Por: Redacción Tecnología| Prensa ESET • Colombia.com

Nuevas estafas: 'Vishing', las llamadas y mensajes de voz que usan para "robar datos" en Colombia

La intención de las "ciberdelincuentes" es tratar de robar información haciéndose pasar por 'Call-centers'. 

Actualización
Atentos a los detalles, para que no caigas en la trampa. Foto: Pixabay
Atentos a los detalles, para que no caigas en la trampa. Foto: Pixabay

La intención de las "ciberdelincuentes" es tratar de robar información haciéndose pasar por 'Call-centers'. 

La palabra vishing nace de la unión de voice y phishing, es decir, engloba a aquellos ataques de phishing que involucran una voz, ya sea robótica o humana. En estas, los atacantes pueden llegar a la víctima mediante llamadas telefónicas masivas, tal como un Call-center corporativo, o dejando correos de voz y ahora es una práctica habitual en Colombia. 

Los expertos en ciberseguridad, ESET, advierten sobre un nuevo engaño que roba información sensible a través de llamadas telefónicas o mensajes de voz "haciéndose pasar por una empresa confiable ó un Call Center". 

“Si bien esta técnica puede representar un mayor costo y trabajo del lado de los cibercriminales, es más efectiva que otras formas de ataque similares como el phishing: a través de una llamada telefónica se logra una comunicación más personal que a través de un correo electrónico, por lo que la manipulación emocional es más fácil de llevar a cabo", dijo Martina López, investidora de seguridad informática de ESET. 

3 opciones en las que hacen 'vishing' 

Reembolso por servicio informático: Los criminales establecen una primera comunicación telefónica para informar sobre una supuesta devolución de dinero por un servicio que contrató el usuario hace años y que la supuesta compañía dejó de ofrecer. 

Así, el estafador persuade a la víctima para que primero instale en su equipo un software de acceso remoto que le permitirá al estafador tener acceso al equipo de la víctima, y luego solicitar que acceda desde su computadora a su cuenta bancaria.

En paralelo, simulan la realización de una transferencia y modifican el monto para que parezca hubo una equivocación y se ingresó un valor diferente, haciendo que se transfiera más dinero del que le correspondía. De esta manera el usuario se siente presionado a actuar de buena fe y devolver el supuesto dinero transferido de más, y es aquí donde se produce la estafa.

Soporte técnico/Infección con un malware: En este modelo de fraude, quien se comunica con la víctima afirma ser de una compañía con un nombre genérico, supuestamente especializada en seguridad informática, que le asegura a la víctima que presta servicios de protección en su equipo. 

Utilizando ingeniería social el atacante convence al individuo que le permita el acceso a su equipo mediante herramientas de acceso remoto, las cuales permiten incluso controlar el dispositivo al que acceden en todo momento, aun cuando el dueño está ausente.

Luego, ejecutando aplicaciones usualmente instaladas de fábrica en el equipo de la víctima o enseñando archivos supuestamente corruptos, descubren falsos indicios de una infección para preocupar a la víctima y hacerle creer que su dispositivo fue comprometido.

Problemas financieros/Problemas legales/Suplantación de identidad de organismo estatal: Los atacantes se hacen pasar por la voz de una entidad como la policía, un banco o una firma legal para informar sobre algún problema o movimiento fraudulento asociado a la víctima. 

Con esta excusa los atacantes solicitan la entrega de información personal y en algunos casos hasta acceso a la computadora del usuario, pudiendo acceder en este último escenario a credenciales sensibles.