Vishing: estafas cibernéticas abandonan SMS y WhatsApp por llamadas con bots para robar claves

Los fraudes con mensajes de texto que simulaban ser de algún banco o casa comercial, ya son cosa del pasado. Ahora los ciberdelincuentes usan otra táctica para engañar a sus víctimas: realizan llamadas telefónicas que con la ayuda de bots (software interactivo que realiza automatizadas) roban el acceso a todo tipo de cuentas.

Es un tipo de estafa en la que engañan a los destinatarios para que revelen información personal. Un ciberdelito en el cual cuando se responde una llamada nunca sabe con certeza con quién está hablando o si está siendo atacado mediante “vishing”, palabra que proviene de una combinación de “phishing de voz”, es decir, un ataque de phishing que utiliza la voz.

Matilde Rivas, Ingeniera de Investigación y Transferencia Tecnológica del Instituto Milenio Fundamentos de los Datos, explica que el vishing es la nueva moda en las estafas telefónicas, “en la cual el estafador se hace pasar por alguien confiable para conseguir información personal o financiera de quien contesta”.

Es similar a lo que era el fishing de correo, dónde se enviaban correos fraudulentos, para engañar con enlaces para que el usuario pinchara sobre y lo redirigiera a ciertas páginas, indica José Canuman académico de la Universidad de Magallanes e instructor certificado en ciberseguridad, “aquí es lo mismo, pero por voz”. No es una técnica nueva. Es bastante antigua, “pero el concepto ahora es que, como se ha extendido tanto el valor más digital de las cosas, ha resurgido esta técnica”.

El término phishing se utilizó por primera vez alrededor de 1990. Describía los delitos que utilizaban como “cebo” Internet para atrapar a sus víctimas. Hoy se asocia a estafas basadas en ingeniería social, es decir, estafas que intentan manipular a las personas para que caigan en una trampa.

Con la evolución del ciberdelito, han surgido los términos “smishing” y “vishing”. Ambos se clasifican como tipos de phishing. En el caso de smishing, los delincuentes envían mensajes de texto (SMS) para intentar convencer a la víctima de que haga clic en un enlace malicioso o responda al mensaje proporcionando sus datos. Todo el proceso se limita a intercambiar texto.

En cambio, en los ataques vishing, hay un contacto de voz en algún momento durante el intento de fraude. El envío inicial de un SMS solo sirve como una primera trampa para confirmar que el número realmente pertenece a alguien o simplemente para inducir a una víctima potencial a llamar a un número para que los delincuentes puedan seguir con el ataque.

En el vishing, a través de bots buscan convencer a usuarios desprevenidos de que se trata de una llamada legítima y son utilizados para obtener las contraseñas de único uso (OTP, por sus siglas en inglés) o el código de verificación, también conocido como doble factor de autenticación (2FA) o verificación en dos pasos. “De esta manera, logran acceder a cuentas de usuarios en servicios como PayPal, Amazon, Coinbase o entidades bancarias, entre otros servicios”, señala Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, empresa de detección proactiva de amenazas en la web.

Se trata de un tipo de estafa que mezcla una llamada telefónica tradicional con la ingeniería social, explica Fabián Rodríguez, CEO de Camel Secure. “En general es bastante focalizada ya que el ciber delincuente sabe cosas de ti, como por ejemplo en que banco estás u otros temas relevantes. Es bastante frecuente que luego de que hablen contigo, te convenzan a realizar una acción, por ejemplo, que deposites en una cuenta de banco o les des tu código de acceso para ellos realizar algún tipo de transacción”.

Pueden fingir ser un ejecutivo de un banco y decir que la cuenta ha sido comprometida y que necesitan algunos datos para solucionar el problema, indica Rivas: “Algunos estafadores han llegado a usar grabaciones editadas de personas famosas para generar credibilidad, por lo que tenemos que ser cautos y siempre confirmar la identidad de quien nos habla”.

En las estafas telefónicas tradicionales es el propio delincuente el que busca convencer a la víctima del otro lado del teléfono. “En estos casos, el riesgo de que la víctima se dé cuenta de que se trata de un fraude depende en gran medida de las habilidades del criminal al teléfono”, dice Gutiérrez. Sin embargo, muchas compañías en la actualidad utilizan bots para prestar servicio de atención al cliente, y el sonido familiar debido a la falta de personalización contribuye a que la víctima no sospeche que algo está ocurriendo.

