Septiembre no sólo supone fin de las vacaciones y la vuelta al colegio para millones de españoles, sino que también es una fecha marcada en rojo en el calendario de los ciberdelincuentes. Se trata de una época del año en la que los consumidores suelen realizar cambios o altas en servicios como pueden ser telefonía, banca o energía, por lo que aprovechan para realizar oleadas de ataques vishing.
El vishing es uno de los ciberfraudes más extendidos y exitosos y surge de la fusión de dos conceptos: las llamadas de voz y el phishing. Mientras que el phishing son campañas virtuales que llegan al correo electrónico haciéndose pasar por una empresa o entidad legítima, en el vishing se trata de una conversación telefónica a través de la cual tratan de sonsacar información sensible.
Sin embargo, el peligro real del vishing, a diferencia del phishing, es que los ciberdelincuentes han realizado un trabajo previo para conocer a su víctima. Mientras que con el phishing una campaña, por ejemplo, de ING llega a una gran parte de usuarios que no son de dicho banco, en el vishing se buscan datos de la víctima antes de llamarla y así ganarse su confianza.
Phishing telefónico
"En el mes de septiembre la llamada de una nueva oferta de una operadora o compañía con una oferta inigualable suele generar más interés. Se trata de una realidad que los ciberdelicuentes conocen bien. Y por eso, hacen muy bien sus deberes, por medio de una técnica denominada ingeniería social", advierten desde Panda Security.
"Los hackers buscan la información que hay sobre una persona en internet y en redes sociales, para saber dónde trabajan sus víctimas, dónde viven o al colegio al que llevan a sus hijos. Una vez han recabado toda esa información, la utilizan para generar confianza en las personas a las que están timando", apunta Hervé Lambert, global consumer operations manager de Panda Security.
Con esa información y buena labia, se puede conseguir que un usuario pique y acabe facilitando información personal, números de teléfono o claves a un desconocido. Es más también "se llega a lograr que se realice alguna acción como instalar un programa, enviar correos o realizar ingresos", advierte el Instituto Nacional de Ciberseguridad (INCIBE). Una estafa que no es nueva pero que gracias a la sobreexposición del usuario en la red es más asequible que antaño.
Riesgo para empresas
Este tipo de estafas no se dan únicamente entre particulares, sino que también se produce en entornos empresariales. La idea de los atacantes es que "el eslabón más importante y más débil de los procesos de ciberseguridad es la persona", indica el INCIBE.
"Estas llamadas exprimen tres principios básicos de las relaciones humanas: confianza hacia el otro; todos queremos ayudar y no nos gusta decir No", señala la institución que alerta que lo más habitual es que se hagan pasar por una persona de otro departamento pidiendo claves de acceso como parte de un proceso de confirmación. Para ello, el ciberdelincuente suele referirse a otra información que sí conoce como apellidos, extensión de teléfono, correo electrónico u otro tipo de identificador.
"La persona está ocupada, no tiene mucho tiempo disponible, y recibe una llamada de alguien que dice ser del departamento de informática de su empresa, que le pide su colaboración. ¿Por qué va a dudar de que le estén mintiendo? Evidentemente nadie debe dar su contraseña de acceso. Pero, ¿y si el atacante consigue que alguien por falta de precaución o por ganas de colaborar en exceso la proporcione? Es cuestión de probar", alerta el INCIBE.
Cómo evitarlo
Aunque no existen remedios infalibles para evitar ser una víctima del vishing, pues todos podemos ser engañados por los ciberdelincuentes, sí que existen una serie de recomendaciones claras para que nos roben datos o información relevante.
Desde Panda Security indican que los principales consejos son "prudencia y sentido común", sin embargo, también apuntan a tres claves generales cuando hablamos por alguien por internet o a través de teléfono:
- Nunca dar las claves privadas a nadie. "Si un técnico necesita acceder a tu cuenta o a tu información, podrá hacerlo sin problema".
- ¿Estás en el lugar real?. "Cuando metas tus datos en una web, asegúrate de estar en la dirección correcta".
- Cuidado con lo que descargas: "Nunca abras un fichero o archivo extraño, aunque venga de un remitente conocido".
Por su parte, entre las técnicas para conseguir la confianza de la víctima y llegar a manipularla existen seis patrones principales que suelen tener éxito, advierte el INCIBE:
- Respeto a la autoridad: Es cuando el atacante se hace pasar por un responsable o por un policía.
- Voluntad de ser útil: Esta ayuda o colaboración se aprecia especialmente en entornos laborales y comerciales.
- Temor a perder algo: Se usa en en los mensajes que tienen que hacer un ingreso para obtener un trabajo, una recompensa, un premio, etc para aprovechar una oportunidad que no volverá a pasar.
- Vanidad: Aprovechan la adulación de la víctima por sus conocimientos, su posición o sus influencias para sacar información.
- Ego: Se les convence de que han conseguido algo (premio, galardón) y que para obtenerlo tienen que realizar una acción que en otro caso no harían.
- Urgencia: Consiguiendo los objetivos por pereza, desconocimiento o ingenuidad de la víctima.