Suena tu celular , el número es desconocido pero decides responder de cualquier manera. Escuchas a alguien decir que es parte de tu familia, que está enfermo de Covid-19 y que necesita dinero para solventar sus gastos y pagar su tratamiento. La persona suena desesperada, al punto del llanto. Piden que les ayudes haciendo un depósito que suele ir de los 20 y hasta 50 mil pesos. Se trata de un caso de Vishing una técnica que está creciendo entre los ciberdelincuentes .
La descripción anterior es una de las estafas que más está creciendo en México derivado de las contingencia sanitaria pero no es la única. La compañía de seguridad cibernética , Sophos, advierte que también son comunes las llamadas a nombre de un banco o una empresa indicando que hay cargos no reconocidos o fallas en su servicio y muchas personas caen en la trampa .
La palabra vishing proviene de la combinación de las palabras ‘ voice ’ y ‘ phishing ’ y se trata de estafas por teléfono. La finalidad del ataque es engañar o robar los datos de las personas para obtener un beneficio económico.
“Para los ciberdelincuentes se ha vuelto muy sencillo atacar de este modo. Más allá del número telefónico, los criminales no necesitan conocer más detalles o datos como la dirección de la víctima y ni siquiera su nombre para ejecutar la estafa”, afirmó la compañía.
Lo que es más, en ocasiones ni siquiera tiene que hablar directamente un humano. El vishing puede funcionar mediante comandos de voz, es decir la potencial víctima, al contestar, escucha un mensaje en que se advierte que existe alguna falla en uno de sus servicios o movimientos no reconocidos dentro de su cuenta bancaria , por mencionar ejemplos y que, para conocer más detalles, indica la grabación , el usuario debe presionar la tecla “1”.
Es ahí en donde comienza la estafa, ya que la víctima es redirigida con un interlocutor humano, quien le explica a detalle el falso inconveniente y le pregunta datos bancarios y de carácter personal, con el supuesto fin de autenticar las información del cliente.
“Los atacantes eligen un servicio legítimo y popular como una institución bancaria, sistemas de telefonía, televisión por cable o tiendas de autoservicio, entre otros. Esto hace que las víctimas, al notar que la llamada supuestamente proviene de una marca o empresa real, sientan confianza de compartir información con la persona del otro lado del teléfono”, explicó Sophos.
De acuerdo con datos de la compañía hacen falta solo aproximadamente 60 palabras o 30 segundos al teléfono para crear una interacción exitosa con la víctima. En Reino Unido se presentaron diversos casos de este tipo a nombre de Amazon . Las personas recibían el mensaje de una voz, muy similar a la de Siri , con un guión corto y claro: “Su pedido de Amazon por (cualquier cantidad) de libras esterlinas fue enviado. Recibirá este paquete en los próximos días”, indica el mensaje. “Para cancelar el pedido o conocer más detalles, presione 1”.
Para saber qué sucedía en caso de seguir lo que la grabación pedía, personal de Sophos recibió la llamada y presionó 1 a modo de experimento, así supieron que el usuario es redirigido a lo que parece ser un call center legítimo de la empresa. Es entonces donde se le comienzan a hacer preguntas al usuario sobre su correo electrónico y contraseña de la cuenta de Amazon , datos bancarios y de sus métodos de pago frecuentes, entre otros, todo con el supuesto fin de autenticar su información de cliente.
¿Por qué funcionan este tipo de ataques?
Las víctimas suelen caer ya que, por lo general, las llamadas se reciben dentro de una red móvil o fija dentro del mismo país, por lo que el usuario ve un número local creíble y contesta. Además, actualmente, las llamadas de voz mediante grabadoras son ampliamente utilizadas por empresas legítimas, por lo que los usuarios no suelen sospechar.
Asimismo, los delincuentes que realizan estas llamadas solo tratan con personas que denominan ‘Activas’, es decir, aquellas que presionaron la tecla “1”, lo que ahorra algunos pasos en la estafa, contrario a tener que captar la atención de una una persona desde cero.
Un último detalle es que los ciberdelincuentes cambian constantemente la línea telefónica que utilizan, por lo que guardar estos números en la lista de contactos bloqueados no ayudará mucho si se quiere evitar ser contactado.
Por ello, la recomendación más común es no compartir datos sensibles, como información bancaria e información personal, con ninguna empresa ya sea por teléfono o correo electrónico.
También recordar que las entidades bancarias y compañías advierten, de forma recurrente, que nunca solicitarán datos de este carácter mediante este tipo de canales. Por lo que, en caso de recibir la llamada y dudar de la legitimidad, es mejor llamar directamente a la compañía en cuestión.