¿Número desconocido? Qué es el vishing y cómo actúan los estafadores
Según el Informe de Datos de la FTC de 2020, el vishing constituyó el 31% de las denuncias de fraude, con una pérdida agregada de 436 millones de dólares. Eso es mucho vishing.
Los métodos de los estafadores también se han vuelto fuera de este mundo.
Hace años, un vídeo en las redes sociales de un agente de policía atendiendo una llamada fraudulenta en tiempo real se hizo viral. El estafador, haciéndose pasar por un representante bancario, solicitaba información personal con el pretexto de verificar su cuenta. El agente no cooperó. El estafador se puso agresivo, amenazando con acciones legales, incluido el arresto.
Este es sólo un ejemplo (agresivo) de un método de vishing. Este artículo le mostrará otros métodos que los estafadores utilizan con víctimas desprevenidas. A continuación, aprenderá a reconocer los distintos tipos de ataques de vishing y a evitar convertirse en una víctima.
¿Qué es el vishing?
El vishing es una forma de phishing en la que los delincuentes utilizan llamadas telefónicas o mensajes de voz para engañar a las víctimas y hacerles compartir información personal identificable (IPI). Esto incluye direcciones físicas, datos de tarjetas de crédito o números de la seguridad social. Otras veces, los estafadores engañan a las víctimas para que transfieran fondos directamente.
El objetivo final de los estafadores suele ser el beneficio económico. Sin embargo, los ataques de vishing pueden producirse por otros motivos, como la usurpación de identidad o la apropiación de una cuenta.
Los ataques de vishing pueden afectar tanto a particulares como a organizaciones. Al igual que otros tipos de phishing -por correo electrónico y mensajes de texto-, los estafadores se hacen pasar por partes como representantes del gobierno o instituciones financieras. Esto les ayuda a ganarse la confianza de la víctima.
¿Cómo funciona el Vishing?
Los ciberatacantes no empiezan sus estafas llamando a números aleatorios. Quien me llama, ha obtenido la información de los objetivos potenciales a partir de filtraciones de datos o de las redes sociales. A continuación, utilizan diversas técnicas de ingeniería social.
En primer lugar, utilizan como cebo correos electrónicos (phishing) o mensajes de texto (smishing). Los destinatarios deben hacer clic en un enlace, llamar al número indicado o responder al mensaje de texto. Al responder, las víctimas confirman que la dirección de correo electrónico o el número de teléfono están activos. El estafador, por tanto, sigue adelante con la estafa.
Los phishers de voz inician las llamadas utilizando el número de teléfono del correo electrónico o mensaje de texto. A veces, incluso la víctima potencial inicia la llamada.
Con el objetivo al teléfono, los ciberdelincuentes pueden hacer una de estas dos cosas: fingir ser alguien que el objetivo conoce o informar al objetivo de que tiene que realizar una acción (realizar pagos, por ejemplo) para evitar sanciones o recibir recompensas.
Diferencia entre vishing y phishing
El vishing y el phishing comparten los mismos objetivos y tácticas de ingeniería social. Sin embargo, difieren en el medio utilizado para realizar estas estafas.
Los ataques de phishing se producen a través del correo electrónico. Imitan el diseño y el formato de los correos electrónicos de empresas que usted conoce o utiliza. El mensaje de correo electrónico va desde un inicio de sesión sospechoso en su cuenta hasta una oferta de descuento. El objetivo es conseguir que abra un archivo adjunto malicioso o haga clic en un enlace de pharming.
Los ataques de vishing, por su parte, se producen por teléfono. Un agente de un centro de llamadas, por ejemplo, puede recibir una llamada de un "técnico de soporte informático" que le pide los datos de acceso. Este "técnico" puede decir que necesita realizar comprobaciones rutinarias de mantenimiento en el dispositivo informático. Al final, el agente libera la información sensible.
