El vishing es un tipo de estafa de ingeniería social en la que, a través de una llamada, se suplanta la identidad de una organización o persona de confianza. El objetivo es sustraer información personal y sensible de la víctima. El término es una combinación de las palabras voice (voz) y phishing.
El modus operandi que utilizan los ciberdelincuentes para realizar el vishing se puede dividir en dos. Primero, obtienen información confidencial sobre la víctima (nombre y apellidos, correo electrónico, algunos datos de la tarjeta de crédito, etc.). Esto lo consiguen gracias a otros ataques realizados sobre sus víctimas, como por ejemplo a través de phishing.
En segundo lugar, una vez obtenida esta información, realizan una llamada telefónica haciéndose pasar por una entidad bancaria, una empresa de mensajería o un servicio técnico para utilizar la información anterior y que su víctima confíe en ellos. Tras ello, tratan de obtener más información, conseguir que el usuario instale algún malware en su equipo o que realice algún tipo de pago.
Tipos de ‘vishing’ y recomendaciones
Algunas llamadas fraudulentas pueden intentar suplantar a diferentes personas y obtener datos bancarios. Estas son algunos de los tipos de vishing más habituales:
- Llamada de alguien que se identifica como empleado del banco. Normalmente, los cibercriminales llaman para comunicar al cliente que se está realizando una operación fraudulenta con su tarjeta u otra incidencia de carácter grave. Para solucionarlo, solicitan los datos de la tarjeta o una clave única recibida por SMS. Con esos datos pueden realizar compras o transferencias a otra cuenta. En ocasiones proporcionan ciertos datos de las cuentas para generar confianza. Por tanto, nunca se debe proporcionar la clave única, pues es un dato que el banco nunca solicita.
- Técnico informático. Con la excusa de limpiar el ordenador de virus, los ‘malos’ solicitan el pago de una cantidad de dinero a través de una plataforma en la que quedan registrados los datos bancarios de la víctima. También puede hacerse con el control del ordenador infectado para obtener datos, acceder a la banca electrónica y operar en nombre del cliente o instalar malware. En este sentido, se recomienda no acceder a ninguna app o plataforma desconocida para realizar este tipo de pagos.
- Comercial de una compañía telefónica. Los ciberdelincuentes llaman para comunicar un error en la factura y solicitar los datos bancarios para hacer la devolución. Aquí es importante recordar que no se deben dar los datos que soliciten en la llamada, ya que la compañía dispone de toda la información necesaria para hacer esa hipotética devolución.
- Persona interesada en algo que se vende en internet. Si un usuario vende productos de segunda mano por Internet, los estafadores pueden hacerse pasar por compradores interesados. En este caso, tratan de obtener los datos bancarios completos con la excusa de agilizar el pago. Por tanto, la principal recomendación es nunca proporcionar datos bancarios.
Archivado en: