Todo lo que debes saber  sobre el delito de vishing

Todo lo que debes saber sobre el delito de vishing

El Vishing es un tipo de estafa informática, en el que el cibercriminal, utilizando el teléfono móvil o el correo electrónico, se hace pasar por una fuente fiable. Para conseguir un Vishing eficaz, el cibercriminal busca engañar a su víctima y obtener sus datos personales, normalmente alegando supuestas razones de seguridad. La finalidad del Vishing es robar la identidad o el dinero de los usuarios y empresas (obteniendo fraudulentamente los datos de sus cuentas bancarias).

Hoy os traemos este interesante artículo de Lisa Institute que comenta con detalle esta figura delictiva.

Esta actividad delictiva se encuadra dentro de lo previsto en los  Artículos 248.2 y 401 de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Es decir, delito de estafa utilizando medios tecnológicos, informáticos o análogos  y delito de usurpación de estado civil o funciones públicas.

La palabra Vishing es una combinación de voz y phishing. La suplantación de identidad consiste en utilizar el engaño para que una determinada persona revele información personal o confidencial propia o de su organización.

No obstante, en lugar de usar el correo electrónico, las llamadas telefónicas regulares o las páginas web fraudulentas como los llamados phishers (quienes utilizan la técnica del phishing para estafar), los cibercriminales utilizan un servicio telefónico por Internet también conocido como VoIP (Voz sobre Protocolo de Internet).

Hacerse pasar por una persona, un negocio legítimo o una administración pública para estafar a las personas no es un fenómeno nuevo, el Vishing es simplemente un nuevo giro en una vieja rutina. De hecho, el Vishing lleva existiendo desde hace casi tanto tiempo como el servicio de telefonía por Internet, al ser un canal mucho más "anonimizable" y por tanto poder delinquir con total impunidad.

Los cibercriminales utilizan lo que se conoce como ingeniería social a través de una combinación de tácticas de miedo, presión y manipulación emocional para intentar engañar a las personas y que proporcionen su información. 

Estos Vishers incluso crean perfiles falsos de identificación de llamadas (llamados falsificación de identificación de llamadas) que hacen que los números de teléfono parezcan legítimos.

Modus operandi del Vishing

1. MODUS OPERANDI DE VISHING DE EMAIL + CONTESTADOR AUTOMÁTICO:

El modus operandi de Vishing más común es el envío de correos electrónicos que solicitan que se llame a un número de teléfono en el que aparece un contestador automático en el que se le pide usuario información confidencial.

"El modus operandi con contestadores automáticos, es menos eficaz que la llamada en directo pero mucho más masivo y escalable, consiguiendo datos a escala internacional con muy pocos recursos y riesgo."

Normalmente, la excusa es que se ha detectado un movimiento extraño en sus cuentas bancarias. Por ejemplo, el retiro de elevadas cantidades de dinero de alguna tarjeta de crédito o débito. De esta manera, los cibercriminales consiguen alarmar a los usuarios, quienes al final acabarán revelando una serie de datos personales con el objetivo de detener o revertir esas operaciones o transferencias (que pueden ser verdaderas o no).

2. MODUS OPERANDI DE VISHING CON PHISHING + LLAMADA TELEFÓNICA:

Otro procedimiento de Vishing es cuando el cibercriminal obtiene la información confidencial mediante un correo electrónico o una web fraudulenta, lo que se denomina ataque phishing pero necesita alguna información que le falta (normalmente un código de SMS) que se exige cuando se tiene activado el Doble Factor de Autenticación.

En este caso el cibercriminal necesita el código SMS o la clave del token digital para poder validar las operaciones, transferencias o compras online fraudulentas. De manera que los cibercriminales llaman por teléfono al cliente identificándose como personal del banco y tras "darle confianza" y alarmarle de algún modo, mediante argumentos de urgencia o de riesgo, le pedirán la clave que necesitan.

En estos casos de Vishing, los cibercriminales se encargan de recrear todo el escenario en relación con la llamada para engañar a las personas y conseguir su objetivo como, por ejemplo, replicar voces y el ambiente de un centro de llamadas, ponerte en espera con una música corporativa, etc..

Para conseguirlo, llevan a cabo estas acciones:

1.    Recaban información del cliente como nombre completo o dirección (normalmente publicadas por el usuario o su entorno en Internet), números de cuentas o tarjetas bancarias (normalmente publicadas en la Deep Web o en la Dark Web).

2.    Instauran un sentido de urgencia, haciendo creer que el dinero o ciertos datos confidenciales están en peligro para que la víctima responda instantáneamente.

En un mundo tan hiperconectado y dependiente de la tecnología como el actual, los conocimientos en Ciberseguridad son más necesarios que nunca. A nivel personal y profesional debemos saber sobre Ciberseguridad para poder prevenir las ciberamenazas y, en caso de que nos afecten, poder gestionarlas eficazmente. [Aquí encontrarás todos los cursos recomendados sobre Ciberseguridad, de nivel principiante a nivel Experto]

Ejemplos de Vishing

Una gran parte de las denuncias de fraude notificadas fueron víctimas mediante el modus operandi del contacto telefónico utilizando diferentes escenarios, motivos o "discursos de ingeniería social". 

