Hace unos meses hablamos por aquí del smishing, una técnica de fraude on-line que se sirve de mensajes sms para engañar al receptor y conseguir sus datos de acceso a algún servicio. Hoy hablaremos del vishing, que es una técnica similar.

El término vishing viene de fusionar los términos ingleses voice (voz) y phishing (como se denomina a los fraudes online que se realizan a través del engaño), esta técnica de fraude consiste en servirse de llamadas telefónicas o mensajes de voz para engañar a la víctima y conseguir acceso a su equipo o a sus cuentas. Normalmente el atacante se hará pasar por una empresa u organismo legítimo y presionará a la víctima, en estos esquemas de estafa suele meterse prisa al atacado diciéndole que tiene un tiempo limitado para responder intentando de esta forma bloquearle mentalmente, intentar que no tenga tiempo a pensar en qué está pasando.

Existen diversas variantes de este ataque, una de ellas esa la de hacerse pasar por un falso servicio técnico, a veces de Microsoft, de Apple, de Goole y otras veces de la compañía telefónica, apremiando a la víctima a instalar un software de escritorio remoto para que el atacante pueda conectarse con la excusa de ir a protegerle de un virus, realizarle un reembolso por un servicio o comprobar algún problema en la red. Una vez la víctima le haya dado acceso el atacante instalará en el equipo algún tipo de troyano que robará sus datos de acceso a distintos servicios, o puede que se sirva de un ransomware para secuestrar sus ficheros y cobrar una extorsión. Otra variante de esto es hacerse pasar por la policía diciendo que el ordenador se ha utilizado para un delito informático y solicitando acceso remoto al mismo para investigar, suena bastante surrealista pero he conocido un caso directamente de una persona que lo sufrió.

Otra variante de este fraude muy utilizada es cuando el atacante se hace pasar por un empleado de Hacienda o del banco y llama a la víctima para solicitar algún dato para confirmar alguna operación o pedirle acceso a sus credenciales, generalmente presionándola diciendo que tiene que realizarse la acción en pocos minutos. Después utilizarán esos datos para saquear las cuentas bancarias de la víctima. Esta estrategia suele usarse en ocasiones combinada con el smishing: se envía un sms para robar las credenciales de la víctima y luego se le llama haciéndose pasar por alguien del banco, para que revele el código que le habrán enviado como segundo factor de verificación de la operación.

¿Cómo nos protegemos?

Bueno, como ya hemos visto en algunos casos previos, poca defensa tecnológica hay ante estos ataques pues se trata de lo que llamamos «ingeniería social». No existe un software que nos proteja pues en este caso se trata de usar subterfugios para engañarnos y que demos nosotros acceso a los atacantes. La única defensa depende de que no demos los datos, por lo que es importante ser consciente de que estos ataques suceden habitualmente, debemos buscar formas de verificar con quien estamos hablando, es importante desconfiar si nos presionan para hacer algo demasiado rápido y sobre todo no dar datos bancarios por teléfono. Tampoco debemos permitir el acceso remoto a nuestro equipo a un servicio técnico si no lo hemos llamado nosotros, es improbable que una compañía nos llame para solucionar una avería si no se la hemos comunicado, como también es improbable que el banco nos llame para pedirnos un código que nos han mandado ellos mismos. Lo habitual es que tengamos que llamar nosotros y que no nos llamen ellos. Una cosa fundamental: los códigos de verificación que recibas por teléfono nunca se los des a nadie, ya que si te llaman para pedirte uno al momento de recibirlo probablemente es alguien que intenta saltarse una verificación de dos factores sobre alguna de tus cuentas (confirmar una operación del banco, acceder a tu cuenta de google o de whatsapp..).