“Vishing”: La nueva estafa telefónica para robar datos del homebanking
Es una nueva técnica de engaño en la que muchas personas terminan cayendo como víctimas. Está basado en técnicas de ingeniería social, que es la práctica de obtener información confidencial a través de la manipulación de usuarios.
Se trata de un tipo de estafa donde el atacante se comunica con la víctima, por teléfono o mensaje de voz, haciéndose pasar por alguien más. Usualmente una empresa, banco u otra entidad, con el objetivo de convencer al usuario de que le brinde sus datos personales o credenciales de acceso a una cuenta.
El término vishing encierra dos conceptos: voice (porque el atacante usa la voz para perpetrar sus engaños) y phishing, tal como se denomina a los engaños basados en la suplantación de identidad.
Asimismo, en el último tiempo se ha visto un incremento de este tipo de engaños. De hecho en agosto del año pasado, la Oficina de Investigación Federal (FBI) y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) de Estados Unidos alertaron sobre el aumento de estas nuevas técnicas que se pueden usar, por ejemplo, para acceder a redes corporativas.
Además, se han identificados casos de este tipo de phishing y otros para robar datos bancarios. En Argentina se reportaron estafas telefónicas en las cuales se hacen pasar por abogados del Ministerio de Desarrollo Social para informar sobre la supuesta entrega de un bono, cuando en realidad todo se trata de una maniobra para robar el acceso a la cuenta bancaria del usuario, según alertaron desde la empresa de ciberseguridad Eset.
De esta manera, el atacante llama a la víctima y le dice que fue seleccionada para recibir un supuesto beneficio para lo cual le da un código numérico. En una segunda llamada, otro atacante, que supuestamente también es parte de la entidad gubernamental que le otorgará el beneficio, le dice que tiene que ir a una sucursal bancaria para ingresar ese código obtenido en primera instancia y así percibir el supuesto bono.
Aquí lo que termina ocurriendo es que el atacante guía a la víctima para que esta configure la clave recibida como nuevo acceso a su cuenta bancaria online, y así el ciberdelincuente obtiene acceso a sus fondos.