Vishing, smishing, phishing: cuáles son las principales estafas online y cómo detectarlas
Entre los timos más frecuentes figura la suplantación de identidad a bancos o a empresas eléctricas para obtener información personal
En los últimos años, las estafas online se han disparado y sofisticado, y tanto empresas como instituciones dedican cada vez más recursos a protegerse. Para combatir eficazmente el problema, es necesario aumentar la conciencia de la ciudadanía sobre los riesgos en línea, así como mejorar la seguridad cibernética para afrontar amenazas como el vishing, el smishing o el phishing.
Este tipo de estafas resultan muy baratas de ejecutar y, por desgracia, hay muchos usuarios susceptibles de convertirse en víctimas. De entre todas las que se realizan a través de internet, la tríada compuesta por vishing, smishing y phishing es la más sobresaliente.
Estas son las estafas al alza en España
Según el portal especializado Sello Legal, hasta un 90% de las empresas se encuentra en peligro de sufrir un ataque de phishing. Las cifras no hacen más que subir, en un contexto en el que los consumidores utilizan cada vez más sus dispositivos electrónicos para realizar gestiones y trámites en los que los datos personales son protagonistas.
Por si fuera poco, con la inteligencia artificial, los atacantes pueden automatizar la creación y el envío de miles de correos o mensajes de phishing de forma rápida y eficiente. Esto significa que ahora pueden lanzar campañas mucho más amplias y llegar a un mayor número de víctimas con menos esfuerzo. En esta línea, la clonación de voz a través de deepfakes aumentará la credibilidad de los ataques y las posibilidades de que resulten exitosos.
1. Vishing, la estafa por teléfono: qué es y cómo funciona
En primer lugar, el vishing es un tipo de estafa de ingeniería social por teléfono en la que, a través de una llamada, se suplanta la identidad de una empresa, organización o persona de confianza, con el fin de obtener información personal y sensible de la víctima (por ejemplo, sus contraseñas). El objetivo final es sustraer dinero, pero también resulta muy valioso sonsacar el DNI o la dirección. A veces, el vishing se combina con otras modalidades de estafa.
Tipos de vishing
Lo más común es que los delincuentes que realizan vishing se hagan pasar por representantes del banco de la víctima. Por ejemplo, una persona llama a un consumidor asegurándole ser un empleado de BBVA, Santander o cualquier otra entidad que ha detectado que hay un problema de seguridad. Así, logra que la víctima tema por su dinero.
El estafador le informa de que requiere su información personal para resolver el incidente, que en realidad no existe. A medida que la conversación avanza, el estafador logra convencer a la víctima para que le proporcione su nombre completo, número de tarjeta de crédito, fecha de vencimiento y código CVV. Con esta información, el estafador ya puede robar su dinero a la víctima. En otras ocasiones, los delincuentes hacen referencias a inversiones con las que se puede ganar mucho dinero, a un problema con la Agencia Tributaria o a un préstamo no solicitado.
Cómo detectarlo
En los casos más extremos, los estafadores recrean todos los detalles para dar mayor sensación de veracidad. Como en otros tipos de estafa, su prioridad es causar en la víctima una sensación de urgencia, para que actúe rápido y no tenga ni un par de minutos para calibrar qué está haciendo realmente. Para no caer en esta estafa, lo más recomendable es utilizar una aplicación de identificación de llamada, ya que, hoy en día, es relativamente sencillo crear un número falso y que simule ser el de un banco. Para ello, sólo hay que descargarse una aplicación como Truecall.
En la misma línea, el sistema antivirus y las herramientas antispyware actúan como grandes escudos, así que es importante mantenerlos actualizados. Existen tanto para móvil como para PC, y algunas son gratuitas. Asimismo, conviene no responder a las indicaciones extrañas de las personas que llaman e intentar verificar su identidad. En cualquier caso, nunca se debe facilitar información personal o confidencial por teléfono, y, si hay sospechas, lo mejor es colgar el bloquear el número.
2. Phishing: la clave es el correo electrónico
Por su parte, tal y como recuerda el Instituto Nacional de Ciberseguridad (INCIBE), el phishing es una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo.
Es decir, que, en el caso del phishing, la clave es el correo electrónico. Para lograr sus objetivos, los estafadores adjuntan archivos infectados o enlaces a páginas fraudulentas en el mail. Además, suelen utilizar alguna excusa (decir a la víctima que va a recibir dinero, un descuento, unos billetes de avión o de tren…) para convencerle de que siga la conversación con ellos y termine por ceder sus datos.
Recomendaciones para no caer en phising
Para evitar caer en la trampa, antes de hacer clic en un enlace que aparece en un correo electrónico conviene pasar el cursor por encima para ver la URL. Si parece sospechosa o no coincide con el sitio al que en teoría iba a dirigir, lo mejor es no hacer clic.
Otros indicadores de seguridad a los que hay que prestar atención son la identificación de conexión segura (si el sitio web comienza por https://) y el candado en la barra de direcciones.
3. Smishing: estafa por SMS
El smishing es una modalidad de estafa muy similar al phishing, pero, en este caso, se orquesta a través de un SMS. El ciberdelincuente, al igual que en los casos anteriores, simula ser una entidad legítima -red social, banco, institución pública, etc. -con el objetivo de robar información privada o sisar dinero.
Frecuentemente, el mensaje invita a llamar a un número de tarificación especial o acceder a un enlace de una web falsa bajo un pretexto. “Si creemos estar ante un mensaje de texto fraudulento, lo mejor que debemos hacer es ignorarlo y eliminarlo. Además, debemos tener mucho cuidado de no hacer clic en ningún enlace o adjunto sospechoso para descarga”, señala el Incibe, que recomienda también escanear el ordenador con un antivirus actualizado.
Ejemplos reales de smishing
Un smisher (el nombre técnico de los ciberdelincuentes que efectúan esta estafa) puede hacerse pasar por empleado de un banco, por representante de una entidad pública, como Hacienda, o incluso un policía que exige el pago de una multa que en realidad no existe. También es posible que los SMS informen de un dinero que el usuario puede cobrar.
Tampoco es extraño que se hagan pasar por trabajadores de atención al cliente de empresas muy conocidas, como Microsoft o Apple, o bien por técnicos de empresas de envíos, como Seur, GLS o FedEx.
Cómo detectar las estafas de smishing
Al igual que en los casos anteriores, lo más recomendable es no compartir información personal y extremar la precaución. Conviene desconfiar de los mensajes no solicitados, ya sean tanto SMS o mensajes de WhatsApp de remitentes desconocidos, especialmente si solicitan información personal o financiera. En este sentido, muchas entidades bancarias están haciendo pedagogía entre sus clientes para que no compartan los datos, remarcando que nunca solicitan información sensible por teléfono, SMS u otros canales digitales.
Asimismo, es muy útil prestar atención a la redacción y gramática del mensaje, ya que los mensajes de smishing suelen contener errores y ser algo abstractos o confusos.
Cómo evitar las estafas
En la misma línea, si el usuario recibe un mensaje que alerta de un cambio en su facturación o le pide realizar una transferencia, lo más aconsejable es que contacte directamente con la empresa implicada (ya sea Endesa, Movistar, Vodafone o BBVA) para preguntar por dicha operación.
En cuanto a la forma de alertar de estos casos, el Instituto Nacional de Ciberseguridad (Incibe), a través del Centro de Respuesta a Incidentes de Seguridad de referencia para los ciudadanos y entidades de derecho privado en España (INCIBE-CERT) pone a disposición de todos un buzón de correo (incidencias@incibe-cert.es) y un formulario de contacto.
