Raúl Vélez actualmente es Director of Engineering and Professional Services en Onistec.
A medida que avanza la tecnología para hacer más fácil las labores de nuestra vida cotidiana, los cibercriminales van un paso adelante en aprovechar estas comodidades para cometer sus actos criminales y que estos queden impunes y las victimas vulnerables a sus ataques. Tal es el caso del Vishing que es la combinación de dos palabras en inglés, Voice y Phishing, que traducido al español es la suplantación de identidad por medio del teléfono.
Es este tipo de ataques, los criminales usan la ingeniería social para detectar posibles víctimas y manipular las emociones humanas tales como el miedo, la compasión o la codicia para lograr sus objetivos. Particularmente con el Vishing, buscan engañar a las víctimas a que proporcionen sus datos personales sensibles vía telefónica. Por lo general se reconoce que este tipo de ataques tiene un mayor grado de efectividad en comparación al Phishing tradicional (mensajes de correo electrónico) ya que mediante la llamada, se logra una comunicación más directa y personal con la víctima y las personas son más propensas a responder de forma abierta y sincera durante una conversación y mas si el criminal logra crear cierto vínculo emocional tal como que es un familiar, nos va a ayudar a resolver un problema o que tiene para nosotros un beneficio económico o en especie.
El engaño por Phishing generalmente es muy elaborado ya que pueden usar VoIP que es Voz sobre protocolo de Internet. Esta tecnología les permite transmitir las llamadas de voz como paquetes de datos digitales mediante redes IP en lugar de emplear el método tradicional que envía las señales analógicas por la Red telefónica pública conmutada. Y esta tecnología permite crear números que suplantan la identidad de alguna institución principalmente financiera, haciendo creer a la víctima que la llamada es real. De esta forma es fácil para los estafadores falsificar el identificador de llamada para parecer que están llamado de un numero local o aun de una empresa con la que se tiene contacto. Estos grupos delictivos pueden llegar a tener incluso Call Centers con personal que reclutan con experiencia de haber laborado en este tipo de centros de tal forma que conocen los procedimientos y como compenetrarse con las personas.
Muchas veces en caso de no atender a la llamada, dejan un mensaje de voz solicitando que se regrese la llamada y esta al ver que viene de un número de una instrucción con la que se tiene relación se responde a esta ya sea por curiosidad o por saber la razón por la que nos están buscando. Estas llamadas se responden por sistemas de voz automatizados que van a solicitar información y datos personales, y muchas personas no dudan en proporcionar ya que estos sistemas son parte de nuestra la vida diaria.
Generalmente el propósito de estas llamadas de Vishing es obtener datos personales tales como los detalles de las tarjetas de crédito, fechas de nacimiento, credenciales de acceso a las cuentas o banca electrónica o simplemente recolectar números telefónicos de nuestros contactos para que ya con el antecedente, puedan contactarlos usando la información extraída en la llamada para parecer más legítimos.
Estas llamadas guardan un patrón y generalmente ocurren en momentos del día en que podemos estar ocupados por lo que estamos menos alertas a las posibles señales que nos dicen que se trata de una estafa.
Algunos ejemplos de llamadas de Vishing que explotan alguna de las emociones son:
Codicia - Mediante la suplantación de identidad del pariente lejano que nos llama para decirnos que acaba de llegar del extranjero con regalos para la familia pero que lo detuvieron las autoridades en el aeropuerto por el alto valor de los artículos que trae y que necesita que le enviemos dinero para que lo dejen pasar. Incluso nos llegan a poner en contacto con la “autoridad” para que nos explique la situación. Cuando inicia la llamada, en este tipo de contacto, se aprovechan de la condición de algunas personas que por vergüenza no aceptan que desconocen quién está llamando y muchas veces a las preguntas del estafador le dan información que usan en la conversación para apoyar la presunción de su identidad y el parentesco con la víctima.
Compasión - Tal como en el caso anterior, tenemos al pariente lejano que está en problemas y que necesita que le depositemos cierta cantidad para salir del apuro. Y con la intención de apoyarlo, se cumple con la solicitud para que pueda responder a su necesidad.
Miedo - La llamada del área de fraudes de nuestro banco, donde el identificador de llamadas del teléfono "confirma" que esta se origina en la institución. En esta nos informan que en algún lugar remoto se está haciendo una compra con nuestra tarjeta de crédito de un artículo de lujo con un alto valor y que necesitan validar con nosotros si la compra es legítima y si no (lo cual es el caso) necesitan algunos datos para poder bloquear esta.
Para hacernos confiar, además de dar nuestro nombre completo y algunos datos que ya pudieran tener de alguna base de datos robada como la fecha de nacimiento, nos dan los 4 primeros dígitos de nuestra tarjeta, aprovechando que hay usuarios que desconocen que estos identifican a la institución que expide la tarjeta y que son los mismos para miles de usuarios. Ya establecido el vínculo, como parte del proceso (y crear más confianza) nos pasan al "área especializada" y durante la llamada nos ponen los mensajes de fondo o música usada en llamadas reales de la institución. Así que por el miedo a tener que pagar por esta compra y con la confianza de que nos van a ayudar a cancelar esta "compra", se acaban dando datos personales que llegan a incluir los códigos de validación de mensajes SMS reales de la institución financiera que llegan a nuestro teléfono y que les permiten acceder de forma directa a nuestra la banca electrónica y con esto puedan vaciar las cuentas.
En el último caso, el banco no asume ninguna responsabilidad si nosotros, aunque sea de forma ilegítima, dimos acceso a nuestra cuenta a un tercero y que este haya extraído los recursos de la cuenta o adquiridos artículos con nuestra línea de crédito con nuestras claves y accesos válidos. Esto nos hace en automático responsables de las compras y tenemos que pagarlo, aunque no lo hiciéramos personalmente y para nuestro beneficio.
Si bien podemos reconocer que el objetivo más claro e inmediato del Vishing es lograr el acceso a nuestros recursos económicos para un beneficio directo, hay algunos otros beneficios para los criminales como pueden ser usar los datos personales para posteriormente solicitar a nuestro nombre algún crédito o bien usarlos para intentar engañar a nuestros familiares o contactos aprovechando la información personal que se compartió durante la llamada.
Si bien la ingeniería social apoyada por el Vishing busca explotar nuestra naturaleza humana para caer en las tramas de los estafadores, hay ciertas acciones que podemos tomar para evitar que nosotros o nuestros familiares que, al no tener un buen conocimiento de la tecnología, seamos víctimas de este tipo de crimen.
La primera y más importante recomendación es que al recibir una llamada, validemos que se trata de una llamada real, esto puede ser contactando directamente al banco mediante los canales institucionales (y no con algún número que nos pueda haber dado el estafador). Siempre debemos desconfiar de quien hace la llamada y validar que se trata de quien dice ser y no por la pena, caer en su juego de adivinanzas y que nosotros acabemos dando la información con nombre y apellido y les digamos de quien se trata.
Hay que estar conscientes de que, si bien es difícil ganar en un sorteo público o algún premio de valor significativo como un auto o una propiedad, en caso de no haber adquirido un boleto, esto se vuelve imposible y que, en caso de ser cierto, no van a hacer una llamada telefónica para avisarnos del premio pero que primero tenemos que pagar para que nos lo puedan asignar. Hay que recordar: si es demasiado bueno para ser real, lo mas seguro es que no lo sea.
Comments