Al sonar el teléfono hay que tener en claro de no pasar datos personas. En especial, si del otro lado se encuentran empleados de call centers de empresas, que suele ser la práctica más habitual de los ciberdelincuentes.
Los rubros vinculados a esta maniobra delictiva suelen ser: bancos, billeteras virtuales, tarjetas de crédito, servicios de Internet y telefonía.
El objetivo siempre es el mismo: conseguir información personal para atacar las finanzas del usuario.
El vishing es una modalidad de estafa creciente que se emite mediante mensajes de voz y llamadas telefónicas.
Similar al phishing, lo que diferencia a este tipo de ataque es que los atacantes se comunican con las víctimas potenciales en dos situaciones consecutivas.
En el vishing, los delincuentes intentan engañar a la víctima a través de una llamada telefónica, suplantando la identidad de otra persona o ente, generalmente una entidad bancaria o financiera.
Usar la voz como fraude
Vishing combina dos términos: por un lado, el phishing, el tipo de fraude que se realiza a través de la suplantación de identidad y "voice" (voz en inglés).
Por eso se la considera específica para aquellos ataques que impliquen llamadas o audios.
El clásico modus operandi de esta estafa encuentra su origen en un mensaje de WhatsApp. Así, los ciberdelincuentes se contactan con una línea aleatoria y se hacen pasar por empleados de una empresa reconocida.
La foto de perfil con el logo de la firma, más un mensaje previamente elaborado convencen a la víctima de que se trata de algún servicio del cual es cliente.
Lo que solicita: números y códigos de seguridad de tarjetas, fotos del DNI y otros datos clave que posteriormente utilizarán a su favor para hacer transferencias a su nombre.
Más allá de los mensajes en frío, esta estafa también se lleva a cabo mediante sitios web falsos, que aparecen primeros en los resultados de búsqueda de Google, cuando una persona quiere ingresar al sistema de atención al cliente de alguna empresa.
Verificar los datos
Sol González, Investigadora de seguridad informática de ESET Latinoamérica comenta: "Solemos recomendar revisar bien con quién se está hablando. Verificar que el número de teléfono o la cuenta desde la que se contactan las empresas coinciden con las que figuran en los sitios oficiales".
Y, "al buscar un sitio oficial, no apurarse a hacer click en el primer resultado sino cerciorarse de que sea una dirección de Internet legítima".
El estafador se encarga de aplicar la metodología conocida como ingeniería social, un conjunto de técnicas empleadas en las llamadas telefónicas para manipular a los usuarios y generarles confianza con el objetivo de hacerse con sus datos.
El pirata informático se hace pasar por un empleado de este tipo de entidades para conseguir información clave y lograr acceso a cuentas de la víctima.
Generalmente, el delincuente revela a la persona que esta fue seleccionada para un beneficio o necesita atención por alguna cuestión relativa al banco al que pertenece, por lo que se les entrega un código.
Posteriormente, llega una segunda llamada, que también afirma ser parte de dicha entidad, y convence a la víctima de cambiar su clave de acceso bancaria. Así, el estafador consigue ingresar a la cuenta y sustraer los fondos.