¿Qué es el vishing y cómo podemos protegernos de estas amenazas?

¿Has recibido una llamada de tu banco alertándote de que alguien ha accedido a tu cuenta o ha estado utilizando tus tarjetas de crédito? ¿Una llamada de una entidad gubernamental avisándote de que tienes alguna deuda pendiente de pago? ¿O quizá una llamada de tu compañía de luz informándote de que se ha producido un impago y de que van a cortar tu suministro? Todas estas situaciones, que a primera vista podrían parecer reales, no son más que ejemplos de lo que se conoce como vishing, un tipo de estafa digital que emplea las técnicas de ingeniería social para sustraer información confidencial de sus víctimas. Pero ¿en qué consiste exactamente? ¿Y cómo podemos protegernos?

¿Qué es el vishing?

El vishing, término nacido de la combinación de las palabras ‘voice’ y ‘phishing’, es un tipo de estafa por la que los ciberdelincuentes tratan de sustraer información confidencial de sus víctimas mediante una llamada telefónica en la que se hacen pasar por una entidad bancaria, compañía u organismo público, entre otros. Este tipo de estafas se encuadran dentro de los ataques de ingeniería social, ya que emplean técnicas de engaño, persuasión y manipulación psicológica para engañar a sus víctimas. Por ejemplo, estos ataques pueden inducir sensación de miedo o urgencia al amenazar a sus víctimas con un posible corte de suministro de algún servicio básico, como la electricidad o el gas, o pueden apelar a la curiosidad o codicia, prometiendo grandes ofertas o promociones. 

Los ataques de vishing pueden estructurarse en tres etapas. En la primera, los ciberdelincuentes buscan información de sus víctimas, como su nombre, correo electrónico, domicilio, DNI o parte del número de sus tarjetas bancarias. Algunos de estos datos pueden encontrarse de forma sencilla por internet, mientras que otros pueden obtenerse de los fallos de seguridad que pueden llegar a sufrir las empresas o mediante otro ataque de ciberseguridad dirigido a la víctima. En la segunda etapa, una vez obtenida esta información, los ciberdelincuentes se ponen en contacto por teléfono con sus víctimas suplantando la identidad de un organismo de confianza. En estas llamadas, los atacantes emplean la información que habían obtenido previamente para ganarse la confianza de los usuarios y conseguir que compartan sus datos confidenciales, ya sea abriendo un enlace malicioso, instalando algún malware, realizando algún pago o, simplemente, solicitándoles información sobre sus cuentas. En la etapa final, cuando ya han conseguido manipular a las víctimas, los ciberdelincuentes proceden con el ataque real y, aprovechando la información proporcionada por el usuario, realizan el robo. 

Veámoslo con un ejemplo. Imagina que recibes una llamada de tu supuesto banco. En ella, el operador te informa de que están ofreciendo una nueva promoción y, tras explicarla sin entrar en grandes detalles, comienza a compartir contigo ciertos datos personales que pueden encontrarse con relativa facilidad en internet, como tu nombre, domicilio o DNI. Tras ganarse tu confianza, te envía un SMS en el que aparece un enlace fraudulento y te informa de que debes hacer click en él para proceder con la promoción. Al hacer click, el enlace te redirigirá una página aparentemente fiable en la que deberás introducir tus datos confidenciales. Una vez lo hayas hecho, tus datos quedarán a merced del atacante, que aprovechará esta información para acceder a tus cuentas y sustraer el dinero. 

En estas situaciones, los usuarios deberán tener en cuenta que sus entidades bancarias nunca les contactará, ya sea por teléfono, SMS o correo electrónico, para solicitarles información confidencial y sensible, por lo que, si reciben una llamada de estas características, deberán colgar inmediatamente y no proporcionar ningún tipo de dato.

Diferencias entre vishing, smishing y phishing 

Dentro de los delitos que se encuadran dentro de lo que se conoce como ingeniería social, se pueden encontrar dos tipos de estafas que guardan relación con el vishing: el smishing y el phishing. Al igual que el vishing, estos dos términos también hacen referencia a ataques en los que los ciberdelincuentes se hacen pasar por empresas y organismos públicos, pero entre estos tres conceptos existen diferencias clave que conviene conocer de cara a estar preparados para proteger nuestros datos.

• Vishing: son ataques que se realizan vía telefónica. En ellos, los ciberdelincuentes suplantan la identidad de una empresa o organismo público para que sus víctimas compartan sus datos personales.
• Smishing: son ataques que se realizan mediante SMS. En ellos, los ciberdelincuentes suplantan la identidad de una empresa o organismo público para convencer a sus víctimas de clicar en un enlace malicioso.
• Phishing: son ataques que se realizan mediante correo electrónico, redes sociales o aplicaciones de mensajería instantánea. En ellos, los atacantes envían enlaces o archivos maliciosos para capturar la información confidencial de los usuarios. 

Estos tres ataques comparten los mismos fundamentos, pero se diferencian por la forma en la que la estafa llega a las víctimas. Conocer las vías por las que los ciberdelincuentes pueden comprometer nuestra seguridad será clave de cara a protegernos frente a posibles ataques. 

¿Cómo se realizan los ataques de vishing?

