. Leelas e interiorízalas, porque nunca sabes cuando va a sonar el teléfono. Lo primero de todo es que mantengas el sentido común y seas escéptico si lo que te ofrecen suena demasiado bien. Ganar un sorteo en el que no has participado, premios “por que sí”, etc., si te paras a pensarlo, no tiene ningún sentido.
Además de tener sentido común, es necesario ser muy precavido. Las ciberestafas cada vez van a ser más habituales y tenemos que estar preparados para ellas. Te recomendamos que no cedas a la presión y sobre todo que no des ningún dato personal, no pinches en ningún enlace que te envíen ni descargues ningún programa y, mucho menos, no hagas ningún pago ni des información sensible como números de tarjetas de crédito, contraseñas, etc.
Si tienes sospechas de que estás siendo víctima de vishing, corta la llamada. Si tienes dudas, llama tú directamente al número de teléfono de esa persona por la que se estaban haciendo pasar o al teléfono que tengas de tu banco, la tienda por la que se estaban haciendo pasar, etc. Nunca hagas una rellamada al número que te había llamado. Incluso si ese número lo reconoces, ten en cuenta que esta es otro tipo de estrategia. No te fíes.
¿Y si ya has picado en un caso de vishing?
Te recomendamos que lo primero que hagas sea intentar revertir la situación. Si has dado tus contraseñas, cámbialas en todos los sitios donde tengas la misma (algo que, de base, es un error, pero eso lo trataremos en otro contenido). Si has hecho algún pago, llama a tu banco. Si has descargado alguna aplicación, desinstálala (y casi sería recomendable también que formatearas el equipo).
Una vez hecho esto, denúncialo. Esto no solo puede ayudar a que otras personas no piquen, también puede ayudarte a ti en caso de que en unos días o semanas ocurra algo extraño en tus cuentas. De hecho, en los siguientes meses te recomendamos que tengas especial cuidado y estés bien atento a posibles movimientos extraños que puedan ocurrir.
El vishing es un tipo de ciberdelito que usa la voz, pero recuerda que hay muchos más y que pueden utilizar otros canales para que caigas en la trampa. No te confíes.
