Ingeniería Social: ¿Qué es el Vishing?

El vishing es una combinación de las palabras «voz» y “phishing”. Se refiere a estafas de phishing que se hacen por teléfono. A los individuos se les intenta engañar para que revelen información crucial de carácter financiero o personal. El vishing funciona igual que el phishing, pero no siempre ocurre por internet y se lleva a cabo mediante tecnología de voz.

vishing

Técnicas de Vishing comúnmente utilizadas:

Los estafadores más habilidosos en técnicas de vishing logran orquestar una serie de factores que los hacen sonar legítimos:

  • Información correcta: tienen su nombre, dirección, número telefónico e información bancaria. De hecho, toda la información que usted esperaría escuchar de un funcionario de verdad.
  • Urgencia: se le hace creer que su dinero está en peligro, y que debe actuar con rapidez. El miedo suele llevar a las personas a actuar sin pensar.
  • Habilidades telefónicas: el número de teléfono parece provenir de otro sitio (como ocurre con el spoofing). Así que usted contesta el teléfono con intención de creerle a quien le llama, dado que el número parece convincente.
  • Atmósfera empresarial: se escucha mucho ruido de fondo, de modo que da la impresión de ser un «call center» (en vez de un tío metido en un sótano). Los estafadores tienen un «call center», o logran montar efectos de sonido en la llamada.

Si la víctima cae presa de la estafa y les proporciona información personal, él o ella suelen terminar siendo víctimas de robo de identidad.

Situación real de Vishing #1

Usted llega a casa del trabajo y revisa su correo de voz para ver si alguien ha llamado. Su correo de voz tiene el siguiente mensaje:

“Hola, le habla Eva, de la Compañía de Telecomunicaciones ABC. Le estoy llamando para confirmar la baja de su cuenta. Tanto la conexión telefónica como la internet de su dirección serán canceladas definitivamente mañana 6 de mayo a las 8:00 AM. Nuestros registros indican que tiene usted un saldo pendiente. Por favor, comuníquese con nuestro departamento de atención al cliente al 00-… para abonar el saldo pendiente”.

Esto se hace para crearle un sentido de urgencia y obligarle a coger el teléfono y llamar al número indicado. La Compañía de Telecomunicaciones ABC le responde, ofreciéndole de inmediato una forma automática de evitar la baja de su cuenta. Se le pide que introduzca su número de seguridad social o de carné de identificación, y la tarjeta de crédito afiliada a su cuenta, para verificar que usted en verdad es el dueño de su cuenta. Después de que usted introduce ambos números, la llamada se corta.

Situación real de Vishing #2

Usted está viendo televisión en la sala de su casa a las 8:00 pm, y suena el teléfono. Usted mira el número que le llama, y resulta ser su banco. Usted responde el teléfono.

“Hola, le hablamos del banco XYZ. En la última hora, ha habido tres intentos fallidos de ingresar a su cuenta. Para proteger tanto su cuenta como su información privada, el banco ABC ha bloqueado su cuenta. Estamos comprometidos con la seguridad de sus transacciones por internet. Por favor, llame a nuestro departamento de seguridad al 1-800-bla-bla-bla.»

Usted sabe que no ha hecho «tres intentos fallidos de ingresar a su cuenta en la última hora», porque ha estado viendo la tele en casa. Una vez más, la idea es crearle pánico y obligarle a llamar al número indicado. Usted llama, y le responden con lo siguiente:

«Gracias por llamar al banco XYZ. Su llamada es importante para nosotros, y la grabaremos para propósitos de control de calidad. Para dirigirle al departamento apropiado, por favor siga nuestro menú”.

  • Para cuenta corriente o de ahorro, pulse 1.
  • Activar una tarjeta de débito, pulse 2.
  • Suspender el pago de un cheque, pulse 3.
  • Para conectarse a un departamento, pulse 4.
  • Para cualquier otra pregunta, presione 0.

Usted pulsa el 4, y el sistema automatizado le pide que se identifique.

«La seguridad de nuestros clientes es importante para nosotros. Para continuar, necesitamos comprobar antes su identidad. Por favor introduzca su número de cuenta bancaria, y después el numeral».

Usted introduce su número de cuenta, y recibe la siguiente instrucción:

“Gracias. Ahora, por favor introduzca su número de Seguridad Social o carné de identidad, y después el numeral».

Usted los introduce, y vuelve a escuchar al sistema automatizado, que le dice:

“Gracias. Ahora, por favor introduzca su número de PIN, seguido del numeral”.

Usted introduce el PIN, y escucha lo siguiente:

“Gracias”. La llamada se corta o ─aún peor─ se le transfiera al verdadero banco XYZ, donde, después de conversar con el funcionario, usted descubre que ha sido víctima de un ataque de vishing.

¿Cómo y por qué resulta así de fácil el Vishing?

Los ataques de vishing son difíciles de rastrear, porque «en su mayoría» usan tecnología de VoIP (Voz sobre IP), lo que significa que las llamadas comienzan y terminan en un ordenador, que puede estar en cualquier parte del mundo.

¿Y cómo es que aparece el número de su compañía de telecomunicaciones o su banco, cuando en realidad es un atacante? Porque lo suplantan (en jerga, le hacen «spoofing”) Existen servicios, como Spoofcard, Burner (aplicación móvil gratuita), etc. que permiten hacer «spoofing» (suplantar) a su número, de modo que llame usted a quien llame, éste no tiene forma de saber que es usted.  Usted puede mostrar el número que desee. Esto permite a los ataques de vishing parecer perfectamente legítimos ante el identificador de llamadas de la víctima. El spoofing de números a veces es legal (en la lucha contra el spam, para propósitos de privacidad, etc.) y a veces no lo es (fraudes por internet, etc.) dependiendo de las leyes y reglamentos regionales vigentes.

¿Cómo protegerse del Vishing?

  • Nunca llame al número que se le ha dado, o al que muestra su identificador de llamadas (a menos que sea el número de un amigo, pariente, etc.). Tómese el tiempo para buscar el número legítimo y llame a ese número.
  • Nunca le dé información personal ─ ¡A nadie! Esto aplica para cualquier solicitud de información personal. Para su información: las compañías legítimas nunca le piden su número de seguridad social, carné de identidad, números de tarjeta de crédito o números de PIN por teléfono.
  • Si recibe una llamada sospechosa, simplemente cuelgue.  Antes de devolver la llamada, investigue un poco en internet.  Lo más probable es que otras víctimas hayan publicado información al respecto.

También puede reportar un robo de identidad en https://www.identitytheft.gov/

Y, sobre todo, apóyese en el sentido común. ¡Conozca las señales de alarma y piense antes de actuar!

Mailfence es un servicio de E-mail seguro y privado. ¡Haga nuestro curso de Seguridad para E-mail y conciencia acerca de la privacidad para defenderse mejor contra las ciber amenazas más importantes de hoy en día!

¡Obtenga su email seguro!

Síganos en twitter/reddit y manténgase actualizado en todo momento.

– El Equipo Mailfence


¡Corra la voz!

También te podría gustar...