El vishing es una estafa que se implementa con una llamada telefónica, en la que alguien se hace pasar por otra persona o por el representante de un banco u organismo público.
Por: Sandra Petrucci Lic. Sistemas / Locutora Integral
El objetivo del Vishing es simple: robar tu dinero, tu identidad o ambos a través de la mentira y la manipulación (ingeniería social).
¿Qué es Vishing?
La palabra ‘Vishing’ es una combinación de palabras en ingles “Voice” (voz) y phishing (pesca). Esta modalidad de estafa utiliza llamadas telefónicas para engañar a las víctimas y obtener información financiera.
En lugar de usar el correo electrónico o las páginas web fraudulentas (quienes utilizan la técnica de Phishing), los cibercriminales utilizan en este caso, un servicio de telefonía IP o a través del servicio de mensajería de WhatsApp.
Hacerse pasar por una persona, o una organización pública o privada, para estafar a las personas no es un fenómeno nuevo, el Vishing es simplemente un nuevo giro en una vieja rutina.
Los cibercriminales utilizan lo que se conoce como Ingeniería Social donde, a través de una combinación de tácticas de miedo, presión y manipulación emocional, intentar engañar a las personas y que, debido a ello, proporcionen su información.
Estos Vishers incluso crean perfiles falsos de identificación de llamadas (llamados ‘falsificación de identificación de llamadas’) que hacen que los números de teléfono parezcan legítimos.
Vishing potenciado con IA
Si bien la tecnología, llego para solucionarnos muchos aspectos de nuestras vidas, también trajo a colación, -por medio de la Inteligencia Artificial -, potenciar al vishing a través de la clonación de voces.
Hay herramientas que pueden clonar tu voz a partir de unas pocas frases, y tienen la ductibilidad de los chatbots modernos para generar un dialogo fluido, si la victima se escapa del guión.
Mas simple: ahora se puede programar un chatbot para que insista, realice bromas para relajar la charla, sume la referencia de algún dato relevante compartido si lo obtuvo de la victima, y de esta forma hacen que la estafa sea mas creíble, que la “persona falsa” del otro lado de la llamada se comporte como una persona real.
¿Es posible? Sin duda: la última versión de GPT -4o, tiene unos modelos de voces que parecen personas y una capacidad para conversar, entonando la voz que confundirían a cualquier persona.
Del otro lado, Google promete un asistente digital que monitorea una llamada de teléfono – pero no de WhatsApp, que está cifrada- y nos avisa si nos están pidiendo datos sospechosos.
Modus Operandi de Vishing
El cibercriminal obtiene la información confidencial mediante un correo electrónico o una web fraudulenta, lo que se denomina ataque phishing, pero necesita alguna información que le falta (normalmente un código de SMS) que se exige cuando se tiene activado el Doble Factor de Autenticación.
En este caso el cibercriminal necesita el código SMS o la clave del token digital para poder validar las operaciones, transferencias o compras online fraudulentas.
De manera que los cibercriminales llaman por teléfono al cliente identificándose como personal de alguna entidad bancaria, por ejemplo y tras “darle confianza” y alarmarle de algún modo, mediante argumentos de urgencia o de riesgo, le pedirán la clave que necesitan.
Para ello, los cibercriminales se encargan de recrear todo el escenario en relación con la llamada para engañar a las personas y conseguir su objetivo como, por ejemplo, replicar voces con IA, hasta simular el ambiente de un centro de llamadas, ponerte en espera con una música corporativa, etc.
Para conseguirlo, llevan a cabo una serie de acciones:
- Recopilan información del cliente como nombre completo o dirección (normalmente publicadas por el usuario o su entorno en Internet), números de cuentas o tarjetas bancarias (normalmente publicadas en la Deep Web o Dark Web).
- Instauran un sentido de urgencia, haciendo creer que el dinero o ciertos datos confidenciales están en peligro para que la víctima responda instantáneamente.
Ejemplos de Vishing
Una gran parte de las denuncias de fraude notificadas fueron víctimas mediante el modus operandi del contacto telefónico, utilizando diferentes escenarios, motivos o “discursos de ingeniería social”.
- Escenario 1: Cuenta Bancaria o Tarjetas de Crédito Comprometidas
Ya sea una persona o un mensaje pregrabado a modo de contestador, se informará a la víctima que hay un problema con su cuenta o un pago que realizó de un importe económico relevante.
Es posible que los cibercriminales soliciten las credenciales de inicio de sesión para solucionar el problema o que realice un nuevo pago para verificar su identidad.
