¿Qué es el vishing y cómo puedes protegerte?

El vishing es un tipo de ataque de ingeniería social que consiste en hacerse pasar por otra persona, una institución estatal o una entidad que puede estar relacionada con la futura víctima. Una vez elegida esa “nueva identidad”, el farsante o el robot que se haya configurado hablará de una supuesta circunstancia en la que la víctima deberá abonar una determinada cantidad de dinero para solucionar el problema:

• Una deuda que no ha sido saldada en el plazo estipulado. El estafador realizará una llamada telefónica presentándose como el empleado de un banco, que se pone en contacto con el objetivo de informar al titular de la cuenta para que abone dicha cantidad.
• Un familiar, amigo o las víctimas de una catástrofe natural necesitan ayuda. Las técnicas de vishing también se aprovechan de la buena voluntad de las personas. Quizá después del gran terremoto en Turquía y Siria (2023), se realicen llamadas telefónicas de supuestas organizaciones benéficas que están recolectando fondos para las familias afectadas. A veces, la extorsión es más personalizada y hablan de un nieto, hijo o buen amigo que está en apuros económicos y necesita ayuda.
• Un error burocrático debido a un fallo técnico o un descuido. Los expertos en vishing saben el poder que tiene una notificación de la Seguridad Social o cualquier organismo de la Administración Pública. Numerosas personas han perdido sus datos personales y dinero después de facilitarle esta información a un estafador disfrazado de funcionario.

El vishing sirve para engañar y conseguir el dinero de las víctimas, pero también se realizan estos ataques para conseguir información confidencial: números de cuentas bancarias, teléfonos móviles de amigos, datos confidenciales de clientes… Por muy insignificante que pueda parecer este tipo de información, cualquier detalle facilita el robo de tu identidad. Por este motivo, es crucial protegerse online y evitar comprometer tu privacidad a través de una llamada telefónica que parecía inocente.

El vishing y el smishing forman parte de las estafas de ingeniería social y los ataques phishing, pero no significan lo mismo. Ya hemos adelantado que el vishing opera en base a llamadas telefónicas y mensajes de voz que engañan a las víctimas, terminando en el robo de dinero o datos personales de gran valor.

En cambio, los hackers smishing son expertos en persuadir a las personas mediante mensajes de texto. Las apps utilizadas son muy conocidas y gente de todas las edades las emplean: WhatsApp, un SMS o las redes sociales. En otras palabras: todo el mundo puede caer en la trampa, incluso las celebridades.

Asimismo, cabe destacar que lo más frecuente es que la llamada vishing se realice por teléfono, al menos este es el modus operandi tradicional, pero la IA ha mejorado esta técnica delictiva. Ahora los servicios de Voz sobre Protocolo de Internet (VoIP) son otro medio que los estafadores explotan. Por lo tanto, significa que el vashing puede llegar a ti por el smartphone o una app como Skype.

A menudo se utilizan indistintamente los términos phishing y vishing como sinónimos. No obstante, debemos tener presente que el phishing abarca más técnicas de engaño que las llamadas telefónicas y los mensajes de voz. Entre otros métodos, atacan a las víctimas por correo electrónico o con sitios web falsos. Siempre que te encuentres con un enlace con apariencia extra, desconfía.

La estafa vishing parte del embuste de un delincuente haciéndose pasar con alguien diferente, aunque anteriormente dejamos constancia de que el engaño también involucra a instituciones de reconocido prestigio, por ejemplo, la Seguridad Social o una ONG. Hace un tiempo, lo más común era interactuar con una persona que, sin reparos éticos, usaba un discurso persuasivo con el que podía manipular y salir con la suya: robar dinero o datos.

Sin embargo, los hackers se han modernizado. Los bots están programados para intentar decenas de veces el mismo truco hasta conseguir que alguien pique el anzuelo. La tecnología deep fake y la inteligencia artificial (AI) están agilizando la proliferación de este tipo de scam. A veces, el truco está en llamar a alguien, pero solo un par de toques, para que esa persona devuelva la llamada y en ese momento robarle los datos.

Identifica las estafas más populares para intentar evitar el vishing. La prevención es el primer paso para no terminar siendo una víctima.

Primero, el estafador se pondrá en contacto contigo haciéndose pasar por el representante de una empresa conocida. El sector es arbitrario, puede actuar como el empleado de tu proveedor de servicios de internet o un abogado que representa a una organización con la que, según lo que afirma esta persona (aunque sea mentira) tienes una deuda cuantiosa.

