Se trata de un escenario común. Alguien visita una plataforma de redes sociales y hace clic en un vínculo atractivo, que solo conduce a una pantalla azul con un mensaje de advertencia y un número gratuito al que se debe llamar para reparar un problema grave con el equipo.
Un técnico responde cordialmente el teléfono, muy dispuesto a ayudar, pero la solución implica un pago. Después de proporcionar la información de la tarjeta de crédito para comprar el software y solucionar el problema con el equipo, la estafa se completa, y la víctima lo paga caro.
El software no funciona, y el técnico servicial desaparece, para nunca volver a escuchar de él de nuevo. El usuario se convierte en otra víctima de una práctica malintencionada denominada “vishing”.
Vishing en pocas palabras
La mayoría de las personas ha oído hablar del “phishing”. El phishing consiste en correos electrónicos o mensajes de texto que invitan atractivamente a hacer clic en vínculos a archivos o sitios web que contienen malware. Los vínculos pueden aparecer también en anuncios en línea dirigidos a los consumidores.
En la práctica del vishing se utilizan fraudes verbales con los que se engaña a las personas para que hagan cosas que supuestamente son para su propio bien. El vishing llega hasta donde a menudo el phishing no llega.
En el ejemplo anterior, la víctima hizo clic en un vínculo de una publicidad web relacionada con intereses personales. El malware incorporado en el vínculo activa un bloqueo de seguridad que solo el “técnico” servicial del otro lado del teléfono puede solucionar. Esto le supondrá a la víctima cierta cantidad de dinero antes de solucionar el problema. Por supuesto, se trata de una estafa, y el “servicio” del técnico resulta ser la causa real del problema.
¿Cuán común es el vishing?
El fraude de tarjetas de crédito en 2015 fue de 16 000 millones de dólares a nivel mundial, mientras que el vishing representó 1000 millones de dólares, según un reportaje de la BBC. Básicamente, el vishing puede ocurrir en cuanto los autores obtienen acceso a la información personal de las víctimas.
Los cibercriminales crean deliberadamente las condiciones ideales para estafar a las víctimas desprevenidas con objeto de que estas les traspasen de forma voluntaria datos personales valiosos, como sus nombres completos, direcciones, números de teléfono y números de tarjetas de crédito.
Con esta información, los cibercriminales pueden iniciar numerosos cargos fraudulentos, comenzando con cobros falsos por concepto de reparación de equipos o software antivirus, según la estafa.
El vishing prolifera cuando los cibercriminales disponen de un cierto grado de información acerca de los intereses del usuario. Estos se aprovechan de este conocimiento para crear una sensación de urgencia relacionada con un problema en la vida de la víctima, para luego intermediar a través del ofrecimiento de una solución sencilla al problema en un tono conciliador.
Cómo reconocer un acto de vishing
A veces es difícil que las personas se den cuenta de que son víctimas del vishing. Las víctimas a menudo no son conscientes de que la persona supuestamente servicial del otro lado del teléfono las está engañando, sino hasta después de haber entregado sus datos confidenciales. Sin embargo, hay algunas señales de advertencia que les pueden ayudar a detectar posibles fraudes.
En muchos casos, los autores son autoridades o expertos autodesignados en sus respectivos campos. Pueden pasar por técnicos informáticos, banqueros, funcionarios policiales o incluso como víctimas.
Sin embargo, si los autores fueran legítimos, debería ser fácil autenticar su afiliación profesional con una simple llamada telefónica. Si estos no pueden, o no quieren, proporcionar la información necesaria para verificar su identidad, entonces no se debe confiar en ellos. En caso de que sí proporcionen información de contacto, sigue siendo importante verificar su legitimidad de forma independiente a través de un número de teléfono público oficial de la empresa en cuestión.
Aunque resulte tentador ceder ante la presión, la sensación de urgencia inminente es una importante señal de peligro. Como usuarios, hay que ser pacientes y anotar cualquier información que nos proporcione el autor de la llamada; sin dar detalles acerca de nosotros mismos. De nuevo, es posible acceder a fuentes externas para encontrar un número de teléfono público y realizar la verificación.
Los destinatarios de estas llamadas tampoco deben hacer clic en los vínculos de mensajes de correo electrónico (phishing) ni en mensajes de texto SMS de teléfonos móviles (SMiShing) que los autores puedan enviar. Es probable que toda la correspondencia contenga “enlaces” con malware capaz de tomar el control de sistemas informáticos, robar credenciales de usuario e incluso realizar espionaje.
Si un cliente recibe llamadas no solicitadas de personas que ofrecen servicios informáticos, no se debe intentar volver a llamar desde el mismo teléfono en el que se recibió la llamada.
Ahora existe tecnología telefónica que permite bloquear la línea de una víctima después de una llamada, de manera de redirigir las próximas llamadas hacia la línea del estafador. Las personas que crean en la posible autenticidad de un problema, deben utilizar otro teléfono para llamar a un número público y verificarlo.
Reportar el delito
Un técnico real que intermedie en la restauración de un equipo después de un incidente de malware le recomendará encarecidamente al cliente cambiar las contraseñas de cuentas, notificar a los bancos y empresas de tarjetas de crédito y vigilar las transacciones financieras de cerca. Los clientes de EE. UU. deben también reportar las llamadas de vishing a la Comisión Federal de Comercio a través de Internet o al (888) 382-1222. El Centro de Denuncias de Delitos en Internet del FBI también realiza investigaciones de vishing.
Aunque el vishing y su primo web, el phishing, no desaparecerán pronto, la vigilancia y una fuerte dosis de escepticismo pueden ayudar a reducir el riesgo de pérdida ocasionada por estos tipos de estafa.
Artículos relacionados:
- ¿Qué es el adware?
- ¿Qué es un troyano?
- Datos y preguntas frecuentes sobre virus informáticos y malware
- Spam y Phishing