‘Vishing’: protege tu información personal

Suplantación de identidad por ‘vishing’ y consejos de Iberdrola

Internet Digital Ciberseguridad

Las tecnologías digitales que usamos día a día se han convertido en el escenario propicio para la aparición de nuevas formas de estafas y fraudes. Una de ellas es el vishing, un tipo de engaño a través de una llamada telefónica. Descubre qué implica, qué tipos existen y cómo evitar la suplantación de datos.

Vishing
Los cibercriminales recurren a una gran variedad de excusas para captar la atención de los usuarios y redirigirlos a páginas web fraudulentas.

Las estafas por suplantación de identidad a través de medios telemáticos como el vishing no son nada nuevo. Estos fraudes se llevan produciendo años, pero siempre vuelven a ser objeto de polémica cuando intentan suplantar a una organización importante o cuando permiten un robo masivo de dinero o datos. Son peligrosos porque deshacerse de los atacantes no es tan fácil pero, ¿cómo ejecutan los ciberdelincuentes el vishing? ¿Y cómo podemos evitar ser víctimas de este timo?

¿Qué es el vishing?

El término vishing proviene de la combinación de las palabras “voice” (voz) y “phishing” (suplantación) y consiste en una ingeniería social para cometer el fraude a través de vía telefónica. Se trata de un tipo de phishing. En este tipo de estafa, el delincuente se hace pasar por una persona o empresa real (suelen ser entidades bancarias o empresas de suministros) y solicita información personal, normalmente sobre los datos bancarios, a la víctima.

Los cibercriminales recurren a una gran variedad de excusas para captar la atención de los usuarios y redirigirlos a páginas web fraudulentas que simulan ser las legítimas: premios de lotería, actualizaciones urgentes, envíos no esperados pero que deben recoger cuanto antes, avisos de un pago, el banco pidiendo que cambien las claves…

En uno de los casos más habituales, una persona nos llama por teléfono haciéndose pasar por nuestra operadora de teléfono y nos avisa de un aumento en la tarifa. Después, recibimos una segunda llamada de alguien que nos ofrece una tarifa más barata recomendada con el fin de conseguir información sensible, como el número de cuenta o el DNI.

Tipos de vishing

La llamada puede realizarse desde un número oculto, desconocido o bajo una supuesta identidad de una empresa u organización. Estos son algunos de los tipos de vishing más habituales:

 Entidad financiera.

Los delincuentes se hacen pasar por representantes o trabajadores de un banco o entidad financiera. Normalmente, llaman a la potencial víctima para comunicar que tiene una incidencia grave en la cuenta o que se está realizando una operación fraudulenta con su tarjeta. En ocasiones, los estafadores proporcionan datos aparentemente reales con el fin de generar confianza en el usuario. 

Para solucionar la incidencia, los atacantes solicitan a la víctima información confidencial como datos de la tarjeta o claves únicas recibidas de acceso. Con esta información, pueden realizar compras o transferencias a otras cuentas. Por lo tanto, nunca se deben proporcionar las claves únicas, ya que el banco nunca las solicita.

 Técnico informático y soporte. 

Los estafadores se hacen pasar por técnicos de soporte de empresas tecnológicas. Con la excusa de limpiar el ordenador de virus, solicitan el pago de una suma de dinero a través de una plataforma que guarda los datos bancarios de la víctima. A veces se hacen también con el control del ordenador supuestamente infectado para robar datos, operar bajo la identidad del cliente o instalar malware o software maliciosos. En este caso, se recomienda no acceder a ninguna plataforma o aplicación desconocida para hacer pagos.

 Compañía de teléfono.

Los delincuentes llaman para comunicar un aumento de la tarifa, un error en la factura y solicitar los datos bancarios de los clientes para gestionar el error o hacer la devolución. Es importante no facilitar datos que soliciten en llamada, ya que en su caso la empresa ya dispondría de toda la información necesaria para hacer la gestión.

 Premios.

Los atacantes llaman a la potencial víctima para informarle de que ha ganado un premio. Para recibirlo, se le pide que facilite información personal y bancaria para conseguir robar datos personales y realizar movimientos o transacciones fraudulentas.

