Vishing

Probablemente conozca bien la existencia del ciberdelito. No es ninguna novedad que los estafadores hayan trasladado sus actividades a Internet o que siempre estén en busca de nuevas formas de cometer delitos utilizando la tecnología y la digitalización. La pandemia de Covid-19 llevó a muchas empresas a transferir sus operaciones en línea, lo que generó muchas nuevas “oportunidades” para los ciberdelincuentes.

Hoy queremos analizar un tipo particular de ciberdelito que ha estado surgiendo últimamente. ¿Has oído hablar del vishing? ¿Sabes qué es, qué riesgos implica y cómo puede evitarlo? Para ello, Phonexia nos trae las claves para evitarlo.

¿Qué es el Vishing?

El vishing es un tipo de estafa en la que un ciberdelincuente, mediante una llamada telefónica, pretende ser un representante de una organización o institución fiable, o intenta hacerse pasar por uno de sus clientes. Para tener éxito, un ciberdelincuente aspira a engañar al objetivo para obtener sus datos personales citando razones de seguridad. También pueden intentar convencer a una organización de que son la persona que fingen ser. El objetivo final del vishing es robar la identidad de una persona, normalmente para que el impostor pueda obtener acceso a la cuenta bancaria de esa persona y robar dinero.

La palabra “vishing” es una combinación de “voice” y “phishing”. El phishing es la práctica que tiene como finalidad engañar a las personas para que revelen información personal o confidencial sobre sí mismas, o para engañar a un sistema en línea y obtener acceso a los datos o la cuenta de otra persona.

Sin embargo, en lugar de usar correos electrónicos o sitios web fraudulentos como hacen los “phishers” (aquellos que usan métodos de phishing para estafar a las personas), los vishers usan un teléfono o un servicio telefónico de Internet conocido como VoIP (Voice over Internet Protocol).

Hacerse pasar por una persona, una empresa legítima, o una administración púbica con el objetivo de defraudar a las personas no es un fenómeno nuevo. El vishing es simplemente un nuevo giro en un tema antiguo. De hecho, el vishing ha existido durante casi tanto tiempo como los servicios de telefonía por Internet. Es un canal mucho más “anonimizado” y, por lo tanto, permite potencialmente cometer un delito con impunidad.

Los ciberdelincuentes utilizan lo que se conoce como ingeniería social, una combinación de tácticas de miedo, presión y manipulación emocional para intentar engañar a las personas para que proporcionen su información. Contactan a los objetivos y les informan de que deben actuar rápidamente si quieren evitar un problema (por ejemplo, una violación de datos), luego les indican qué hacer. Pero en lugar de ayudar a su objetivo, obtienen datos personales que pueden utilizarse para cometer delitos.

Para consolidar su credibilidad, los vishers incluso crean perfiles de identificación de llamadas falsos (conocidos como “falsificación de identificación de llamadas”) que hacen que los números de teléfono que usan parezcan legítimos.

Aunque el público se está volviendo cada vez más consciente de los peligros de proporcionar información confidencial por teléfono o por Internet, el vishing es un delito que sigue afectando a miles de personas en todo el mundo todos los días.

Ejemplos de Vishing

Muchas de las denuncias de fraude reportadas presentan un modus operandi similar en cuanto al uso de algunos escenarios, motivos o trucos de ingeniería social parecidos para cometer delitos. Estos son algunos de los ejemplos más comunes de vishing:

Cuenta bancaria o de tarjeta de crédito «comprometida»

Ya sea una persona o un mensaje pregrabado como contestador automático, se informará a la víctima de que hay un problema con su cuenta o un pago que realizó. El supuesto problema generalmente se refiere a una cantidad de dinero significativa.

Los ciberdelincuentes pueden solicitar credenciales de inicio de sesión para poder solucionar el problema o provocar al objetivo para que realice un nuevo pago para verificar su identidad. En lugar de proporcionar la información solicitada, es recomendable colgar y llamar directamente a la institución financiera para verificar la demanda.

Ofertas de préstamos o inversiones no solicitadas

Los ciberdelincuentes llamarán a un objetivo con ofertas que son demasiado buenas para ser verdad. Por ejemplo, la posibilidad de ganar una gran suma con una inversión pequeña, pagar todas las deudas con una solución rápida o anular todos los préstamos a la vez.

Por lo general, los ciberdelincuentes piden que las personas actúen con rapidez y urgencia, y la víctima debe pagar una tarifa relativamente pequeña. Es importante saber que los prestamistas e inversionistas legítimos no ofrecen tales acuerdos ni inician contactos de la nada, y ciertamente no por teléfono.

Como regla general, los consumidores deben evitar proporcionar detalles de cuentas bancarias por teléfono. Estos pueden ser interceptados por un ciberdelincuente o alguien que esté escuchando la llamada, ya sea a través de Internet o simplemente en proximidad física.

Estafas de Seguridad Social

Las llamadas telefónicas son el método más común utilizado por los ciberdelincuentes para llegar a las personas mayores. Se hacen pasar por representantes de la seguridad social e intentan obtener información financiera de la víctima, como su número de seguridad social o los datos de su cuenta bancaria, con el objetivo de utilizar estos datos posteriormente para acceder a sus cuentas o robar dinero.

Estafas de impuestos

Hay muchas variaciones de este tipo de estafa, pero en general, la víctima recibirá un mensaje pregrabado informándole de que algo anda mal con su declaración de impuestos, y si no devuelve la llamada se emitirá una orden de arresto y sus datos se agregarán a una lista pública de morosos o se bloquearán todas sus cuentas.

