El vishing, combinación de las palabras voz y phishing, es un tipo de fraude basado en la ingeniería social que se realiza a través de llamadas telefónicas con el fin de obtener información personal y sensible de la víctima. En ocasiones, el atacante suplanta la identidad de una organización o de una persona de confianza, con el fin de obtener información personal de sus víctimas. Durante la conversación suelen utilizar asuntos que parecen importantes o urgentes: pago de impuestos pendientes, reparación de tu ordenador, problemas con tu cuenta bancaria, secuestro o accidente de un familiar… Para dar credibilidad a lo que dicen pueden mencionar datos personales de la víctima, obtenidos en redes sociales o en páginas web. No debemos suponer que quien nos llama es de confianza solo porque sepa nuestro nombre o conozca datos personales o profesionales, hoy en día es fácil obtener esa información.
Uno de los fraudes telefónicos más habituales es el del falso soporte técnico: el delincuente se hace pasar por el servicio técnico del sistema operativo de tu dispositivo, y te hace creer que es necesaria una reparación o actualización. En una empresa, el atacante puede llamar a un empleado haciéndose pasar por alguien del área de servicios informáticos. El pretexto suele ser que necesita solucionar una incidencia del equipo corporativo o completar una actualización que no se ha realizado, para lo cual pedirá al empleado sus credenciales de acceso.
Para defenderse del vishing, ante todo hay que ser muy prudentes con las llamadas no solicitadas, tanto en el ámbito personal como en el profesional. Ante la más mínima duda, hay que verificar la identidad de quien llama por otra vía, no revelar ningún tipo de información por teléfono, aunque no parezca confidencial. También hay que sospechar si nos llaman creando sensación de urgencia o presión; nunca hay que descargar software, ni hacer clic en enlaces ni abrir archivos enviados por la persona que llama, y mucho menos revelar las credenciales corporativas.
En las empresas hay que prestar mucha atención, ante posibles ataques de vishing o en general de ingeniería social. Este tipo de fraudes busca como objetivos a personas con conocimiento o acceso a la información o a los medios de pago. En ocasiones, la información que piden puede parecer inocua, o suplantan a la perfección la identidad de un cliente, un superior, un proveedor o un compañero. Conviene tener presente que en cualquier momento de la llamada, si surge cualquier duda, se debe solicitar alguna verificación adicional, o incluso colgar el teléfono y contactar directamente por otras vías con la persona indicada.
Los delitos de ingeniería social, y en particular las llamadas fraudulentas, intentan conseguir su objetivo manipulando cuatro principios de nuestro comportamiento: tenemos confianza natural hacia el otro, a todos nos gusta que nos alaben, nos cuesta decir NO y siempre queremos ayudar.
