En los últimos meses se han identificado muchos casos de suplantación de identidad a entidades bancarias, en el que un supuesto agente o técnico del banco, te invita a facilitar información o realizar alguna acción a través de llamadas telefónicas. ¿Sabías que a este fraude se le conoce como vishing? Sigue leyendo para conocer cómo actúan los ciberdelincuentes en estos casos.
Resumen del fraude
Como ya hemos adelantado, los estafadores, por medio de llamadas telefónicas, utilizan técnicas de Ingeniería social para engañar a las víctimas y convencerlas de que están hablando con un representante legítimo de una institución bancaria o entidad de confianza. Para hacerlo, a menudo manipulan el identificador de llamadas para que parezca que esta proviene realmente de la entidad financiera, es decir, suplantan al emisor para que cuando el usuario esté recibiendo la llamada, en su teléfono no se muestre la llamada con un número desconocido, sino con el nombre y teléfono de la entidad bancaria.
Una vez que establecen contacto con la víctima, utilizan tácticas de persuasión y manipulación para obtener información confidencial, como números de cuenta, contraseñas, códigos de acceso o incluso realizar transferencias de dinero directamente desde la cuenta de la víctima.
Este fraude, conocido técnicamente como vishing, puede ser altamente efectivo debido a la urgencia y la incertidumbre que generan los estafadores en su llamada. Frecuentemente amenazan con la suspensión de la cuenta bancaria, con la presión de que hay cargos indebidos en sus cuentas, penalizaciones o problemas legales con la entidad para forzar a la víctima a tomar decisiones impulsivas.
Principales modalidades de este fraude identificadas
- En esta primera modalidad, los ciberdelincuentes llaman a la víctima alertándola de que se ha detectado una actividad sospechosa en su cuenta, y le indican que, para resolver la incidencia, deben proporcionarles los códigos de seguridad que ha recibido a través de la aplicación oficial del banco o un SMS. Estos códigos serán utilizados por los estafadores para autorizar transacciones desde la cuenta de la víctima si, por ejemplo, ya están en posesión de los datos de la tarjeta de crédito o credenciales de acceso al servicio de banca online. Cuando se filtran por Internet datos extraídos de forma no autorizada de empresas o servicios muy conocidos, como el número de teléfono y datos bancarios, esta información suele ser utilizada por los ciberdelincuentes para estafar a los usuarios, por ejemplo, con este método.
Los estafadores solicitan acceso a la aplicación bancaria
- Tenemos un segundo escenario, muy similar al anterior, en el que los estafadores solicitan acceso a la aplicación de la entidad bancaria pidiendo directamente las credenciales del usuario, con el fin de tomar el control total de su cuenta a través de la aplicación.
- Otra variante de este fraude es la siguiente: los ciberdelincuentes llaman a la víctima, y le explican que su cuenta está en riesgo por algún motivo o excusa que se inventen, y que debe hacer un traspaso de su dinero a otra cuenta nueva que le van a facilitar, y que para ello necesitan que realices unos pasos. Le irán guiando a través del teléfono para que el usuario haga ese supuesto traspaso de dinero por seguridad a otra cuenta desde la aplicación oficial del banco, para no levantar sospechas. Como resultado, el dinero acabará en una cuenta bancaria controlada por el ciberdelincuente.
Engañar para conseguir las claves
- También se ha identificado otra modalidad utilizada por los ciberdelincuentes que consiste en engañar a la víctima para que, bajo algún pretexto, siga ciertos pasos en su aplicación bancaria para resolver algún problema, como puede ser cancelar una transacción fraudulenta. De esta forma, sin ser consciente, autoriza a otra persona (el ciberdelincuente) para retirar dinero desde un cajero automático facilitándole algún código requerido para hacerlo.
- Finalmente, otra variante es en la que los ciberdelincuentes crean una aplicación falsa de una entidad bancaria y la promueven con llamadas telefónicas fraudulentas bajo alguna excusa para que el usuario se la descargue e introduzca sus datos personales y credenciales, dando acceso de esta manera a los estafadores a su cuenta legítima.
¿Cómo puedes protegerte de estas estafas telefónicas?
Para prevenir el vishing, es importante que las personas sean escépticas con las llamadas telefónicas no solicitadas que piden información financiera o personal, más aún si no eran esperadas. Se recomienda verificar la identidad del interlocutor llamando directamente a la entidad bancaria, acudiendo a una oficina/sucursal o incluso contrastando la información con alguna entidad de confianza, como puede ser INCIBE a través de la Línea de Ayuda en Ciberseguridad, un servicio gratuito y confidencial disponible todos los días del año.
Para saber más sobre las estafas telefónicas, te recomendamos visitar la siguiente página, donde encontrarás mucha información y recursos muy útiles para que sepas actuar en caso de verte involucrado en una situación de las características descritas anteriormente en este artículo.
En este artículo presentamos ejemplos de cómo suplantan a las entidades bancarias, pero ten en cuenta que cualquier empresa o servicio es susceptible de ser suplantado telefónicamente, por lo que si recibes una llamada en el que un supuesto operador, independientemente de la empresa, te solicita datos personales, aplica el sentido común, rechaza la llamada y contrasta la información para evitar ser víctima de un fraude.