Estafas que en tiempos de pandemia han aumentado. Según el reporte estadístico de Brigada Investigadora del Cibercrimen la cantidad de denuncias recibidas en la PDI por estafas y otras defraudaciones, a través de Internet, aumentaron significativamente durante la pandemia: un 29% al comparar el 2019 con el 2020, y un 89% si se consideran los cinco primeros meses de 2021 con igual período del año anterior.

En esa llamada telefónica, añade Rodríguez dan algunos datos que solo la persona podría saber “o por lo menos eso te hacen creer, para que luego que realice alguna acción, puede ser el típico depósito, código de WhatsApp u otro, la idea es recibir algún dato de la persona con lo que puedan hacer fraude”.

Muchas llamadas vishing comienzan cuando el estafador se hace pasar por un empleado del banco y le dice a la víctima que ha habido una actividad sospechosa u otro problema con su cuenta bancaria. Para resolver este problema, deberán llamar a un número gratuito y hablar con un representante. Esta llamada se dirigirá al estafador, quien anotará la información de la cuenta de la víctima y luego la usará para transferir dinero fuera de la cuenta.

Otra táctica utilizada en las estafas de vishing son los enlaces que ofrecen la oportunidad de pagar deudas por un valor inferior al monto original o de realizar inversiones con promesas de alto rendimiento. Estas “ofertas” suelen ser por tiempo limitado, por lo que la persona debe actuar de inmediato y llamar al número que se le indica.

Actualmente es una de las ciber estafas más frecuentes del mundo. Rodríguez explica que al ser telefónica el público objetivo “no necesariamente está educado tecnológicamente con estas estafas”.

Además, hoy gran parte de la información que puede ser usada en estos delitos está en la web. A través de redes sociales y sitios de trabajo, se pueden obtener datos como el nombre, el cargo y la empresa de la víctima.

Esta es una técnica de ingeniería social, dice Canuman. “Desgraciadamente hay algunos casos en los cuales no tiene solución inmediata a través de un sistema automático. Generalmente ataca a las personas según el conocimiento que tenga sobre el sistema. Es por eso que muchos bancos, por ejemplo, lo que hacen, es ofrecer en sus plataformas anuncios indicando que no se entreguen datos referenciales de sus cuentas, y lo mismo en redes sociales también, el énfasis es la prevención hacia el cliente, pero automáticamente no existe algo que indique que uno pudiera atajar el fraude”.

Muchas veces son personas mayores las que resultan víctimas. Por eso los especialistas coinciden que el consejo más simple para mantenerse seguro en el teléfono es, en caso de duda, cuelgue. “Si alguien nos llama diciendo que hay un problema con nuestra cuenta bancaria, no debemos dar ninguna información, colgar, y llamar a nuestro banco usando el número oficial para preguntar al respecto”, advierte Rivas.

El primer paso para protegerse contra los ataques de vishing es estar consciente de cómo ocurren. Por lo tanto, indican, cualquier contacto no solicitado debe considerarse con escepticismo. Llaman a tener especial cuidado con las llamadas con ofertas especiales y especialmente con la solicitud de información personal. “Lo primero es desconfiar de cualquier llamada desconocida que te pida información, lo segundo es que, si algo es muy bueno, seguramente es mentira y finalmente cuando el producto o el servicio es gratis, seguramente el servicio o el producto eres tú”, dice Rodríguez.

Al recibir cualquier tipo de mensaje que indique que se debe contactar a un número de teléfono, lo mejor es investigar primero si el teléfono realmente corresponde a una empresa o institución legítima, indica Gutiérrez: “Las principales recomendaciones para evitar ser víctima de este tipo de fraude son: ante la recepción de algún llamado sospechoso verificar la fuente de este. Es importante también desconfiar de la procedencia y en caso de ser algo dudoso terminar la comunicación lo antes posible. Si quien nos contactó alegó ser de alguna compañía con la cual estamos asociados, es aconsejable comunicarse con la empresa a través de los canales de comunicación oficiales”.

Al identificar que se trata de una estafa, las primeras acciones que se deben tomar son reportar y bloquear el número. Si la víctima ya ha facilitado su información financiera, ponerse en contacto con el banco y otras instituciones lo antes posible para informarles de lo ocurrido y solicitar el bloqueo de la tarjeta y cambio de claves.