El ingenio de los ciberdelincuentes se agudiza. A los ya conocidos casos de smishing o phishing se suma una nueva técnica de ingeniería social denominada vishing. Consiste en un nuevo caso de fraude digital que se basa en una llamada a los usuarios con la intención de alarmarlos sobre riesgos informáticos u ofertas y así extraerles sus datos personales o bancarios. Se consigue suplantando la identidad de un tercero de confianza.

¿Cómo opera el vishing?

Las llamadas inesperadas de ‘vishing’ (fusión de ‘voice’ y ‘phishing’), se definen como un caso de fraude sofisticado, capaz de suplantar al banco y ofrecerle datos concretos a la víctima para ganar su confianza. Suele emplear a su vez técnicas de ingeniería social diversas como el Spoofing (suplantación del teléfono) o OSINT (búsqueda de información en fuentes de Internet).

Normalmente son llamadas aleatorias, suplantando cualquier servicio para llegar a estafar al mayor número de personas posible. No solo sucede con las entidades bancarias, sino también con el caso del falso técnico, que llama para convencer al usuario de que necesita solucionar una incidencia y que para ello es preciso que instale un programa de acceso remoto.

Lo único que buscan los ciberdelincuentes es hacerse con el control, ya sea del ordenador, del dispositivo móvil o de la cuenta bancaria. Puede incluso darse el caso de la suplantación de identidad de operadoras de telefonía móvil. La circunstancia es que sortean regalos exclusivos con ofertas engañosas que llegan por llamadas, mensajes y publicidad online.

Recomendaciones de seguridad

No hay mejor defensa que la desconfianza, pues ni el banco ni ninguna entidad o institución destacada nos pedirá jamás información sensible por teléfono. Esto es algo que se recalca desde INCIBE.

Lo más importante es estar informado y en alerta. Para ello, nada mejor que sospechar si se recibe una llamada de un servicio desconocido y de forma inesperada, normalmente con carácter de urgencia.

En cualquier caso, nunca deberá facilitarse información personal ni credenciales y además habrá que estar muy alerta de las ofertas. Ante la duda, contactar directamente con la entidad legítima por medio de sus canales oficiales.

Siempre será más recomendable interrumpir la comunicación con el ciberdelincuente para denunciar lo sucedido que seguirle la estrategia. De este modo, se comprobará si ha habido movimientos en nuestra cuenta bancaria.

Casos concretos de vishing

La línea 017 del servicio ‘Tu ayuda en ciberseguridad’ de INCIBE registró el caso de una mujer de avanzada edad que, después de recibir una llamada extraña al teléfono fijo de su domicilio, se le preguntaba si disponía del servicio de teleasistencia o botón rojo. La mujer aseguró que el autor de la llamada en ningún momento se había identificado, solicitándole en todo momento datos personales como su cuenta bancaria. En ese momento, decidió cortar la llamada y se puso en contacto con el Servicio de Emergencias 1-1-2. Lo más recomendable es cortar la llamada de manera inmediata en estos casos.

Otro caso ha sido el de un Colegio de Entrimo. Se investiga un ataque por el método de suplantación de identidad, haciéndose pasar por Abanca, con la intención de conseguir una transferencia de 8.420 euros y robar así los datos a los afectados. El equipo de la Guardia Civil de Ourense viene trabajando en la investigación de este caso de vishing, pues todo llegó a través de una llamada. Con esta estrategia, los estafadores lograron transferir los 8.420 euros de la cuenta del colegio de Entrimo a la suya.

Por desgracia, no es el único caso de vishing que se viene analizando en la provincia. En concreto, se han producido hasta siete denuncias similares, viéndose afectados en todos los casos clientes de Abanca. Se busca en todo momento acceder a datos bancarios de los clientes y, si no es posible, hacen uso del ‘HalCash’, un servicio que permite retirar dinero en efectivo sin conocer la cuenta o poseer una tarjeta, pudiendo extraer 3.000 euros diarios o 6.000 euros mensuales, como máximo.

Otro caso de vishing similar y muy reciente ha sido una estafa de 250 euros a un ciudadano de Burgos. Los delincuentes, mediante phishing previo o un malware efectivo, tuvieron acceso a la banca online de la víctima y realizaron una solicitud de extracción de efectivo en cajero mediante un código que la víctima recibía en su teléfono.

Para obtener dicho código, proceden a llamar a la víctima, haciéndose pasar por el banco, recibiendo el código de verificación al ganarse su confianza. Después, un intermediario introduce en cualquier cajero de la red del banco los datos y extrae el dinero estafado.

Esta práctica de vishing no ha hecho más que empezar. De ahí que, desde la Guardia Civil, se recomiende a los usuarios desconfiar en todo momento, ponerlo en conocimiento de las autoridades y entidades competentes y no transmitir, nunca por vía telefónica, datos sensibles.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre