El vishing es un ataque de ingeniería social que consiste en que los timadores suplantan la identidad de una empresa u organización (por ejemplo, un banco) en una llamada telefónica. Pero los ciberdelincuentes pueden ir un paso más allá y falsificar el número de teléfono del remitente durante la llamada para que parezca provenir de una empresa o persona de confianza, según explica el Instituto Nacional de Ciberseguridad (INCIBE).
A través de nuestro ‘buzón de timos’ ([email protected]), muchos lectores que han sido víctimas de vishing nos han advertido de que el número que les aparecía durante la llamada fraudulenta era el teléfono real de la entidad que los ciberdelincuentes estaban suplantando. “Me han quitado todo mi dinero del banco haciéndose pasar por La Caixa y comprobé yo misma que era un número de CaixaBank”, nos asegura una lectora que fue víctima de este fraude. A esta técnica se la conoce como caller ID spoofing o spoofing telefónico.
Cómo los timadores usan la tecnología VoIP para suplantar números
Miguel Calvo, investigador y profesor en Ciberseguridad y Privacidad de la Universidad Rey Juan Carlos y maldito que nos ha prestado sus superpoderes, indica que para suplantar números de teléfono es habitual que se utilice la tecnología VoIP (Voz sobre Protocolo de Internet), para modificar el número mostrado durante la llamada. Y añade: “De hecho, son muchos los proveedores de VoIP que ofrecen este 'añadido' para dar valor a su servicio frente a la competencia. Incluso hay 'empresas' que el único servicio que ofrecen es ese, suplantación de identidad en las llamadas”.
Jorge García, ingeniero en telecomunicaciones y maldito, explica que las llamadas basadas en VoIP utilizan “protocolos de señalización o control que identifican a las partes implicadas” (el remitente y el receptor). El problema surge cuando uno de los extremos, “normalmente el originante de la comunicación, consigue incluir una identidad falsa en los paquetes de control” y, a su vez, que “los sistemas de los operadores no detecten el cambio”. De esta forma, el receptor recibe una llamada de un número diferente al que en realidad es.
En esta misma línea, Alberto Pubill, gerente de una consultoría informática y también maldito, señala: “Si yo consigo interceptar los ‘datos’ que contienen el número de teléfono de origen y cambiarlos a mi gusto, sólo tengo que saber qué poner en su lugar. Miro cual es el número de cabecera que utiliza un banco para llamar a sus clientes y el móvil de destino comparará ese número con su agenda y le dirá al receptor que lo llaman de su banco”.
Cómo podemos protegernos de estas llamadas fraudulentas
Según el INCIBE, debemos sospechar si la persona que nos llama nos solicita información confidencial (como contraseñas o datos bancarios) y nos habla con un tono de urgencia para que actuemos rápidamente, sin pararnos a pensar.
El Banco de España asegura en este artículo que existen aplicaciones que te permiten conocer la identidad real del que te llama. En cualquier caso, recuerda que desde el banco “nunca te pedirán que les facilites contraseñas o claves completas”. El organismo también aconseja comprobar que lo que te dicen es verdad: “Si te llaman diciéndote que se ha hecho una operación fraudulenta, accede a tu posición y verifica que es cierto. O si no te cuadra lo que te dicen, cuelgas y les llamas tú”.
La entidad explica que, si no has realizado una operación, “no tiene sentido que te llegue una clave temporal y mucho menos que el banco sea quien te la solicite verbalmente por teléfono”. Además, aclaran que el banco no necesita ningún código para anular esa supuesta operación fraudulenta. En resumen: si no has solicitado nada y te llaman pidiéndote información, sospecha, cuelga y llama tú al número oficial de tu banco, tu gestor o la empresa que supuestamente te ha llamado para confirmar.
En este artículo han colaborado con sus superpoderes Miguel Calvo, investigador y profesor en Ciberseguridad y Privacidad de la Universidad Rey Juan Carlos; Jorge García, ingeniero en telecomunicaciones, y Alberto Pubill, gerente de una consultoría informática.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Maldito Timo cuenta con el apoyo de:
