El vishing es, como el phising y el smishing, una de las amenazas de seguridad de nuestras comunicaciones. Conviene tener claros los peligros para poder actuar con prudencia.
El vishing es un tipo de práctica fraudulenta que intenta recabar información sensible por vía telefónica. Suele consistir en una llamada de alguien que dice ponerse en contacto con nosotros de parte de una empresa, ONG o administración a la que, en realidad, está suplantando.
En general, los atacantes buscan alguna vulnerabilidad, como horarios en los que las prisas hacen bajar la guardia o perfiles de personas más confiadas. También diseñan historias para intentar resultar creíbles. En otros casos, dejan que su interlocutor dé explicaciones que les sirvan para sus propósitos maliciosos.
A veces, incluso en las excusas para no contestar la víctima acaba ofreciendo datos que, aunque a primera vista parezca que no tienen importancia, pueden ser la clave de un ataque. Por ejemplo, cuando la comunicación pretende preparar un robo, es frecuente que busquen saber si estamos en casa, quién nos acompaña y datos sobre hábitos de salida del hogar.
Con la llamada, los atacantes intentan obtener información que nos provoque daños de diversas clases para nosotros o las personas que nos rodean: un robo, una agresión, extorsiones, un secuestro… No obstante, el objetivo más habitual suelen ser las cuentas bancarias o la incitación a que hagamos pagos por bienes o servicios fraudulentos.
Lo primero que tenemos que tener claro es que no todas las llamadas maliciosas son identificables de una manera fácil. Por eso, debemos mantener la precaución ante cualquier petición de datos personales o que puedan servir para averiguar nuestras características, hábitos, ocupaciones…
En segundo lugar, conviene derivar la conversación hacia una petición de información que nuestro interlocutor debe conocer. Si, por ejemplo, dicen pertenecer a una compañía que nos presta servicios, lo normal es que conozcan los datos del contrato, como códigos que aparecen en las facturas, importes, DNI u otros.
La tecnología también es un aliado. Podemos emplear apps de rastreo de llamadas y emplear las funciones para llamadas verificadas. En el caso de los móviles con sistema operativo Android, esta última opción permite ver la identificación y motivo de llamadas entrantes de empresas.
Aunque ello no evite que podamos recibir la llamada, sí puede hacer que no la aceptemos si no viene acompañada de un motivo que nos convenza. No obstante, existe un inconveniente: la identificación no es obligatoria.
Por ese motivo, es importante estar muy pendientes cuando estamos esperando alguna llamada comercial o administrativa de nuestro interés. Puede que no venga identificada, por lo que no conviene rechazar por sistema todas las llamadas.
En estos casos, hay dos etapas. Podemos darnos cuenta de que hemos ofrecido información que se va a usar de forma maliciosa antes o después de que ejecuten el ataque. Por ejemplo, hemos explicado nuestros hábitos de entrada y salida del hogar, pero puede que todavía ello no se haya materializado en un robo.
En ese caso, lo primero es analizar dónde se encuentra la vulnerabilidad, cuál puede ser el objeto del ataque, en definitiva. En algunos casos, la víctima es una persona o grupo diferente de aquella que ofrece la información, como un familiar o un compañero de la vivienda o el trabajo. De ahí que la comunicación sea clave para tomar medidas adecuadas.
Una vez prevemos lo que buscan los atacantes, hay que tomar medidas para proteger el objetivo del ataque. Pueden afectar a las personas, a la vivienda, al negocio, a las cuentas bancarias u otros bienes y derechos de nuestra titularidad, nuestras cuentas digitales o, incluso, a la propia integridad física.
Por ello, debemos ponernos en contacto con la policía y con los servicios de seguridad o ciberseguridad privada, si los tenemos contratados. Ellos nos recomendarán las acciones más recomendables y vigilarán el caso. Por supuesto, también lo deberemos hacer si el daño se ha materializado.
Si crees que estás recibiendo un ataque de vishing de un usuario que se esté haciendo pasar por jazztel, puedes ponerte en contacto con la compañía en los canales habituales de contacto, y recuerda que cualquier cambio en las condiciones de tu contrato se te habrá notificado por estos canales oficiales.
Además, debemos realizar labores de prevención de daños futuros. Nos pondremos en contacto con las empresas, administraciones, personas o entidades suplantadas, para que puedan alertar a sus contactos. Tomaremos medidas de seguridad y cambio de hábitos y emprenderemos iniciativas para abordar los daños (reparaciones, gestiones con seguros, acciones jurídicas, etcétera) e intentar evitar que se hagan progresivamente mayores.
El vishing puede ser la puerta de entrada de todo tipo de delitos. Hay que ser cautelosos, por tanto, en nuestras comunicaciones telefónicas y, en especial, con personas desconocidas.
Por Gonzalo García Abad.
Imagen| Penghao Xiong en Unsplash