Ataques informáticos: ¿Qué es el vishing y cómo protegernos?

Hace unas semanas explicamos que era el phising y cómo protegernos de ello y aprovechando de la alerta que ha hecho el FBI sobre el aumento de este tipo de ataques en el mundo durante 2020. Hoy hablaremos de una modalidad que si bien en principio no es un ataque informático, como veremos más adelante, ha acabado siendolo.

El vishing es una estafa en la que se suplanta la identidad de una entidad, o de una persona con el fin que la víctima proporcione al estafador una serie de información que le permita acceder a nuestras cuentas bancarias, tarjetas de crédito, etc… Para ello echará mano de voces automatizadas que simulen las centralitas de los servicios a los que suplantan.

Si esto acabara aquí, lo único que relacionaría esta estafa con la informática sería el sintetizador de voz por ordenador que está utilizando el estafador. Pero y si el estafador es capaz de suplantar la centralita del servicio que esta suplantando y si el estafador es capaz de simular la voz de la persona que nos atiende en nuestra oficina bancaria y si el estafador recrea por completo el menu telefónico del servicio suplantado…

¿Como comienza el ataque de Vishing?

La estafa suele comenzar con un SMS a nuestro teléfono indicandonos la realización de un pago por una compra que, evidentemente, no hemos hecho (también puede ser la activación no solicitada de un servicio de una empresa con la que solamos trabajar). A los pocos segundos recibiremos una llamada haciendose pasar por el banco o la empresa que supuestamente nos ha escrito el SMS(o nos incitará desde el mensaje a llamar a un teléfono). Si el estafador tiene medios suficientes, nos llamará desde el teléfono del banco o de la empresa suplantada. Y si el ataque es más dirigido, incluso oiremos la voz de quien nos atiende en la oficina del banco o de la empresa mediante software deep voice (un software que permite sintetizar artificialmente la voz de una persona a partir de muestras tomadas previamente).

¿Que nos va a pedir?

Principalmente datos de acceso, datos bancarios, datos personales… sobretodo bancarios.

¿Siempre van a simular ser un banco?

No siempre, hace unos meses, durante la cuarentena mucha gente recibió una llamada de alguien haciendose pasar por un empleado de microsoft que decía con un español con acento ingles (forzado) que había un problema con nuestra licencia de Windows 10.

¿Cuales son las victimas potenciales?

Sobretodo personas que no tengan mucho conocimiento tecnológico y que pueda confiarse y bajar la guardia.

¿Pero si son capaces de simular todo eso, como me protejo?

Lo primero es haciendo incampie en uno de los consejos que se daban con el Phising:

• Recordar que ninguna entidad bancaria o empresa seria te solicitará tu información bancaria por SMS.

Pero también no esta demás:

• No llamar al teléfono que recibamos de un SMS, llamar a nuestra oficina marcando el teléfono (o usando nuestra agenda).
• Si recibimos una llamada de este estilo, colgar y llamar a la empresa directamente, para que nos confirmen lo que nos contaba la llamada (normalmente nos confirmarán que no nos han llamado)
• Nunca dar datos bancarios o personales a un desconocido que nos haya llamado por teléfono.
• Y sobretodo el sentido común es nuestra mejor arma.

¿Que hago si he sido víctima de vishing?

Si el ciberdelincuente ha conseguido tus datos y ya ha realizado una operación que te perjudique de alguna manera, te recomendamos realizar las siguientes medidas:

• Denunciar el hecho ante la policía. Si el ataque ha resultado en un perjuicio económico o moral, lo más recomendable es denunciar el hecho para que se realice una investigación de la policía que permita encontrar al ciberdelicuente.
• Alertar a los servicios afectados del hecho. Tanto si el servicio es un servicio de banca online como si otra clase de servicio, le recomendamos que ponga en aviso a la empresa propietaria del servicio porque este tipo de ataques suelen ser masivos y puede haber más víctimas.
• Si va a tomar medidas legales, Contratar a un forense informático colegiado (Ingeniero Técnico Informático o Graduado en Ingeniería Informática) para la obtención de pruebas. Un forense informático obtendrá toda prueba que pueda serle útil a la hora de interponer acciones legales contra el ciberdelincuente o para anular las acciones que se hayan realizado.