Diario de León

Phishing, smishing y vishing: suplantar la identidad

Publicado por
Redacción
León

Creado:

Actualizado:

Primero fue el phishing, después llegó el smishing y ahora le toca el turno al vishing. Todos estos fraudes consisten en suplantar la identidad de organizaciones para engañar al usuario y conseguir sus claves personales y, a través de ellas, cometer delitos económicos. La ciberdelincuencia avanza en todos los campos, pero los fraudes crecen de manera especialmente preocupante. Ruth García Ruiz, técnico de Ciberseguridad para el Ciudadano del Instituto Nacional de Ciberseguridad (Incibe), explica las principales tendencias de esos ciberdelitos.

—Los fraudes en relación con las entidades financieras están en crecimiento, ¿cómo actúan los ciberdelincuentes en este tipo de estafas?

—Ahora mismo el fraude que está pegando fuerte es el smishing, el envío de mensajes por teléfono fraudulentos a los usuarios usurpando la identidad de la entidad bancaria, cuyo objetivo es incluir un mensaje alarmante o que al cliente le provoca miedo o le lleva a tomar una decisión rápida. Por ejemplo del tipo de que se ha detectado actividad sospechosa en su cuenta, o ha habido una actualización de las políticas de seguridad y hay que cambiar la clave de acceso rápidamente, o que se ha hecho una transferencia del dinero que el usuario no reconoce,... Estos contactos fraudulentos incluyen un enlace que parece acceder a la página web legítima del servicio que le está contactando, pero en realidad es un fraude porque la están suplantando. Al introducir los datos de usuario, clave, firma, y todo lo que le soliciten, acaba directamente en manos del ciberdelincuente. No hace falta que utilicen ningún dispositivo, simplemente nosotros, engañados, hemos facilitado toda nuestra información. Ese es el fraude que en este momento se está dando con más frecuencia, y a diario afecta a varias entidades. Cualquier organismo puede ser suplantado y sus clientes ser víctimas de esta estafa.

—¿Cómo avanzan y se sofistican este tipo de estafas?

—Esta modalidad es una evolución del antiguo phishing, que es cuando se suplanta a la entidad a través del correo electrónico. Es el mismo fraude, sólo que antes se procedía sobre todo enviando correos electrónicos a los usuarios con las mismas excusas, pero ahora se da el salto a los mensajes, que se reciben de manera instantánea en los teléfonos móviles. Ante el temor de que algo esté sucediendo a nuestro dinero o acciones, se acaba abriendo el enlace y ofreciendo la información. Existe también una variante en la que en lugar de acceder a una página fraudulenta le redirigen a aplicaciones maliciosas. La víctima cree que está en la aplicación legítima del banco, pero lo que abre es a tener el control total del dispositivo, de sus mensajes, internet, enviar información, utilizar aplicaciones sin que el usuario sea consciente, acceder a fotos, vídeos,...

—¿Qué diferencias hay entre todas estas modalidades?

—El phishing es un ataque por correo electrónico, cuando es por a través del dispositivo móvil hablamos de smishing, y otra variante que se ha identificado, aunque aún con menos afectación en este momento que es el vishing. Es cuando, por teléfono, se hacen pasar por un operador de la entidad bancaria y también solicitan datos bajo alguna excusa.

—¿Cuándo empezaron a utilizarse estas técnicas, y cómo han ido evolucionando?

—Llevan utilizándose ya bastante tiempo, sobre todo la suplantación por correo electrónico. Pero a medida que los usuarios han empezado a utilizar más los teléfonos móviles para sus gestiones, con aplicaciones y servicios, es cuando está creciendo más el resto de las técnicas. Porque es mucho más instantáneo, y porque es una parcela en la que muchos usuarios no perciben todavía el miedo de que un fraude le pueda llegar a través de un mensaje de texto. El correo electrónico ya es más conocido por los usuarios, saben que hay spam y correos maliciosos; pero todavía no hay esa concienciación respecto a los mensajes de texto, y esos usuarios no conocen que también se pueden suplantar las identidades de las entidades a través de estos dispositivos. Por eso es lo que más están utilizando ahora.

—¿Hay algún tipo de antivirus o protección que se pueda poner en el teléfono para prevenir estos ataques?

—Un antivirus como tal no, porque en realidad lo que hacen es escribir mensajes desde distintos remitentes. Realmente no hay un mecanismo de bloqueo para este tipo de mensajes, por tanto aquí la clave es que el usuario esté concienciado, conozca los ataques que se producen contra los ciudadanos, porque es la única manera de prevenirlo. Y saber que ante cualquier duda o sospecha en un mensaje, en este caso procedente de una entidad bancaria, no debemos acceder nunca a las peticiones, no acceder nunca a esos enlaces. Y sí contrastar la información con la entidad, pero no a través de esos mensajes, sino acudiendo a una sucursal o entrando directamente en la web oficial, por los canales conocidos. Además siempre se puede consultar con Incibe, a través del teléfono gratuito 017 o escribiendo a través de Telegram o Whatsapp y trasladar las dudas en el caso de no estar seguros. En cualquier caso, siempre que tengamos una mínima duda, no hay que acceder a las peticiones de estos mensajes. La mejor prudencia ante este fraude es no actuar y contrastar la información antes de realizar ninguna acción.

—¿Qué tipo de empresas suelen sufrir más este tipo de ataques?

—Cualquier empresa es susceptible de ser suplantada. Hablamos de bancos porque están entre las más atacadas por los ciberdelincuentes, porque el impacto que hay detrás es muy elevado al acceder a datos bancarios y utilizarlo para financiarse, pero hay otras empresas que también están siendo muy suplantadas, y requieren información de usuarios, incluso de invitar a los socios a hacer transferencias bajo ciertas excusas. Y otros servicios que no podemos descartar, como redes sociales, plataformas de compraventa... Es clave que sean herramientas y sistemas muy utilizados por los usuarios, porque los ciberdelincuentes tratan de suplantar estos servicios populares. Así las probabilidades de que algunos resulten víctimas del engaño son mayores. Por eso siempre utilizan empresas muy conocidas. Ahora mismo es uno de los fraudes que los usuarios más están reportando, de los que tiene más incidencia.

tracking