Los mensajes incitan a la urgencia debido a un eminente peligro, por ejemplo, el embargo de tus cuentas o una multa:

• Un agente de seguros afirma que tu vehículo no tiene la póliza en rigor. Para arreglar el incidente, te solicita una serie de datos confidenciales: número de cuenta bancaria domiciliada, documento de identidad, matrícula del coche…
• El empleado de una sucursal bancaria te notifica que hubo un error en cierta transferencia porque la información no está actualizada. Afirmará que la actualización se puede realizar por teléfono.
• Una reconocida organización dedicada a las loterías, por ejemplo ONCE, se comunica contigo porque has ganado un sorteo especial. Posiblemente, presenten un escenario en el que haya que hacer un ingreso que luego será devuelto para continuar en el proceso.
• El trabajador de una agencia de viajes te llama porque has sido seleccionado para disfrutar de unas vacaciones con los gastos pagados en Cancún. Además de felicitarte, explicarán que los billetes de avión se compran a contrarembolso, tú realizas el primer pago y después ellos te ingresarán esa cantidad en tu cuenta.

Estos son solo algunos ejemplos de vishing dentro de los fraudes empresariales. Antes de proporcionar datos personales, verifica que la persona que te está llamando es quien dice ser. Asimismo, ten en cuenta que los trámites de mayor complicación normalmente se realizan de forma presencial y que en la app oficial de la entidad se proporciona el contacto con Atención al cliente o Soporte técnico.

Si estás buscando empleo y recibes la llamada de un funcionario del SEPE (Servicio de Empleo Público Estatal), tal vez no repares en los detalles: que la oferta no coincide con tu perfil o que jamás has dado los datos de tu teléfono a una ETT (Empresa de Trabajo Temporal). En este caso, es muy útil saber qué significa el vishing y que puede adoptar esta forma.

Otro ejemplo es una verificación de datos de la Seguridad Social para asignarte un nuevo médico de familia. Al otro lado de la línea, alguien afirmará que tu actual doctor ha solicitado una baja o que se ha jubilado, de modo que deben asignarte a uno nuevo. Dicha verificación indica repetir tu nombre completo, dirección postal para ofrecerte un doctor en el centro sanitario más cercano, número de documento de identidad…

Una de las claves de la lucha contra los ciberataques es la actualización de software. Esto también lo saben los estafadores, por eso otro tipo de vishing parte de la usurpación de la identidad de un experto del departamento de Soporte técnico o Atención al cliente de una compañía conocida.

Los pasos para actuar el equipo pueden ser complicados, pero el supuesto experto se ofrecerá a hacerlo él mismo, siempre que le des acceso a tu dispositivo en remoto. Al aceptar le estarás abriendo las puertas de tu ordenador o móvil a un auténtico desconocido que tiene la intención de robarte.

El ejemplo de vishing más conocido, aunque continúa siendo muy peligroso, es fingir ser un empleado de un banco que está preocupado porque su cliente tiene una deuda que no ha pagado. Tal vez el motivo de la llamada sean unos movimientos extraños que en teoría se han producido en tu cuenta, lo que requiere de una exhaustiva verificación de datos.

En este tipo de vishing, en las que se explica que un amigo o familiar está en un aprieto, las personas mayores son el grupo más vulnerable. El estafador plantea una situación extrema, fruto de una gran deuda que no se ha pagado o un grave accidente, en ambos casos, la persona que recibe la llamada solo cuenta con la forma para ayudar a su ser querido: transferir dinero urgentemente.

Ya sabes qué es el vishing y por qué es peligroso, así que ha llegado el momento de hablar de cómo puedes evitar el vishing:

• No aceptes ante la presión y piensa en lo que te están diciendo, palabra por palabra. Si acudes a la sucursal bancaria de la entidad en la que tienes una cuenta, ninguno de los empleados utilizará un lenguaje poco adecuado ni te presionará para que hagas algo en concreto. Su trabajo consiste en informar.
• No continúes una conversación con alguien que no se haya identificado. Las llamadas anónimas son una clara evidencia de que están intentando estafar. Exige que el supuesto profesional que te está hablando diga su nombre y otros datos personales, de modo que puedas verificar su identidad con el organismo que afirma representar.
• No te fíes a la primera, sé escéptico. Si te están notificando una cuantiosa deuda porque la DGT te ha puesto una multa y no la has pagado, intenta recordar si recibiste una notificación por escrito o ponte en contacto con la oficina de dicha agencia estatal para confirmarlo.
• No publiques demasiados datos personales en tus redes sociales. El vishing puede ser muy personal y dichos datos se extraen de los perfiles de redes sociales: número de hijos, tu apoyo por la adopción de mascotas, el tipo de empleo que tienes… Cualquier detalle sirve para alimentar la mentira de una estafa de vishing.