Estos son algunos de los ejemplos más comunes de Vishing:

- CUENTA BANCARIA O DE TARJETA DE CRÉDITO "COMPROMETIDA"

Ya sea una persona o un mensaje pregrabado a modo de contestador, se informará a la víctima que hay un problema con su cuenta o un pago que realizó de una cuantía económica importante. 

Es posible que los cibercriminales soliciten las credenciales de inicio de sesión para solucionar el problema o que realice un nuevo pago para verificar su identidad. En lugar de proporcionar la información que se nos solicita, es recomendable colgar y llamar al número público de nuestra entidad financiera para verificarlo.

- PRÉSTAMO NO SOLICITADO U OFERTAS DE INVERSIÓN

Los cibercriminales llamarán al usuario con ofertas que son demasiado buenas para ser verdad. Por ejemplo, ganar millones de euros con una pequeña inversión, pagar todas las deudas con una solución rápida u obtener todos los préstamos perdonados de una sola vez. 

Por lo general, los cibercriminales piden actuar rápidamente y con urgencia, debiendo la víctima pagar una pequeña tarifa. Es importante saber que los prestamistas e inversores legítimos no ofrecen este tipo de ofertas y no inician el contacto de la nada y menos por teléfono.

Evita como norma general dar datos bancarios por teléfono, ya sea porque se trate de un cibercriminal o porque alguien puede estar escuchando la llamada, ya sea por internet o alguien que está cerca tuyo (oficina, vecinos, etc.).

- ESTAFA DE LA SEGURIDAD SOCIAL O AGENCIA TRIBUTARIA

Las llamadas telefónicas son el método más utilizado por los cibercriminales para llegar a las personas más mayores. Se hacen pasar por representantes de la Seguridad Social y tratan de obtener información financiera de la víctima, como su número de la Seguridad Social o los detalles de su cuenta bancaria, con el objetivo de utilizar dichos datos posteriormente para obtener beneficios, acceder a sus cuentas o robar su dinero.

- ESTAFA DE IMPUESTOS

Hay muchas variaciones de este tipo de estafa, pero generalmente, la víctima recibirá un mensaje pregrabado. El mensaje suele informar de que algo está mal con su declaración de impuestos y si no devuelve la llamada, se emitirá una orden de arresto, denuncia, introducción a una lista pública de morosos o bloqueo de sus cuentas. 

Los cibercriminales suelen combinar esta acción con un identificador de llamadas falsificado para que parezca que la llamada proviene de la Agencia Tributaria. 

6 consejos para evitar ser víctima del Vishing

Cualquier persona puede acabar siendo víctima de Vishing o de otro tipo de estafa. Para evitarlo, a continuación, te proporcionamos 6 consejos para evitar el ciberdelito del Vishing:

1.    Utiliza una aplicación de identificación de llamada: las innumerables alternativas de voz sobre IP posibilitan la creación de números falsos de forma muy sencilla. Por ello, una buena opción para evitar llamadas fraudulentas sería descargar una aplicación específica como, por ejemplo, Truecaller.

2.    No hagas clic en los enlaces ni respondas a las indicaciones. Si recibes un mensaje automatizado o un correo electrónico en el que se te pide hacer clic en enlaces o responder preguntas, no lo hagas. Varios ejemplos de directrices pueden ser: "Presione el botón 2 para eliminarle de nuestra lista" o "Diga sí para hablar con un operador". 

3.    Verifica la identidad de la persona que se ha puesto en contacto contigo. Si el remitente proporciona un número de devolución de llamada, puede ser parte de la estafa, así que no lo uses. En su lugar, busca el número de teléfono público oficial de la empresa o institución que se supone que te está contactando y llámales por tu cuenta o acude físicamente a su sede física.

4.    Nunca facilites información personal o confidencial: ni tampoco respondas a requerimientos sobre tu tarjeta de débito o crédito, documento de identidad, dirección, fecha de nacimiento, etc. Ante cualquier duda, debes llamar al banco y notificar que te han solicitado información financiera en nombre de su entidad, ellos suelen estar informados de los modus operandi de Vishing, Phishing, etc.

5.    Cuelga si sospechas: En el momento en que sospeches que se trata de una llamada telefónica fraudulenta, no sientas la obligación de tener que mantener una conversación cortés. Los cibercriminales suelen ser muy persuasivos mediante técnicas de manipulación e ingeniería social. Simplemente cuelga y bloquea el número.

6.       Actualiza constantemente tu sistema de antivirus y las herramientas antispyware. Los cibercriminales, por lo general, aprovechan las brechas de seguridad que tienen las versiones más antiguas para atacar a los usuarios.