Qué es el 'vishing' y cómo puedes protegerte

Las pistas para detectarlo y cómo actuar si te ves afectado.
sarayut Thaneerat via Getty Images

- Hola, muy buenas tardes, ¿es usted el titular de la línea XXX-XXX-XXX?

- Sí, soy yo.

- Le llamo de la compañía telefónica TELEFUN2 en relación a su última factura. Parece que ha habido un error, pues debería habérsele descontado una parte. Esto es debido a un acuerdo que tenemos con su banco. Por comodidad para usted, le haremos la devolución de esta parte proporcional a su cuenta bancaria, para lo que necesito que me valide sus datos bancarios.

- Claro, muy bien. Mis datos son los siguientes…

Si esta conversación ficticia te ha hecho levantar una ceja, ya tienes bastante camino hecho contra el vishing. Este diálogo lo pone como ejemplo la Oficina de Seguridad del Internauta (OSI) para explicar este concepto desconocido para muchos.

“El vishing básicamente es el conjunto de técnicas que se basan en engañar a la gente mediante el uso de llamadas telefónicas. Consiste en llamar y suplantar a alguien. Por ejemplo, que se hagan pasar por tu banco”, explica a El HuffPost Eduardo Arriols, coordinador académico del área de ciberseguridad en el Centro Universitario U-tad.

“A veces te dan cierta información, como tu DNI o tu correo. Por ejemplo te dicen: ‘¿Estoy llamando a esta persona con este DNI? Soy tu banco porque vamos a actualizar condiciones y necesito que me digas el código que te llega al móvil’. Y ese código puede que lo utilicen para acceder a tu cuenta”, prosigue el experto.

De esta manera, el vishing es el equivalente al phishing, las estafas a través de emails que simulan ser una persona u entidad, pero a través del teléfono.

Cuáles son las señales de alerta

Mientras que en el phishing quizá es más fácil percatarse de que se trata de un timo si se está atento a ciertas señales, como fijarse en si el correo electrónico desde el que nos escriben es sospechoso, en una llamada es más difícil, y más cuando ya existen servicios que incluso permiten suplantar números de teléfono para mandar SMS, mensajes de WhatsApp o para hacer llamadas, como avisa este especialista.

“Aquí lo que hay que tener en mente es que ninguna empresa, en ningún caso, te va a pedir datos personales por teléfono. Ningún banco te va a llamar para pedirte una clave o datos confidenciales”, recalca Arriols.

“Ningún banco te va a llamar para pedirte una clave o datos confidenciales”

- Eduardo Arriols, coordinador académico del área de ciberseguridad en el Centro Universitario U-tad.

Además de las estafas bancarias, señala que también se produce vishing para otras “más avanzadas que mezclan la parte del correo y del teléfono”: “Por ejemplo, te llaman y te dicen ‘te llamo de X, vas a recibir un correo urgente, por favor, revísalo’. Eso lo que hace es que la persona ese correo no lo mira, no se fija en el remitente”. Es decir, se da por sentado que el email va a ser verídico y cae en la trampa de, o bien de proporcionar una clave, o de ser redirigido a alguna web fraudulenta.

Qué hacer si nos vemos afectados por un vishing

Según Arriols, si se eso sucede, “lo principal es cambiar la clave”, en el caso de que haya habido un robo de contraseñas y, “si al usuario se le ha estafado dinero, hay que ponerse en contacto con el banco”. Como expone, “ahora que viene todo el tema del Black Friday” si, por ejemplo, nos llaman haciéndose pasar por un gran comercio, a quien hay que avisar primero es al banco para que tome medidas, como bloquear la tarjeta o lo que sea menester.

Como medida de prevención, y dado que cada vez hay también “más robos de cuentas en redes sociales”, Arriols recomienda “hacer uso del doble factor de autenticación”: “Hay aplicaciones, tanto de Microsoft como de Google, que te registras, vas a las redes sociales o prácticamente a cualquier web y habilitas el doble factor. De esta forma, cuando accedes a la red social con usuario y clave, te salta un mensaje en la aplicación para validar que eres tú la persona”.

La OSI, por su parte, da una serie de pautas que van en la misma dirección:

  1. Escanear nuestro dispositivo con un antivirus actualizado.
  2. Eliminar cualquier archivo que hayamos descargado del correo.
  3. Bloquear el número que nos haya contactado.
  4. Cambiar las contraseñas de aquellas cuentas que hayan podido ser vulneradas.
  5. Activar la verificación en dos pasos en las cuentas que lo permitan para evitar la suplantación de identidad.
  6. Contactar con el banco para cancelar cualquier pago no autorizado o cancelar nuestra tarjeta en caso necesario.
  7. Recopilar todas las pruebas posibles y denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado.

Además, el INCIBE, el Instituto Nacional de Ciberseguridad dispone de una Línea de Ayuda (el 017), un teléfono gratuito y confidencial para cuestiones como ésta.

Sugiere una corrección