Los ataques de vishing, si bien todos se realizan vía telefónica, pueden adoptar distintas formas, en función de la identidad que el ciberdelincuente quiera suplantar y las técnicas de manipulación que vaya a aplicar. Entre las más populares, destacan: 

• Entidad financiera. Los ciberdelincuentes se hacen pasar por un trabajador de un banco o entidad financiera. Generalmente, hacen creer a sus víctimas que ha habido un problema con sus cuentas o tarjetas y les piden que les proporcionen datos confidenciales, como su código PIN o su clave bancaria, para subsanar la incidencia. No obstante, también pueden intentar engañar a sus víctimas con supuestas promociones.
• Empresa de servicios. Los atacantes se hacen pasar por un proveedor de servicios, como, por ejemplo, una compañía telefónica, y les informan de que ha habido un error en su factura, por el que se realizará una devolución, o que ha habido un problema con el pago, por el que se procederá con el corte de suministro. Partiendo de esta base, manipulan a sus víctimas para que les ofrezcan datos confidenciales o realicen envíos de dinero.
• Organismos públicos. Los ciberdelincuentes fingen ser una entidad gubernamental, por ejemplo, Hacienda, y hacen creer a sus víctimas que tienen una deuda pendiente o que ha habido un problema con el pago de sus impuestos. Bajo esta premisa, manipulan a sus víctimas para que les envíen dinero.

A la hora de realizar estos ataques, lo habitual es que los ciberestafadores realicen una única llamada directa a sus víctimas, en la que aplican sus técnicas de manipulación. No obstante, también puede darse el caso de que realicen una doble llamada, en la que en un primer momento se harán pasar por una de empresa contratada por el usuario para comunicarle que se va a producir un incremento en su tarifas para, posteriormente, volver a contactarlos haciéndose pasar por otra empresa y ofreciéndoles otro producto mejor. Además, el vishing también puede realizarse en combinación con otra estafas de ingeniería social, como phishing o smishing.

¿Cómo detectar si estoy siendo víctima de vishing?

Detectar que uno está siendo víctima de una estafa telefónica es cada vez más complejo, dada la sofisticación con la que los ciberdelincuentes realizan sus ataques. Sin embargo, y tal y como recogen en Incibe, hay ciertos factores que pueden ayudarnos a detectar este tipo de estafas:

• Sensación de urgencia: los ataques de vishing se caracterizan por generar una sensación de urgencia en el usuario para incitarle a actuar rápido y sin pensar. 
• Petición de datos e información personal: en estos ataques es habitual que los estafadores pidan información confidencial a los usuarios. Sin embargo, en estos casos debemos tener en cuenta que tanto nuestra entidad bancaria como las empresas a las que contratamos sus servicios nunca nos pedirán información confidencial.
• Amenazas: en los ataques de vishing es habitual que los estafadores amenacen con cerrar nuestra cuenta bancaria o el suministro de algún tipo de servicio, así como con multas de gran envergadura.
• Instalación de programas: en las llamadas de vishing, es habitual que inciten a la víctima a hacer click en un enlace que les hayan enviado por SMS o correo electrónico, así como que les anime a instalar programas o aplicaciones de carácter malicioso en sus dispositivos con la excusa de solucionar algún problema.
• Grandes promociones: para engañar a sus víctimas, en los ataques de vishing también es habitual que les prometan grandes premios y promociones.
• Evitan preguntas: los ciberestafadores que recurren a este tipo de estafas no responden a preguntas sobre su identidad y suelen ofrecer información poco precisa. 

Para evitar ser víctima de este tipo de ataques, será vital mantener la calma y no sucumbir ante la presión o posibles amenazas. De igual manera, deberemos evitar en todo momento compartir información personal y evitar acceder a cualquier tipo de enlace o página web que se nos proporcione por teléfono. Si creemos que estamos siendo víctima de este tipo de estafas, además, deberemos colgar la llamada de forma inmediata. 

¿Qué hacer si he sido víctima de vishing?

Si creemos que hemos sido víctima de vishing, deberemos denunciar los hechos ante la policía o guardia civil con todas las pruebas posibles que podamos recopilar e informar al banco, organismo o empresa por la que el ciberdelincuente se ha hecho pasar para que tengan constancia de la estafa. Además, deberemos ponernos en contacto con nuestro banco para que bloqueen nuestras cuentas y tarjetas y, si hemos instalado algún programa, tendremos que desinstalarlo. De igual manera, también tendremos que modificar las contraseñas de las cuentas que podrían haberse visto afectadas por el ataque y ejecutar un antivirus en nuestros dispositivos para eliminar posibles archivos maliciosos. 

Tu seguridad en XTB

En XTB, queremos proteger a nuestros usuarios de posibles estafas y amenazas. Por eso, disponemos de varios procedimientos para garantizar la seguridad de todos los datos de nuestros usuarios:

• Conexiones cifradas: todas las conexiones entre los servidores de XTB y la aplicación móvil de su dispositivo están completamente cifradas para garantizar el más alto nivel de seguridad. 
• Autorización de acceso: la aplicación de XTB permite la autorización mediante contraseña, huella digital o código. 
• Autenticación multifactor: los cambios de clave (es decir, cambio de contraseña) o de información siempre se confirman mediante diferentes métodos de contacto (teléfono, correo electrónico, SMS). 
• Infraestructura de red avanzada: desarrollamos constantemente nuestra infraestructura invirtiendo en las tecnologías más punteras para garantizar la seguridad de sus inversiones. 
• Monitoreo de ciberseguridad: nuestros equipos recopilan y analizan constantemente información para detectar comportamientos sospechosos, cualquier acceso no autorizado o cambios en nuestra red. 

A la hora de invertir en XTB, además, nuestros usuarios deberán tener en cuenta que nuestros gestores jamás les pedirán sus códigos SMS o contraseñas y que los datos para realizar ingresos son exclusivos de su cuenta de valores, por lo que solo podrán verlos dentro de la XTB App o web oficial. Si reciben un enlace por email o SMS para acceder a su cuenta, deberán ignorarlo, ya que podrían ser objeto de una estafa. En caso de necesitar más información o asistencia adicional, recomendamos a nuestros usuarios que se pongan en contacto con nuestro equipo de atención al cliente, ya sea mediante el número de teléfono 915 706 705 o a través de la dirección de correo support@xtb.es.