Asegúrese de verificar un número de teléfono si lo desconoce

Últimamente, usuarios de todo el mundo han sido blanco de diversas campañas de phishing a través de llamadas telefónicas. Este tipo de ataque se denomina vishing (voz + phishing = vishing), y las técnicas de ingeniería social inspiran los métodos que utilizan los atacantes. El ataque comienza con una llamada telefónica. En ella, el atacante dice representar a una determinada empresa o autoridad. Para autenticar la llamada, los atacantes utilizan datos sobre la víctima que suelen estar disponibles en Internet (nombre, apellidos, dirección de correo electrónico, etc.). Por eso, cada vez que se reciben llamadas de números desconocidos, hay que verificar al menos un número de teléfono.

Cuando la víctima potencial cree que la llamada es legítima, las posibilidades de dar datos sensibles (personales o bancarios) por teléfono aumentan exponencialmente. Al mismo tiempo, los atacantes pueden aprovechar la credulidad de las víctimas para convencerlas de que instalen software malicioso o aplicaciones de control remoto (escritorios remotos) en los dispositivos utilizados. La finalidad de estas llamadas varía en función del tipo de vishing: fraude con llamadas perdidas, llamadas falsas de asistencia, llamadas por accidente, etc.  ¿Cómo funciona? Sigue leyendo para informarte sobre cómo los estafadores intentan engañar a la gente y cómo puedes evitar ser una víctima.

Verificar un Número de Teléfono es imprescindible

En el caso de las llamadas perdidas falsas, un usuario encuentra una llamada perdida de un número de teléfono fuera del país. Cuando intenta devolver la llamada a ese número para comprender el propósito de la llamada, la víctima suele llamar a un número gratuito. Antes de devolver la llamada, opta por verificar un número de teléfono. Además, el objetivo de los atacantes es mantener la llamada activa el mayor tiempo posible. En cuanto al fraude de cuentas bancarias bloqueadas, los usuarios no sólo tienen que estar atentos a las llamadas perdidas. Otro método utilizado por los ciberdelincuentes consiste en llamar directamente a la víctima potencial.

Mediante una grabación automatizada, realizada normalmente a través de una aplicación de texto a voz, los atacantes implementan un escenario automatizado en el que se pide a la víctima datos personales o bancarios. Por ejemplo, los interlocutores pueden decir que llaman desde el banco del que es cliente para notificarle que su cuenta ha sido bloqueada. Para desbloquearla, le aconsejan que llame a otro número. Es probable que el número al que se llame después tenga recargo. Así, además de recopilar datos personales y financieros, los atacantes pretenden mantener a la víctima al teléfono el mayor tiempo posible.

La sorpresa de la factura de pago

Más tarde, cuando llega la factura telefónica, los usuarios se dan cuenta de que han sido perjudicados. Otro método por el que los atacantes intentan obtener datos o dinero de las víctimas potenciales son las llamadas que simulan contactar con el servicio técnico. Saben que la gente se sorprenderá y no tendrá tiempo de verificar un número de teléfono, por lo que la misma comienza en el programa. En concreto, la víctima potencial recibe la llamada de un atacante que dice llamar desde empresas conocidas como Microsoft. Se notifica al usuario que el dispositivo que está utilizando ha sido comprometido.

Tras solicitar datos sobre el sistema operativo que se está utilizando, la persona que llama proporciona instrucciones para acceder a la aplicación Viewer. Como en los casos expuestos anteriormente, el objetivo es disipar las dudas sobre la legitimidad de la llamada. Inmediatamente, el supuesto representante de Microsoft advierte a la víctima sobre las alertas que genera el sistema operativo. Estas alertas son una serie de mensajes de error inofensivos que el sistema genera durante su funcionamiento habitual. El siguiente paso consiste en convencer al usuario de que esos errores se deben a un posible compromiso del dispositivo con malware.

Para solucionar el problema, debe instalar una aplicación que permita el control remoto (Remote Access Tool). Al instalar este software, se promete a los usuarios solucionar el problema de seguridad. Además, los atacantes pueden exigir a las víctimas cierta cantidad de dinero por el servicio apenas prestado. Al mismo tiempo, pueden extraer información privada, contraseñas y datos personales y bancarios del dispositivo. Con todos estos pasos por hacer por supuesto que no tienes tiempo para verificar un número de teléfono. Y así es como fácilmente te conviertes en una de esas muchas víctimas.

Los números de teléfono se generan aleatoriamente

Muchos patrones de números de teléfono son reportados, pero estos números pueden ser generados aleatoriamente a través de una aplicación de llamadas falsas. Este tipo de servicios que permiten realizar llamadas telefónicas con un número diferente al que aparece en el teléfono de la otra persona siguen existiendo en Internet. Como se ha visto, los atacantes suelen elegir números que parecen familiares a los usuarios con prefijos locales. ¿Cómo puede protegerse de este tipo de llamadas? Esté atento a las llamadas perdidas procedentes de fuera del país. Si nota una llamada perdida de países desconocidos, vaya y verifique un número de teléfono.

Además, estas llamadas de phishing pueden disfrazarse de llamadas legítimas con números de teléfono conocidos. Tenga cuidado al recibir llamadas de desconocidos. Pida los datos de la persona que llama y dígale que le devolverá la llamada en breve. Después, verifíquelos con la organización de la que han especificado que le llaman. Recuerde que los autores de estos ataques pueden encontrar información sobre usted en Internet, especialmente en las redes sociales. No te fíes de quien te llame porque tenga información veraz sobre ti. Recuerda: nunca des tus datos a alguien por teléfono, no importa de dónde diga que llama.

Especialmente si dicen que son del banco, porque los bancos nunca hacen esto; por lo tanto, si alguien llama y dice que es de tu banco, dile que vuelva a ponerse en contacto contigo. Mientras tanto, compruebe si su banco le solicita información sospechosa. Puedes bloquear cualquier número de teléfono desde el menú si no quieres que te sigan molestando con este tipo de llamadas en tus dispositivos móviles. Por grave o chocante que pueda parecer la situación presentada por quien llama (accidente de un conocido, robo, calamidad natural, emergencia bancaria, etc.), no reacciones al primer impulso.

Cálmate; llama primero para verificar la integridad de la situación. Recuerda que los agresores cuentan sobre todo con tu reacción emocional y que no tienes tiempo de comprobar lo que te comunican mientras te estén hablando. Ten en cuenta que el escenario de los atacantes puede cambiar. Aun así, el principio sigue siendo el mismo: le mienten astutamente para que los delincuentes obtengan datos personales y financieros. No des crédito a las llamadas urgentes de desconocidos; si llaman números diferentes, al menos verifica un número de teléfono.