 Impuestos o deudas.

En este caso, los estafadores se hacen pasar por agentes de la agencia tributaria y llaman a las personas para advertirles sobre supuestos fallos en el pago de impuestos o deudas. Así, solicitan pagos inminentes.

 Familiares en riesgo o peligro.

En este tipo de vishing, los delincuentes se hacen pasar por familiares en situaciones de riesgo, emergencia o con problemas, narran una historia ficticia a la potencial víctima con la información que disponen de la misma. El objetivo es obtener dinero aprovechando su preocupación.

 Persona interesada en comprar algo por internet.

Si un usuario vende productos de segunda mano por alguna aplicación o plataforma por Internet, los estafadores pueden hacerse pasar por potenciales compradores interesados. En este tipo de vishing, intentan obtener datos bancarios completos con la excusa de hacer un pago más eficiente y rápido. Lo importante es no proporcionar datos bancarios por ninguna vía.

Proceso de estafa por vishing

  • Icono

    El delincuente hace un estudio previo sobre potenciales víctimas para conseguir información que le ayude a hacer el engaño.

  • Icono

    El atacante llama a la víctima y, cuando esta contesta, se hace pasar por un trabajador de alguna organización o entidad, como un banco.

  • Icono

    El delincuente usa la información que había recabado para generar confianza en la víctima.

  • Icono

    El atacante solicita a la víctima información financiera confidencial como contraseñas o datos de las tarjetas de crédito.

  • Icono

    El usuario que ha sido estafado entrega o completa su información confidencial.

  • Icono

    Ahora el delincuente tiene la información de la víctima con la que podrá realizar transacciones no autorizadas.

Ilustración
Ilustración

 VER INFOGRAFÍA: Proceso de estafa por vishing [PDF]

Consejos para evitar ser víctima del vishing

Todos los usuarios corremos el riesgo de ser víctimas de este tipo de fraude telefónico. El primer paso es no contestar, ignorar o colgar cualquier llamada en la que se nos solicite información personal o financiera. Sin embargo, distinguir una llamada de vishing de otra que no lo es puede resultar complicado. Estas son algunas medidas que podemos poner en práctica para evitar ser engañados:

  • La regla de oro es no facilitar jamás información personal o bancaria por teléfono.
  • Es importante desconfiar de las llamadas de números desconocidos e, incluso, bloquearlas o ignorarlas.
  • Además, debemos verificar la identidad de la persona que realiza la llamada. Si se trata de una empresa con la que tenemos contratados ciertos servicios, se puede pedir el nombre completo de la persona con la que estamos hablando y contactar posteriormente a la empresa para verificar la información.
  • Conviene recordar que entidades como los bancos o grandes empresas nunca llaman para solicitar datos confidenciales.
  • Si has recibido una llamada en la que te cuentan algo negativo y, a continuación, recibes otra ofreciéndote un beneficio relacionado y demasiado bueno, desconfía. Bloquea los dos números, busca qué datos puede haber sobre ti en la red y ejerce tus derechos de acceso, rectificación, cancelación u oposición.
  • No accedas a ninguna plataforma o aplicación desconocida para hacer pagos.

Cómo te protege Iberdrola

Estamos comprometidos con la seguridad de nuestros clientes. Desde Iberdrola nunca te solicitaremos información sensible o datos confidenciales a través de un SMS, WhatsApp o una llamada en tu teléfono móvil. En caso de que solicitemos algún tipo de información personal, contactaremos previamente contigo para informarte qué datos te pediremos. 

Además, con motivo de los eventos corporativos como la Junta General de Accionistas, ofrecemos consejos de ciberseguridad para ayudar a los accionistas a proteger mejor sus dispositivos e información.

También empleamos la plataforma CVE de SecurityScorecard para rastrear el estado de seguridad de los equipos de nuestros proveedores con el fin de que cumplan los requisitos mínimos exigibles en el ámbito de ciberseguridad. Al mismo tiempo, los particulares pueden comprobar el estado en el que se encuentran sus dispositivos, como los contadores eléctricos y la telemedida o los equipos de telecontrol (a nivel de empresas), entre otros.