Se conoce como vishing a un tipo de estafa en la cual el atacante se comunica con la víctima, por teléfono o mensaje de voz, haciéndose pasar por alguien más. Usualmente una empresa, banco u otra entidad, con el objetivo de convencer al usuario que le brinde sus datos personales o credenciales de acceso a una cuenta.
El vishing, entonces, está basado en técnicas de ingeniería social, que es la práctica de obtener información confidencial a través de la manipulación de usuarios. El término vishing encierra dos conceptos: voice (porque el atacante usa la voz para perpetrar sus engaños) y phishing, tal como se denomina a los engaños basados en la suplantación de identidad.
En el último tiempo se ha visto un incremento de este tipo de engaños. De hecho en agosto del año pasado, la Oficina de Investigación Federal (FBI) y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de Estados Unidos alertaron sobre el aumento de estas nuevas técnicas que se pueden usar, por ejemplo, para acceder a redes corporativas.
También se han identificados casos de este tipo de phishing y otros para robar datos bancarios. En Argentina se reportaron estafas telefónicas en las cuales se hacen pasar por abogados del Ministerio de Desarrollo Social para informar sobre la supuesta entrega de un bono, cuando en realidad todo se trata de una maniobra para robar el acceso a la cuenta bancaria del usuario, según alertaron desde la empresa de ciberseguridad Eset.
En este tipo de engaños, el atacante llama a la víctima y le dice que fue seleccionada para recibir un supuesto beneficio para lo cual le da un código numérico. En una segunda llamada, otro atacante, que supuestamente también es parte de la entidad gubernamental que le otorgará el beneficio, le dice que tiene que ir a una sucursal bancaria para ingresar ese código obtenido en primera instancia y así percibir el supuesto bono.
Aquí lo que termina ocurriendo es que el atacante guía a la víctima para que esta configure la clave recibida como nuevo acceso a su cuenta bancaria online, y así el ciberdelincuente obtiene acceso a sus fondos.
Este tipo de metodología también fue identificada el año pasado: se identificó que estafadores se hacían pasar por Anses y llamaban telefónicamente con la excusa de ayudar a cobrar el IFE. La periodista Cecilia Bona, compartió a través de su cuenta de Twitter que un familiar fue víctima de un engaño de este tipo. Se comunicaron por WhatsApp diciendo que eran de Anses y la convencieron de ir al cajero para supuestamente ingresar el código para percibir el beneficio pero lo cierto es que modificó su clave de homebanking.
Cuando los cibercriminales accedieron al portal de banco solicitaron un préstamo por 200 mil pesos. La entidad al identificar movimientos sospechosos bloqueó parte de las transacciones. Pero los criminales se llegaron a transferir 80 mil pesos.
No se trata de un caso aislado y de hecho son muchos los usuarios que han atravesado situaciones similares. Tal es así que desde el portal de gobierno Argentina.gob.ar se emitió hace menos de un mes un comunicado alertando sobre estas situaciones.
En el comunicado explican que desde el Ministerio de Desarrollo Social se presentaron varias “denuncias judiciales ante los intentos de fraude y estafa por parte de personas inescrupulosas que se hacen pasar por funcionarios de este Ministerio. Las mismas ofrecen microcréditos y acceso a programas sociales a cambio de obtener datos personales y bancarios de los potenciales titulares de derecho”.
Allí subrayan lo mencionado anteriormente: muchas veces para hacer esta maniobra se recurre al vishing, es decir a llamados telefónicos, así como también mails, WhatsApp y otros servicios de mensajería. Subrayan que desde ese ministerio no se solicitan datos personales ni bancarios por ninguna de esas vías. Lo mismo ocurre con los bancos: ya han alertado en varias oportunidades que ellos nunca piden información confidencial como claves de acceso por ninguna vía.
Horacio Azzolin, a cargo de la Unidad Fiscal Especializada en Ciberdelincuencia, también planteó lo mismo, en diálogo con Infobae: “es fundamental tomar precaución, aplicar el sentido común y saber que nadie pide datos confidenciales por teléfono ni otra vía”. A su vez, alienta a los usuarios a denunciar estas situaciones en las fiscalías correspondientes a su zona.