Cuidado con el 'vishing': así es la estafa telefónica más popular

La OSI describe el 'vishing' como «una técnica de ingeniería social utilizada por los ciberdelincuentes para engañar a los usuarios a través de llamadas de teléfono fraudulentas y obtener así información personal sobre ellos, guiarles para que descarguen e instalen programas maliciosos, así como intentar que realicen pagos bajo algún pretexto». Para ello, los atacantes suplantan a compañías e instituciones reales, entre ellas bancos, proveedores de suministros, servicios de atención al cliente, entidades públicas, soportes técnicos...

Para ayudar a identificar este tipo de llamadas, el INCIBE propone las siguientes categorías:

■ Engaño por premios, sorteos o inauguraciones: El atacante insiste en que hemos ganado un premio o nos han seleccionado para participar en un sorteo, solicitándonos información personal para hacernóslo llegar.

Un ejemplo de este tipo de llamadas aportado por la OSI: «Usted ha ganado un premio o regalo, pero necesitamos verificar su información personal para que pueda reclamarlo».

■ Amenazas de cierre de cuenta: Alguien nos llama para advertirnos de que nuestra cuenta de cliente o usuario va a ser cerrada si no confirmamos determinados datos personales.

En este sentido podríamos recibir una excusa similar a esta: «Su cuenta ha sido comprometida y necesitamos su información para ayudar a resolver el problema».

■ Llamadas de soporte técnico falsas: Cuando el supuesto centro de soporte técnico de una compañía se pone en contacto con nosotros para resolver un problema del que no teníamos constancia.

Dentro de esta categoría resultan especialmente perjudicados los usuarios de las operadoras de telefonía. Así, podríamos escuchar lo siguiente al otro lado de la línea: «Somos un proveedor de servicios de Internet y hemos detectado un problema con su conexión. Necesitamos algunos datos suyos para solucionarlo».

También debemos sospechar si el supuesto representante de una marca tecnológica pide acceder remotamente a nuestro ordenador para «protegerlo frente a una reciente brecha de seguridad».

■ Engaño por problemas financieros: Este tipo de llamadas resultan las más sensibles, ya que aluden directamente a nuestra información financiera. El ciberdelincuente asegura que existe un problema con nuestra banca electrónica y termina engatusándonos para conseguir las claves de acceso: «Soy un representante del departamento de fraudes de su banco y hemos detectado actividad sospechosa en su cuenta. Necesitamos verificar su información para proteger su cuenta».

En otras ocasiones pueden aludir a nuestra tarjeta de crédito, asegurando que necesitan «verificar la información para evitar cargos no autorizados».

■ Falsos mensajes de voz automatizados: El colmo de la vagancia por parte de los estafadores reside en aquellas llamadas conformadas por una serie de grabaciones robóticas (automatizadas), mediante las que se pide a la víctima que siga ciertas instrucciones: «Introduzca su número de tarjeta de crédito mediante el teclado de su teléfono móvil», por ejemplo.

■ Inversiones en criptomonedas o cuentas de ahorro: El fenómeno del 'bitcoin' también está desplumando a muchos incautos, quienes reciben llamadas de hipotéticos inversores o gurús de las finanzas dispuestos a convencerlos de que ganarán mucho dinero si aportan una pequeña suma. Otras veces, los 'malos' se hacen pasar por oficinistas de banco para ofrecer falsas (y extrañamente lucrativas) cuentas de depósito.

Si lo anterior no fuese suficiente para detectar un intento de estafa telefónica, los expertos de la OSI enumeran una serie de características comunes a estas tretas. En primer lugar, quien nos llama tiene más que aprendidas las expresiones utilizadas habitualmente por los operadores de las principales entidades bancarias o compañías de suministros. Además utilizan nuestro nombre y apellidos, haciéndonos creer que tienen acceso a una base de datos legítima (cuando en realidad han obtenido dicha información por la vía delictiva).

Todas las llamadas de vishing intentan crearnos una sensación de urgencia: se nos insiste en que, si no hacemos lo que nos piden lo antes posible, sufriremos consecuencias tales como las anteriormente descritas (no poder acceder a la banca online, perder un premio...). A dicho respecto, se nos solicta en todo caso información personal que el supuesto operador ya debería tener en su posesión o no necesita en absoluto.

En general, debemos descartar cualquier llamada inesperada que aluda a sorteos o implique la instalación de programas en nuestros dispositivos. La comprobación definitiva consiste en pedirle al delincuente datos concretos de la empresa por la que se hace pasar, cuando suelen ofrecernos evasivas o información vaga.

Ante la mínima sospecha de vishing, el consejo universal es cortar la llamada y ponerse en contacto con la compañía de marras a través de sus canales oficiales, cuyos operadores podrán confirmarnos el intento de fraude. Por supuesto, nos abstendremos de revelar información de ningún tipo ni de pinchar en cualquier enlace al que los delincuentes nos deriven, vía mensaje de texto o correo electrónico.

Ahora bien, ¿qué podemos hacer si pese a todo terminamos siendo víctimas de una estafa telefónica? El INCIBE ofrece una serie de pautas:

• Llamar a nuestro banco si hemos proporcionado datos financieros y pedir que revisen nuestras cuentas (y cancelen nuestras tarjetas si fuese necesario).

• Desinstalar cualquier aplicación o programa que hayamos instalado en nuestro móvil u ordenador si nos hubiesen pedido tal cosa; además de pasar un antivirus para comprobar que el dispositivo no esté infectado por algún 'software' espía.

• Cambiar inmediatamente los nombre de usuario y contraseñas que hayamos comunicado telefónicamente: ninguna compañía las solicita bajo ningún pretexto.

• Notificar el intento de estafa a la empresa suplantada para que pueda tomar medidas.

• Interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado indicando el número de teléfono que nos llamó y todos los datos posibles de la conversación.

• Monitorizar cualquier actividad sospechosa durante las semanas y meses siguientes al 'vishing', tanto en nuestras cuentas bancarias como en nuestros perfiles de usuario.