“Buenos días N (nuestro nombre), somos de la compañía energética X (nombre de la compañía que tenemos contratada), hemos comprobado que tienes en tu factura de la luz un coste muy alto por culpa del 'impuesto del tope del gas' y queremos aplicarte un descuento compensatorio a este impuesto que el Gobierno nos obliga a imponerte; solo necesitamos que nos confirmes que eres tu a quién llamamos para que a partir de ahora no tengas que pagar nunca más este impuesto”.
Con esta llamada un supuesto operador puede ponernos en estado de alerta e incentivarlos para que la “confirmación de nuestra identidad” termine siendo una cesión de datos confirmados vía telefónica, en este caso para hacernos un cambio no deseado y no consentido de compañía eléctrica.
Porque el supuesto operador en realidad no pertenecía a nuestra compañía comercializadora de energía sino a un rival y ha utilizado una técnica llamada vishing para suplantar a un operario y realizar una operación fraudulenta.
En este caso se trata de un cambio de compañía, pero en otras ocasiones lo que está en juego es nuestro dinero, como en el caso del socio de Facua al que sustrajeron por esta técnica 29.000 euros y que relatamos en este artículo. O como el caso del ya clásico timo de Microsoft, cuyo audio puedes oír en este otro artículo.
También recientemente la Guardia Civil ha detenido a dos personas que habían sustraído presuntamente más de 2.800 euros, vía telefónica, de una supuesta factura impagada derivada de un fallo informático a causa de la fusión de Liberbank y Unicaja.
Phishing telefónico
En resumidas cuentas, donde el phishing utilizaba el correo electrónico o el SMS para sustraer nuestros dato y con ellos nuestro dinero, el vishing explota la vía telefónica para aplicar su ingeniería social y crearnos un estado de alarma que nos haga vulnerables a la cesión de datos sensibles.
La Oficina de Seguridad del Internauta (OSI) tiene catalogada esta modalidad y la define como una estafa donde “el ciberdelincuente se hace pasar por el servicio de atención al cliente para informarnos, en el caso de los bancos, que alguien ha accedido a nuestra cuenta y/o tarjeta, que han realizado un cargo en las mismas, o para solicitarnos que le demos información sobre nuestra firma digital”.
“En el caso de los proveedores de gas y electricidad, las llamadas fraudulentas se realizan con el objetivo de capturar datos personales. No se descarta que estén llamando a usuarios haciéndose pasar por cualquier otro servicio o empresa con el fin de engañarles y robar sus datos personales y bancarios”, añade el organismo.
El vishing funciona gracias a datos personales que los ciberdelincuentes han conseguido previamente, normalmente a través de brechas de seguridad que afectan a empresas. A partir de ahí, con información como nuestro nombre y teléfono, pueden conseguir datos más sensibles y con ellos realizar la estafa.
El mecanismo, según la OSI, consiste en llamar a la víctima, alertarle de un cargo extraño en su cuenta, o de un cargo extra por parte de su compañía de servicios, para conseguir alarmarle. A partir de ese momento el suplantado tratará de calmar a la víctima prometiéndole solucionar el problema.
El problema es que para solucionar el problema el operador precisa verificar los datos del cliente y es ahí cuando se las apaña para que se los cedamos sin darnos cuenta, tal vez creyendo que ya los poseen de antemano.
Tal como explica Caixabank al respecto:
“Las llamadas fraudulentas (vishing) están a la orden del día; los ciberdelincuentes sofistican cada vez más sus argumentos para engañar a sus víctimas, utilizando para ello varias estrategias”.
La entidad destaca las siguientes:
- Suplantar el teléfono llamante (Caller ID Spoofing) para que sea el mismo que el de un centro de atención al cliente de cualquier banco.
- Conocer perfectamente cómo funciona la banca electrónica de la entidad y por tanto guiar al cliente por los menús para conseguir su objetivo.
- Utilizar argumentos de lo más convincentes como por ejemplo ayudarnos a retroceder un supuesto cargo fraudulento para que recuperemos nuestro dinero.
Cómo prevenir el vishing
Caixabank explica que “si alguien contacta con nosotros, dice ser de nuestro banco y nos pide que facilitemos información personal, bancaria, claves secretas que nos van a llegar a través de mensajes de texto a nuestro móvil o, si de improvisto, nos guía paso a paso por la banca online para que hagamos un trámite, debemos colgar la llamada y en caso de dudas, contactar nosotros con el servicio de atención al cliente de la entidad para exponer el caso y que nos asesoren”.
“Es importante”, prosigue la entidad financiera, “recordar que un banco nunca solicitará datos personales, usuarios, contraseñas o claves por ningún canal”. Nuestro banco puede contactar con nosotros incluso para confirmar, por seguridad, si hemos sido nosotros quienes hemos realizado un pago o una transferencia, pero nunca nos va a pedir que les facilitemos ningún tipo de clave personal.
Recomendaciones de la OSI
Por su parte la OSI ofrece las siguientes recomendaciones:
- No proporciones ningún tipo de información personal a los desconocidos que te llaman diciendo que lo hacen en nombre de tu banco o compañía de gas y/o electricidad.
- Haz comprobaciones sobre el usuario con el que estás interactuando.
- Si al hablar con la persona, esta no te inspira confianza o dudas de su autenticidad, corta la comunicación y contacta a través de los canales oficiales con tu banco o con tu empresa proveedora de servicios de gas y/o de electricidad para contrastar la información y cerciorarte de si es cierto lo que está ocurriendo.
- En caso de duda, consulta directamente con la entidad para informarles de lo sucedido o con terceras personas de confianza como pueden ser las Fuerzas y Cuerpos de Seguridad del Estado (FCSE). Si necesitas más información, puedes llamar a la Línea de Ayuda en Ciberseguridad de INCIBE, 017, gratuita y confidencial o contactar a través de los canales de chat WhatsApp (900 116 117) y Telegram(@INCIBE017).
Si no te quieres perder ninguno de nuestros artículos, suscríbete a nuestros boletines