En lugar de proporcionar la información que se nos solicita, es recomendable colgar y llamar al número público de nuestra entidad financiera para verificarlo.
- Escenario 2: Préstamo bancario no solicitado y robo de dinero
Utilizan el sitio Marketplace, que ya hemos recomendado no utilizarlo para realizar la venta de bienes múltiples veces, ya que es un medio muy propicio para estafas virtuales.
Publicas un producto a la venta, y puede que un cibercriminal quiera hacerte una oferta, donde la aceptas y el pago de esta por medio de una transferencia bancaria.
Ellos simulan por medio de un comprobante falso, haber realizado una transferencia por error, con el doble del monto pactado. Para resolverlo, necesitan que vos le transfieras lo más pronto posible, la diferencia.
Utilizando ingeniería social, a esta altura, ya están comunicados por medio de WhatsApp, y con una voz clonada, te piden de forma urgente que le transfieras la diferencia, a un determinado alias, o a un CBU.
Luego de ello, no solo le transferiste dinero de una transferencia falsa de ellos, sino que con la información que le brinda tu banco de tu cuenta, ellos pueden solicitar préstamos personales, en entidades poco confiables, donde con un simple llamado y un par de datos tuyos, lo generan.
Conclusión: tenes que hacerte cargo de un crédito que vos, no solicitaste, además de haber perdido dinero que no correspondía al transferirle al cibercriminal.
Consejos para evitar ser víctima de Vishing
Cualquier persona puede ser una víctima de Vishing o de otro tipo de delito informático. Para evitarlo, a continuación, te proporcionamos varios consejos de utilidad.
- Utiliza una aplicación de identificación de llamada: las innumerables alternativas de voz sobre IP posibilitan la creación de números falsos de forma muy sencilla. Por ello, una buena opción para evitar llamadas fraudulentas sería descargar una aplicación específica como, por ejemplo, Truecaller.
- No hagas clic en los enlaces ni respondas a las indicaciones. Si recibes un mensaje automatizado o un correo electrónico en el que se te pide hacer clic en enlaces o responder preguntas, no lo hagas.
- Verifica la identidad de la persona que se ha puesto en contacto contigo. Si el remitente proporciona un número de devolución de llamada, puede ser parte de la estafa, así que no lo uses. En su lugar, busca el número de teléfono público oficial de la empresa o institución que se supone que te está contactando y llámales por tu cuenta o acude físicamente a su sede física
- Nunca facilites información personal o confidencial: ni tampoco respondas a requerimientos sobre tu tarjeta de débito o crédito, documento de identidad, dirección, fecha de nacimiento, etc. Ante cualquier duda, debes llamar al banco y notificar que te han solicitado información financiera en nombre de su entidad, ellos suelen estar informados de los modus operandi de Vishing, Phishing, etc.
- Cuelga si sospechas: En el momento en que sospeches que se trata de una llamada telefónica fraudulenta, no sientas la obligación de tener que mantener una conversación cortés. Los cibercriminales suelen ser muy persuasivos mediante técnicas de manipulación e ingeniería social. Simplemente cuelga y bloquea el número
- Actualiza constantemente tu sistema de antivirus y las herramientas antispyware. Los cibercriminales, por lo general, aprovechan las brechas de seguridad que tienen las versiones mas antiguas para atacar a los usuarios.
Donde reportar en caso de ser víctima de Vishing u otro delito virtual
Lo primero que debes hacer, la denuncia en la comisaria o fiscalía mas cercana a tu domicilio.
Es importante lleves toda la documentación relacionada a ello (números telefónicos, capturas de pantalla, alias de alguna cuenta bancaria que te hayan proporcionado, etc.). Además, es conveniente que lo reportes a los siguientes organismos:
Ministerio Publico Fiscal, Unidad Fiscal Especializada en Ciberdelincuencia, personalmente a Sarmiento 663, Piso 6, CABA. Podes llamar a (54-11) 5071-0044 o escribir y adjuntar la información por email a [email protected]
Ministerio Público Fiscal de CABA, Unidad Fiscal Especializada en Delitos y Contravenciones Informáticas, Tel.: 0800-33- FISCAL (347225) o escribir y adjuntar la información o por mail a [email protected]
División Delitos Tecnológicos de la Policía Federal Argentina. Podes ir a Cavia 3350 1°, CABA, o podés comunicarte al 4800 -1120/4370 – 5899, ó escribir y adjuntar la información por email a [email protected]
Si tus datos personales fueron expuestos, podes comunicarte con la Dirección Nacional de Protección de Datos Personales por medio de email a [email protected]