Este es un escenario común. Alguien inicia sesión en una red social, hace clic en un enlace tentador y ve una pantalla azul frente a ellos con un mensaje de advertencia y un número de teléfono gratuito para llamar y solucionar un problema informático grave.
La llamada es atendida por un amable especialista técnico que está listo para brindarle cualquier asistencia por dinero. Después de que el usuario proporciona la información de su tarjeta de crédito para pagar el software necesario para resolver un problema informático, la acción fraudulenta, que es costosa para la víctima, finaliza.
El software no funciona, el educado técnico desaparece. Y el usuario se convierte en otra víctima de la estafa llamada «vishing». La mayoría de la gente ha oído hablar del phishing. Es un envío masivo de correos electrónicos o mensajes de texto que contienen ofertas tentadoras para inducir al usuario a hacer clic en un enlace o visitar sitios con malware.
También se pueden mostrar enlaces a los visitantes de la página de Internet, cuyo área de interés potencialmente coincida con el tema del producto o servicio anunciado. El vishing es una forma oral de fraude en la que los atacantes, utilizando la comunicación telefónica, bajo varios pretextos, estimulan a las personas a tomar medidas supuestamente en su propio interés.
El vishing a menudo reemplaza al phishing. En el ejemplo anterior, la víctima hizo clic en un enlace de un anuncio en línea que le interesaba. El malware incrustado en el enlace bloqueó los dispositivos, y solo un «aficionado a la tecnología» que tuvo que ser contactado por teléfono podía desbloquearlo. Por supuesto, todo esto era una estafa
¿Cómo de frecuente es el vishing?
Según la BBC, en 2020 el fraude con tarjetas de crédito se convirtió en un negocio global de 16 mil millones de dólares, y el vishing representó 1 mil millones de dólares. De hecho, el vishing entra en vigor cada vez que los delincuentes obtienen acceso a la información personal de las víctimas.
Los ciberdelincuentes crean deliberadamente condiciones para alentar a las víctimas desprevenidas a proporcionar voluntariamente datos personales valiosos, como nombres completos, direcciones, números de teléfono y tarjetas de crédito.
Con esta información en la mano, los ciberdelincuentes pueden exigir el pago de los usuarios, por ejemplo, por una supuesta reparación de una computadora o por un software antivirus, dependiendo de la “especialización” de los estafadores.
Tan pronto como los ciberdelincuentes obtienen al menos una fracción de información sobre los intereses del usuario, entra en juego el vishing. Los estafadores usan la información que tienen para hacer sentir al usuario que tienen un problema para el que necesitan ayuda con urgencia y luego actúan como salvadores, ofreciendo una salida fácil con una voz tranquilizadora.
¿Cómo reconocer el vishing?
A veces es difícil para las personas determinar cuándo han sido víctimas de vishing. Los usuarios a menudo no se dan cuenta de que la persona servicial del otro lado les está estafando sus datos personales. Sin embargo, existen señales de advertencia que nos ayudan a reconocer posibles estafas.
En muchos casos, las personas que llaman dicen ser expertos. Pueden hacerse pasar por informáticos, banqueros, policías o incluso como otras víctimas de fraude. Sin embargo, si las personas que llaman son realmente quienes dicen ser, entonces no es difícil verificar su afiliación profesional con una simple llamada.
Si no proporcionan sus datos no se puede confiar en ellos. Pero incluso si brindan información de contacto, vale la pena verificar su legitimidad llamando al número de teléfono oficial de la organización. Y aunque a menudo cedemos ante la asertividad de las personas que llaman, la urgencia que crean es una gran señal de alerta.
Los usuarios deben respirar profundamente un par de veces y luego escribir toda la información que proporciona la persona que llama sin pedir ningún detalle. Además, puede intentar encontrar un número de teléfono común en Internet, devolverle la llamada y comprobar si esta persona/organización es quien dice ser.
Los destinatarios de tales llamadas tampoco deben hacer clic en los enlaces de los correos electrónicos (phishing) o mensajes SMS en un teléfono móvil (SMiShing). Cualquier correspondencia puede contener «interceptores» que descargan malware que puede controlar los sistemas informáticos, robar datos de los usuarios e incluso monitorearlos.
Si los usuarios reciben llamadas no solicitadas ofreciendo algún tipo de servicio informático, no deben devolver la llamada al teléfono desde el que recibieron la misma. Hoy en día existe una tecnología que permite a los atacantes bloquear la línea telefónica de la víctima después del final de la conversación y redirigir todas las llamadas posteriores al usuario.
Un verdadero experto técnico que corrige las consecuencias de un incidente de seguridad en su computadora siempre recomienda encarecidamente que los usuarios cambien las contraseñas de las cuentas, notifiquen a sus bancos y organizaciones de crédito sobre los incidentes y controlen cuidadosamente las transacciones financieras. Si bien el vishing y su primo en línea, el phishing, no van a desaparecer pronto, la vigilancia y una buena dosis de escepticismo ayudarán a reducir el riesgo de pérdidas por este tipo de estafas.