Los ataques de vishing son más difíciles de detectar que los de phishing. La gente no está familiarizada con los nombres o las voces de los representantes de la empresa. En esencia, cualquiera que hable por teléfono puede tener una preocupación legítima. Las víctimas, por tanto, acaban entreteniendo a los estafadores sin sospechar nada.
Algunos esquemas de vishing también se basan en el uso de sistemas de respuesta de voz interactiva (IVR). Con estos mensajes automatizados, se evita la interacción humana. El resultado es que resulta difícil descubrir al estafador que está detrás de la estafa.
4 formas en que los estafadores utilizan el vishing
Los estafadores de voz se basan en comportamientos humanos, como el miedo al castigo, la apelación a la autoridad y la voluntad de ser útil para llevar a cabo las estafas. Por lo tanto, suelen hacer una o varias de las siguientes cosas:
Hacerse pasar por representantes del gobierno
Mucha gente teme a la autoridad del gobierno o se somete a ella. Además, instituciones como el Servicio de Impuestos Internos (IRS) o la Administración de la Seguridad Social (SSA) ya disponen de sus datos personales. Por eso, normalmente no te parecerá sospechoso que su "representante" te pida que "confirmes tu identidad".
Crear sensación de urgencia
Los estafadores no quieren darte tiempo para cuestionar la llamada. Por eso, aplican la presión de un plazo corto. El objetivo es crear pánico y obligarle a resolver el "problema" de inmediato.
Por ejemplo, algunos estafadores piden a propietarios de pequeñas empresas que paguen cientos de miles de dólares en un plazo. Las razones de los estafadores van desde que el dinero es un requisito para tramitar las subvenciones de la pequeña empresa hasta que sirve como anticipo para el alquiler de una oficina.
Extraer información personal
Muchas empresas de confianza le piden que confirme su identidad antes de atenderle.
Por ejemplo, ¿es su correo electrónico johndoe@yahoo.com? Como los estafadores de vishing no tienen la respuesta a esta pregunta, se hacen pasar por empresas. Luego intentan verificar las direcciones de correo electrónico haciendo que usted declare explícitamente que es su correo electrónico.
Pretextos para ganarse la confianza de la víctima
Los ciberatacantes crean escenarios que obligan al objetivo a divulgar información que normalmente no compartiría. Por ejemplo, un agente de soporte técnico le pide tu contraseña para "instalar un nuevo programa". Te verías obligado a facilitar la contraseña, ya que el uso del "nuevo programa" por parte de la empresa depende de ella.
En todos estos casos, la clave está en ser perspicaz. Ten en cuenta que las oficinas gubernamentales se comunican principalmente por correo certificado. El personal informático legítimo tiene permisos de acceso de puerta trasera y no necesita tu contraseña.
Siga estos consejos para evitar las estafas de vishing
Ahora que ya sabe lo que es un ataque vishing, aquí tiene formas de evitarlos. Evite caer en trampas de ingeniería social haciendo lo siguiente:
No revele información personal por teléfono: Las empresas legítimas no piden contraseñas ni datos confidenciales por teléfono. No comparta nunca esta información con nadie. No haga caso de mensajes pregrabados.
Verifique la identidad de la persona que llama antes de facilitarle información: Pregúntale su nombre y dile que le llamarás después de verificar su identidad. Si la persona que llama se muestra reacia, es probable que sea un estafador.
Póngase en contacto directamente con las organizaciones: Verifique por teléfono los acontecimientos concretos mencionados por el supuesto representante del gobierno o de la empresa. Por ejemplo, supongamos que la persona que llama dice que su cuenta bancaria ha sido pirateada y necesita ser verificada. Obtenga el número de teléfono del banco en el sitio web. Llame para comprobarlo.
Mantenga segura la información personal en general: Los ciberdelincuentes obtienen información de contacto de diversas fuentes. Pueden obtenerla mediante programas espía, redes sociales o filtración de datos. Por eso, no compartas demasiado en las redes sociales, instala programas antivirus y utiliza servicios de cifrado de correo electrónico.
