Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

Vishing, la llamada del fraude

Fecha de publicación 14/10/2020
Imagen decorativa, Vishing, la llamada del fraude

El vishing, como otros muchos ataques de ingeniería social, se basa en una serie de técnicas con las que ganarse la confianza del usuario, generalmente, haciéndose pasar por una persona o entidad reconocida por los usuarios.

Imagen llamada de ciberdelincuentePor ejemplo, imagina que recibes un mensaje de un desconocido diciéndote que has ganado un premio. Para obtenerlo, solo debes hacer clic y rellenar un formulario con tu nombre, apellidos, correo electrónico y datos bancarios. Muy pocos serían los que acabarían cayendo en la trampa, ¿verdad?

Ahora, imagínate que tu teléfono empieza a sonar, lo coges y una persona muy amable te llama por tu nombre y se identifica como un representante de tu banco. Seguidamente, te informa de que ha habido una serie de cargos sospechosos en tu cuenta y quiere revisar los últimos movimientos contigo. Para ello, te pide una serie de datos, como tu número de tarjeta de crédito, CVV y clave de firma. Aunque tu banco jamás te pedirá este tipo de información, es posible que no seas consciente o no lo reflexiones porque te están apremiando y termines compartiéndola. Esto es lo que conocemos por vishing y el modus operandi del atacante puede variar mucho. Te ofrecemos algunos ejemplos:

  • Una supuesta cadena de supermercados muy famosa nos llama por teléfono y nos ofrece un cheque regalo para gastar en sus tiendas. Una vez que nos mostramos interesados, el atacante tratará de hacer que compartamos todos nuestros datos personales y/o datos de la tarjeta de crédito, con la excusa de que son necesarios para esta promoción. En ocasiones, tratará de invitarnos a acceder a una web fraudulenta, compartir la promoción con otros usuarios a través de nuestras redes sociales o aplicaciones de mensajería instantánea, rellenar un formulario con nuestros datos personales, etc.

  • Un supuesto técnico se pone en contacto con nosotros por teléfono para informarnos de una incidencia que podría afectar gravemente al sistema de nuestro ordenador. Para solucionarla lo antes posible, están llevando a cabo controles en remoto en los equipos de aquellos usuarios afectados. Dejándolo en manos del experto, terminamos por confiar en él, descargamos el software que necesita y le damos control sobre nuestro equipo para que acceda a nuestros archivos, robe nuestros datos o instale software malicioso.

  • Nuestro teléfono comienza a sonar y una chica muy simpática nos informa de que aún estamos a tiempo de participar en un sorteo o promoción inexistente a través de alguna red social. Parece que se trata de una promoción de una conocida marca que busca recompensar a sus clientes. Tras describir el premio, nos pide que compartamos una serie de datos por temas legales, como nuestro nombre, apellidos, correo, dirección así como hábitos de consumo sobre nosotros y nuestra familia. Recopilados nuestros datos, no volveremos a tener noticias sobre el sorteo…

  • Finalmente, otro tipo de vishing muy común consiste en una llamada telefónica que informa a su víctima de ser el beneficiario de algún tipo de ayuda. Para recibirla, la víctima debe facilitar una serie de datos personales y bancarios, como el número de la tarjeta de crédito o incluso se le insta a utilizar alguna aplicación en el dispositivo para poder gestionar la supuesta ayuda.

En nuestra sección de avisos encontrarás diversos fraudes con este modus operandi que puedes revisar para concienciarte y ser capaz de identificar posibles ciberataques.

¿Cómo podemos protegernos?

Imagen llamada desconocida entrante de ciberdelincuentePor suerte, los usuarios no estamos desprotegidos ante este tipo de amenazas. Sin embargo, sí requieren de nuestra atención para detectarlo y prevenirlo a tiempo. Algunas pautas que debemos seguir para ello son:

  • Evitar compartir información personal. Como cualquier ataque por ingeniería social, lo primero y más fundamental es utilizar el sentido común y evitar compartir con desconocidos información personal o especialmente sensible, como son los datos bancarios o nuestras credenciales.

  • Desconfiar de llamadas de números desconocidos o una numeración sospechosa. Si recibimos una llamada de un número desconocido, debemos desconfiar y no facilitar información a la primera de cambio. Hay que estar muy atentos para identificar alguna posible pregunta que nos haga sospechar de un posible fraude. En caso de duda, siempre podemos invitarles a llamarnos en otro momento para que nos dé tiempo a investigar y contrastar la información facilitada por otras vías: la fuente oficial, familiares, amigos, Internet, etc.

  • Comprobar la autenticidad de la llamada. Es frecuente que los ciberdelincuentes se hagan pasar por nuestro banco, compañía de teléfono o eléctrica e incluso por el soporte técnico de algún servicio de los que utilizamos habitualmente, como Microsoft. No olvidemos que también pueden suplantar a cualquier entidad u organismo público o privado: Seguridad Social, Agencia Tributaria, etc. Una práctica muy sensata es comprobar que la persona es quien dice ser, pidiéndole que nos dé cierta información que la compañía debería conocer. Además, si nos mete “miedo” o nos invita a tomar una decisión de manera urgente, deberemos sospechar. Como ya hemos indicado anteriormente, deberemos solicitar que nos llamen en otro momento para poder contrastar la información directamente con la entidad afectada. Por ejemplo, si nos dicen que nos llaman para hacernos una devolución de dinero de la Agencia Tributaria, lo sensato será acudir a la página web oficial o incluso a la oficina más cercana para confirmar la cuestión o desmentirla.

  • Utilizar apps de rastreo de llamadas. En el mercado de las aplicaciones móviles existen varias apps que permiten identificar y bloquear llamadas provenientes de fuentes desconocidas o sospechosas.

    Además, compañías como Google han comenzado a implantar en el sistema operativo Android una función para llamadas verificadas. Los usuarios que tengan la app Teléfono de Google podrán comprobar si la llamada entrante proviene de una fuente verificada, marcada con un check azul.

    No obstante, permaneced atentos si estáis esperando una llamada de alguna entidad o servicio, ya que podrían hacerlo desde alguna centralita y, por tanto, aparecer el número como desconocido o sospechoso. Este último caso podría darse si hablamos de un número que en el pasado hubiese podido ser utilizado para alguna actividad con mala reputación, pero que no tiene nada que ver con el servicio que se presta actualmente desde él.

  • Contactar siempre con los teléfonos oficiales de las entidades. En caso de recibir un mensaje o correo donde se nos invite a utilizar un teléfono alternativo o acceder a un enlace para contactar con la entidad, debemos desconfiar y utilizar solo los canales oficiales.

  • Evitar las herramientas de acceso remoto. Es habitual que algunos ciberdelincuentes utilicen, además de la llamada telefónica, una herramienta de acceso remoto con la que tener control sobre nuestro equipo. Si nos sugieren utilizarla, deberemos desconfiar, pues es muy probable que se trate de un tipo de fraude conocido como el falso soporte técnico.

Finalmente, debemos tener en cuenta, que los ciberdelincuentes habrán investigado un poco sobre nosotros, por lo que es probable que conozcan nuestro nombre, dirección o correo electrónico. Por esto, es fundamental que seamos precavidos a la hora de compartir, facilitar o publicar datos sensibles en Internet que puedan ser de utilidad a los ciberdelincuentes. 

Debemos estar alerta y seguir las instrucciones previas para evitar ser víctimas de un ataque de vishing y terminar compartiendo más información de la que deberíamos. Desde la OSI ponemos a disposición de todos los usuarios una serie de recursos con los que mantenernos actualizados y concienciados. 

Si creemos haber sido víctimas de algún fraude, podemos denunciarlo a las Fuerzas y Cuerpos de Seguridad del Estado, aportando todas las evidencias posibles, como capturas de pantalla, registro de llamadas, mensajes recibidos y, si percibimos que la llamada puede ser sospechosa, la grabación de la misma. 

¿Alguna vez has recibido una llamada fraudulenta? ¿Crees que serías capaz de identificar un ataque de vishing? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.

Artículo enmarcado dentro de la campaña
Los ciberdelincuentes, ¿quiénes son?