Los ciberdelincuentes a menudo combinan esta acción con un identificador de llamadas falsificado para que parezca que la llamada proviene del IRS.

¿Cómo pueden las empresas prevenir el vishing con la biometría de voz?

Los consumidores educados y los usuarios conscientes son un elemento importante de toda estrategia de seguridad de datos. Sin embargo, son las instituciones las que deben estar más atentas y proporcionar constantemente soluciones técnicas que puedan prevenir el vishing y cualquier otro tipo de phishing.

Cuando una víctima es atacada por un criminal, a menudo este intentará cometer un robo de identidad llamando al banco de la víctima y haciéndose pasar por ella. Es por eso que la implementación de biometría de voz puede ser la última barrera entre la cuenta de un cliente y los delincuentes. La implementación de la biometría de voz pasiva, en particular, puede ayudar de manera masiva a prevenir el vishing.

Los métodos de biometría de voz pasiva no dependen de lo que se dice o del idioma en el que se habla y, por lo tanto, pueden ejecutarse de forma automática y continua en el fondo de la llamada para verificar la voz de la persona que llama, independientemente de lo que esté diciendo. Esa es la razón por la que introducir la autenticación biométrica de voz pasiva es una de las formas de contrarrestar el ciberdelito y proteger los datos de los clientes.

La autenticación de voz casi en tiempo real puede detectar ataques fraudulentos en segundos al comparar la huella de voz almacenada de un cliente (una representación matemática de la voz de alguien) con una voz que está hablando en una llamada telefónica. Esto es posible, ya que la biometría de voz compara cientos de rasgos de voz únicos, que las personas ni siquiera conocen, para identificar la identidad de una persona.

La biometría de voz pasiva es efectiva aquí porque habilita una capa pasiva de seguridad al usar las características únicas de un individuo para identificarlo.

La prevención del vishing es prácticamente esencial, puesto que ser víctima de un fraude en Internet no solo puede significar una violación de datos, sino que un ciberataque puede tener muchas consecuencias negativas para una organización: daña su reputación, reduce la confianza en ellos, y puede generar pérdidas financieras, multas reglamentarias o pérdida de propiedad intelectual.

Consejos sobre Cómo los Consumidores Pueden Evitar Convertirse en Víctimas del Vishing

Aunque las empresas hagan todo lo posible para evitar ataques fraudulentos en forma de phishing o vishing dirigidos a obtener acceso a la cuenta bancaria de un cliente, no pueden evitar que los vishers los llamen para intentar ataques vishing. Por lo tanto, los clientes deben estar atentos cuando ocurra cualquiera de los escenarios descritos anteriormente.

Para ayudar a reducir su vulnerabilidad a este tipo de estafas, aquí se presentan cinco consejos sobre cómo evitar el vishing:

Utilice una aplicación de identificación de llamadas

Hay innumerables soluciones VoIP disponibles que permiten crear números falsos fácilmente. Por tanto, una buena forma de evitar las llamadas fraudulentas sería descargar una aplicación que identifique números y detecte aquellos que no estén conectados a un teléfono móvil estándar.

No haga clic en los enlaces ni responda a las solicitudes

Si recibe un mensaje automático o de texto que le pide que haga clic en enlaces o que responda preguntas, simplemente no debe hacerlo. Varios ejemplos de dichos mensajes pueden incluir mensajes de voz o de texto como: “Pulse el botón 2 y proporcione su ID de usuario para eliminarse de nuestra lista”, “Pulse en este enlace para recibir un descuento del 50% en nuestra última colección de ropa”, o “Diga ‘si’ para hablar con un operador”, seguido de una solicitud de información personal que podría utilizarse para cometer un delito cibernético.

Verifique la identidad de la persona que llama

Si una persona que llama proporciona un número de devolución de llamada, puede que sea parte de la estafa, por lo que no es recomendable usarlo. En cambio, debe encontrar el número de teléfono oficial de la empresa o institución que supuestamente se puso en contacto con usted y llamarlos o ir físicamente a una ubicación física para confirmar la identidad de la persona que llama.

Nunca revele información personal o confidencial

Una institución bancaria nunca solicita detalles de tarjetas de débito o crédito, datos en una tarjeta de identificación o una dirección exacta, etc. En caso de duda, es mejor llamar a la organización en cuestión y notificarles que alguien que afirma representar su entidad está pidiéndole cierta información confidencial

Cuelgue si sospecha de un delito

El momento en que sospecha que un ciberdelincuente está llamando es el momento de colgar. Los ciberdelincuentes suelen ser muy persuasivos a través de técnicas de manipulación e ingeniería social, por lo que la mejor manera de lidiar con ellos es simplemente colgar inmediatamente y bloquear el número.

Como ya se mencionó anteriormente, los bancos o centros de llamadas deben educar a sus clientes sobre cómo evitar estafas. Sin embargo, estas instituciones también son el objetivo de los ciberdelincuentes, por lo que deben utilizar soluciones efectivas para reducir el impacto del vishing como la biometría de voz pasiva.

En muchos casos, la autenticación biométrica de voz se convierte en la última barrera entre un intento de vishing exitoso y la violación de la cuenta de un cliente. Eso es lo que hace que los métodos de autenticación biométrica de voz pasiva sean soluciones particularmente efectivas al problema.