Cuidado con las nuevas estafas de Vishing  

El ingenio de los ciberdelincuentes se agudiza. Nuestros hábitos de tecnología y las nuevas técnicas de los ciberdelincuentes hacen que estas estafas sean cada vez más sofisticadas. A los ya conocidos casos de smishing (SMS) o phishing (EMAIL) se suma una nueva técnica en la ingeniería social denominada vishing.

La inteligencia artificial ha agravado estas estafas vishing, ya que los hackers utilizan la IA para hacer que estos ataques sean mucho más creíbles. 

Un ataque de vishing es un tipo de fraude telefónico basado en la ingeniería social y la suplantación de identidad. Donde los atacantes llaman por teléfono a la víctima, haciéndose pasar por empleados de entidades bancarias, empresas de mensajería u otros servicios reconocidos, normalmente de alguna empresa conocida.  

Suelen hacer usos de datos reales, que obtienen de internet o de bases de datos robadas para hacer la situación más verídica. Presentan excusas relacionadas con algún supuesto incidente o problema que debe resolverse con rapidez. 

Durante las llamadas, presentan excusas urgentes para obtener información confidencial, como datos bancarios o códigos de verificación recibidos por SMS. Los ciberestafadores buscan información básica en internet y redes sociales para que la llamada parezca legítima y así ganarse la confianza de la víctima.  

Para ayudarte a identificar un ataque de vishing, te presentamos un ejemplo: 

La Dirección General de Tráfico (DGT) sufrió un ciberataque en mayo de 2024, comprometiendo datos de millones de conductores: matrícula, marca y modelo del vehículo, nombre, domicilio y datos del seguro vigente. Imagínate que recibes un correo electrónico, una llamada o un SMS solicitando el pago de multas o la renovación de tu seguro de vehículos en nombre de la DGT. Pero… podrían ser los “malos” y estos mensajes serían fraudulentos.

Estos datos podrían estar a la venta en la Dark Web, y si los cruzan con otras bases de datos de ciberataques recientes (véase Orange, FIATC Seguros, Banco Santander, Telefónica, Iberdrola y TotalEnergies), pueden obtener un perfil milimétrico de sus posibles víctimas. 

• Engaño por premios/sorteos: se informa a la víctima que ha ganado un premio o sorteo y le solicitan información personal para procesar su pago o gestionar los trámites.

• Amenazas de cierre de cuenta: Asegurar que la cuenta de la persona será cerrada o suspendida si no proporciona la información que se les indica.

• Llamadas de soporte técnico falsas: simulan ser personal del soporte técnico de una empresa conocida e indican que han de resolver incidencias.

• Engaño por problemas financieros: afirman que existen problemas relacionados con la cuenta bancaria de la persona y solicitan información personal o financiera para solucionar dicho problema.

• Falsos mensajes de voz automatizados: envían mensajes de voz automatizados a la persona solicitándoles información o que siga unas pautas.

• Inversiones en cuentas de ahorro: realizan llamadas ofreciendo inversiones, garantizando importantes ganancias.

• Creación de urgencia: afirman que la gravedad de los problemas aconseja actuar de inmediato, a fin de que la víctima no pueda realizar comprobaciones.

• Solicitud de información confidencial: buscan obtener información privada como números de tarjetas de crédito, contraseñas u otra información personal durante la llamada.
• Amenazas o consecuencias: realizan presiones firmes relacionadas con bloqueo de cuentas o sanciones

• Instalación de programas: convencen a la víctima de la necesidad de instalar un programa o aplicación en sus dispositivos para solucionar un problema.

• Evitan preguntas: no responden a preguntas sobre su identidad o legitimidad de la llamada.

• Ofertas tentadoras: ofrecen grandes beneficios para motivar a la víctima.

La mejor defensa contra el vishing es la desconfianza, ya que ni el banco ni ninguna entidad destacada nos pedirá jamás información sensible por teléfono, tal como se recalca desde INCIBE. 

Lo más importante es estar informado y alerta. Para ello, si se recibe una llamada inesperada de un servicio desconocido, especialmente con carácter de urgencia, es crucial sospechar.  

En cualquier caso, nunca se debe de facilitar información personal ni credenciales, además de estar muy alerta de las ofertas. Ante cualquier duda, lo mejor es contactar directamente con la entidad legítima a través de sus canales oficiales, seguir las actualizaciones y reportar cualquier actividad sospechosa a las autoridades.