El mejor consejo para evitar las estafas de vishing es evitar responder a llamadas de números desconocidos. Sin embargo, esta no es una opción seria para las empresas. Por lo tanto, forme a sus empleados para que sepan detectar las llamadas telefónicas fraudulentas.
Otros ejemplos de estafas de vishing
Las estafas de vishing se presentan de otras formas. He aquí algunas de ellas::
Estafas de vishing del IRS
Durante la temporada de impuestos, los delincuentes se hacen pasar por funcionarios del IRS. Llaman por "impuestos impagados" o "problemas con el papeleo de la declaración de la renta". Esta estafa aprovecha la capacidad de la agencia federal para embargar cuentas bancarias y presentar cargos fiscales. Estas tácticas para asustar no tienen éxito cuando se comprende el alcance de lo que puede hacer el IRS.
Estafas de vishing de cuentas bancarias
En este tipo de estafa, los delincuentes dicen llamar de su banco o de la entidad emisora de su tarjeta de crédito. Utilizan el pretexto de transacciones sospechosas para que usted divulgue información personal y "confirme" su cuenta.
A veces, los estafadores de vishing incluso engañan a los objetivos con una falsa alerta de transacción como ésta:
Este mensaje de texto SMS alerta al usuario del dispositivo móvil de un cargo de 2.750 dólares en su cuenta bancaria. Les dice que llamen al número de teléfono falso si no han realizado la transacción. En estado de pánico, el objetivo llamará a este número sin verificar si se trata del número oficial de atención al cliente del banco.
Estafas de vishing a la Seguridad Social
Las estafas de vishing de la Seguridad Social se dirigen a personas mayores. Los estafadores se hacen pasar por representantes de Medicare o de la Administración de la Seguridad Social. Engañan a las víctimas para que compartan su número de la Seguridad Social, supuestamente necesario para "restablecer las prestaciones suspendidas" o "recibir pagos adicionales".
Estafas de vishing de soporte técnico
En este método de vishing, los ciberdelincuentes se hacen pasar por técnicos de soporte informático de un proveedor de servicios. Su objetivo es obtener acceso a un dispositivo o aplicación informática.
Un escenario típico consiste en alertar a las víctimas de un fallo técnico. A continuación, se indica a las víctimas que descarguen un software para "solucionar el problema". El software es, en realidad, malware.
Cómo denunciar las estafas Vishing
Si sospecha que ha sido víctima de vishing, denúncielo aunque el intento no haya tenido éxito. Realice una de las siguientes acciones:
Póngase en contacto con la FTC: La Comisión Federal de Comercio se encarga de investigar los fraudes. Denunciar las estafas a la FTC les permite rastrear patrones y construir casos contra los vishers.
Denuncie la estafa vishing a las autoridades locales: Muchos departamentos de policía cuentan con un departamento de fraudes para investigar este tipo de incidentes. Además, las empresas reguladas, como los bancos, deben informar de los fraudes a las autoridades policiales.
Informe a la organización pertinente sobre la estafa: Las estafas pueden afectar negativamente a la reputación de una empresa. Alertarles de una actividad fraudulenta les permite tomar medidas para proteger su marca y a otros clientes.
Conserve pruebas de los ataques de vishing. Esto incluye registros de llamadas, correos electrónicos, mensajes de texto y recibos de transacciones.
Conclusión
El phishing de voz puede ser una forma eficaz de que los ciberdelincuentes estafen a personas desprevenidas. En cierto modo, es más eficaz que un correo electrónico o un mensaje de texto de phishing.
Sin embargo, como en todos los ataques de ingeniería social, hay indicios de que la persona con la que hablas es la que dice ser. La concienciación es fundamental para evitar las estafas telefónicas.
Siga los consejos de este artículo para detectar a los estafadores. De ese modo, podrá proteger sus datos y sus finanzas antes de que sea demasiado tarde.