Si no teníamos suficiente con el phishing, nuestras alertas deben estar más preparadas que nunca puesto que llegan nuevas variantes: el vishing y el smishing. Los ciberdelincuentes van a intentar engañarnos a través del teléfono, bien con su voz o mediante mensajes de texto.

Cabe recordar que el phishing es un delito cibernético que emplea el correo electrónico generalmente en el que alguien se hace pasar por un organismos o empresa de nuestra confianza, como un banco o la Agencia tributaria. Con una apariencia cada vez más real, intentan engañarnos para que facilitemos datos confidenciales, como información de identificación personal, datos bancarios y de tarjetas de crédito y contraseñas.

Con esta información, los delincuentes intentan acceder a otras cuentas, robándonos nuestra identidad o incluso nuestro dinero.

Pues bien, estas mismas tácticas del phishing están siendo utilizadas para otras dos variantes de delito: vishing y smishing.

Cómo engañarte con la ingeniería social

Todas estas estafas se basan en la ingeniería social para engañar a las víctimas. Con estas técnicas, los delincuentes consiguen manipular, influir o engañar a las personas para conseguir lo que quieren: datos, contraseñas, control del ordenador… El pirata informático puede usar el teléfono, el correo electrónico, el correo postal o el contacto directo para obtener acceso ilegal. El phishing, es un buen ejemplo.

Para lograr esta ingeniería social, los piratas utilizan diversas técnicas. A veces envían un mensaje de alerta de seguridad en los que se requiere la intervención inmediata de la persona. En otras ocasiones intentan adquirir información confidencial, como nombres de usuario, contraseñas y detalles de tarjetas de crédito, haciéndose pasar por una entidad confiable utilizando el correo electrónico.

En muchos casos, los delincuentes usan algún cebo: un mensaje con un adjunto que pone “Carta de despido” o la promoción de un descuento si compras en una determinada compañía. También pueden intentar redirigirte a una página web con apariencia legal y a la que estás acostumbrado a acceder y que, sin embargo, es fraudulenta.

Te ayudo si me das información

Una de las últimas técnicas, y que tiene mucho que ver con este nuevo tipo de estafas como el vishing, es cuando intentan hacerse pasar por un servicio técnico. Nos ofrecerán su ayuda a cambio de que les proporcionemos determinada información.

En este caso, estas personas llaman por teléfono (bien fijo, bien móvil) tanto de una empresa como de una casa para asegurar que existe un problema con sus sistemas informáticos o con su instalación de gas, pero que ellos pueden ayudar. Si, además, te piden que lo primero que debes hacer es apagar el antivirus, entonces es más que evidente que es una llamada trampa.

Cómo funciona el vishing

La palabra «vishing» viene de unir «voz» y «phishing». Es decir, que es una técnica phishing en la que, en lugar de utilizar el correo electrónico, se emplea la voz. El objetivo es siempre el mismo: engañar a la otra persona para que revele información personal, sensible o confidencial.

Los atacantes se hacen pasar por una persona o una empresa reconocida. A través de diferentes técnicas, intentan meter el miedo a la persona que está al otro lado del teléfono y manipularlo de forma emocional para que dé la información que los atacantes están buscando. Muchas veces solicitan incluso que se realice una transferencia de dinero para poder arreglar el problema que, supuestamente, el usuario tiene.

Además, los vishers crean perfiles de identificación de llamadas falsos para que el teléfono desde el que marcan parezca legítimo. Con esto, se otorgan un plus de credibilidad ante la víctima.

Si no dan con la víctima en ese momento, es probable que dejen un mensaje el buzón para intentar que la víctima devuelva la llamada. Y, si no, volverán a llamar en otro momento.

Cuando la estafa viene en un SMS

Pero, además de la voz, los atacantes también están utilizando los teléfonos para otras versiones phishing. En este caso, y haciendo uso de los SMS, los delincuentes también utilizarán todo tipo de técnicas de ingeniería social para hacernos creer que son alguien respetable. Hablamos del smishing.

El origen de esta palabra, de nuevo, es la combinación de SMS y phishing, dado que aquí se utilizan mensajes de texto en forma de SMS. También es frecuente que utilicen algunas de las populares aplicaciones de mensajería instantánea para intentar engañarnos.

De nuevo, los atacantes se harán pasar por otra persona o por una entidad (pública o privada) en la que los usuarios confíen. E intentarán engañarnos, con algunas de las técnicas vistas anteriormente, para que les facilitemos información personal, realicemos un pago, hagamos clic en un enlace malicioso o nos descarguemos un archivo adjunto.

Según destaca el INCIBE, el gran éxito de estos ataques es que no los esperamos. Contra el phishing estamos quizá más alertas y los podemos detectar antes, pero quizá no esperamos recibir un engaño a través de un SMS, sobre todo cuando ya son pocas las personas y empresas que usan este sistema de comunicación.

Dudar siempre es bueno

Ahora ya conocemos las variantes del phishing: el vishing y el smishing. Como vemos, nadie está a salvo de verse afectado por una de tantas variantes de phishing como las que aparecen. Además de estar siempre atentos, debemos recelar de aquellas comunicaciones en las que se nos pide activamente que hagamos algo de nuestra parte, como dar datos confidenciales, descargarnos un archivo o hacer clic en un enlace.

Ignorar estos mensajes y borrarlos o colgar directamente si la llamada nos parece sospechosa son algunas de las mejores medidas que podemos tomar para evitar ser víctimas de los vishing y smishing.

Fuente: Arantxa Herranz, Ideas para tu empresa Vodafone