El vishing y el smishing son, hoy en día, dos de los métodos de ciberdelincuencia más comunes, junto con el phishing. Mediante ellos, un ciberdelincuente puede acceder a nuestros datos bancarios, suscribirnos a un servicio Premium, etc. Veremos en qué consisten y cómo evitar ser víctimas.
Vishing, el gran timo telefónico
Su nombre viene de la unión de ‘voice’ y ‘phishing’, y se realiza mediante llamadas telefónicas. Se puede realizar desde dos puntos de vista:
1. El ciberdelincuente es el que realiza la llamada, haciéndose pasar por tu entidad bancaria, solicitando datos confidenciales con la excusa de realizar una comprobación o algo por el estilo.
2. El propio cliente es el que realiza la llamada, a partir de un correo de phishing o SMS recibido donde se le indica que su cuenta está bloqueada, se ha producido un cargo de importe muy alto en una de sus cuentas, o cualquier otra excusa que denote urgencia, dando un número de teléfono al que llamar para aclarar la situación.
En cualquiera de los casos, el ciberdelincuente intenta recrear la legitimidad de la empresa a la que está suplantando utilizando datos personales del cliente, normalmente obtenidos a través de Internet, como puede ser el nombre completo, la dirección o el DNI. En algunos casos se suelen utilizar voces automatizadas, similares a las empleadas por las entidades bancarias.
Se puede dar el caso de que un ciberdelincuente esté intentando realizar una transferencia fraudulenta con nuestras claves (obtenidas previamente mediante un phishing, por ejemplo) y, haciéndose pasar por el call center del propio banco, nos solicite tanto la coordenada como la clave enviada al móvil por SMS. Nosotros podemos pensar que se trata de comprobaciones de seguridad para verificar nuestra identidad, pero en realidad nos están robando.
Smishing: SMS fraudulentos
Su nombre viene de la unión de ‘SMS’ y ‘phishing’, y se realiza mediante SMS al móvil. En este caso se recibe un SMS en el móvil, como si lo hubiera enviado tu entidad bancaria, con un enlace a una página de banca electrónica falsa, indicando al cliente que debe ir allí para desbloquear su tarjeta, participar en un sorteo… O indicando que se ha realizado una operación de importancia, facilitando un número de teléfono falso con el que ponernos en contacto para aclarar la situación.
Este caso es muy similar al phishing, sólo cambia el formato del mensaje recibido. Al pinchar en el enlace enviado en el mensaje podemos acceder a una página web que suplante a nuestro banco, pero también podemos estar descargando malware en nuestro móvil que permita al ciberdelincuente obtener cualquier clave o acceso del que dispongamos.
Un tipo de malware muy utilizado es el que captura nuestros SMS, de manera que, una vez que el ciberdelincuente tiene nuestro usuario y nuestra clave, podrá realizar transferencias fraudulentas desde nuestra banca online, ya que también dispondrá de la clave de seguridad proporcionada mediante SMS.
¿Cómo protegerse de un ataque de ciberdelincuencia ?
- Desconfía de llamadas y mensajes no solicitados de números desconocidos, especialmente si solicitan datos confidenciales o transmiten cierta urgencia.
- En los casos de llamadas telefónicas, propón colgar y devolver tú la llamada. Podrás investigar la legitimidad del número de teléfono desde el que te están llamando, así como buscar el número de teléfono de la empresa desde la que, supuestamente, están contactando contigo y devolver la llamada a ese número.
- Nunca hay que revelar información confidencial como respuesta a un mensaje o una llamada. Tu banco nunca se pondrá en contacto contigo para solicitar claves ni contraseñas por ningún medio.
- No se debe publicar en redes sociales información que posteriormente pueda ser utilizada para realizar un fraude.
Como hemos podido ver, los ciberdelincuentes no utilizan sólo un método de engaño, sino que combinan varios de ellos, como el vishing o el smishing, por lo que tendremos que estar alerta ante correos, SMS o llamadas sospechosas.