La unión de dos palabras en inglés, voice y ‘phising’, da como resultado la denominación de este ciberdelito en el que el atacante ofrece a la víctima un número de teléfono al que comunicarse en vez de un enlace a través del correo electrónico, como ocurre en el caso del ‘pishing’.
Pero como primer paso, el ciberdelincuente habrá robado información confidencial a través de un correo electrónico o web fraudulenta (‘phishing’), que necesita completar con otras claves necesarias para realizar y validar una operación.
Los delincuentes marcan de forma aleatoria algunos números de teléfono hasta que alguien contesta al otro lado de la línea. Para parecer que la llamada procede de una entidad financiera, hacen uso de una Voz IP o voz automatizada que resulta creíble porque es muy similar a las utilizadas por los bancos.
Al interlocutor se le informa, por ejemplo, de que su tarjeta de crédito está siendo utilizada fraudulentamente, de que es preciso actualizar la información personal, resolver un problema con una cuenta, o cualquier otro engaño similar.
Para resolver todas estas cuestiones, se facilita un número de teléfono específico al que llamar.
Es muy habitual que el usuario se ponga en contacto con su supuesta entidad financiera a través de este falso número de teléfono ya que, según se ha demostrado, los clientes recuerdan con mayor facilidad las páginas web de sus bancos pero no los teléfonos.
De ahí que no sospechen que están siendo víctimas de un delito.
Cuando se realiza esta llamada al teléfono que indican, lo que se escucha al otro lado es una grabación idéntica a la de cualquier servicio telefónico de atención al cliente.
Lo que solicita esta voz grabada es el número de cuenta, de tarjetas de crédito, su fecha de expiración, claves o nombre de usuarios. Esta información es más que suficiente para completar el fraude. A partir de ese momento, el ciberdelincuente puede robar la identidad de su víctima, así como llevar a cabo compras y operaciones fraudulentas por vía telefónica o internet.
Como medida para evitar ser víctima de este ciberdelito, lo más sencillo es no ofrecer información personal sin comprobar las verdaderas identidades.
Y, por supuesto, llamar a los teléfonos oficiales de las entidades financieras y no a otros que sean comunicados en una llamada o como mensaje de texto.
De hecho, ya hace tiempo que los bancos, en sus comunicaciones con los clientes, insisten en que su servicio de atención al cliente no pedirá ningún dato de identificación por vía telefónica.
Variante por Whatsapp
Aprovechando el uso masivo de mensajería a través de aplicaciones como el Whatsapp, los ciberdelincuentes en vez de realizar llamadas de voz también envían mensajes de texto en los que se hace pasar también por el banco.
Esta modalidad se denomina ‘smishing’.
En ese mensaje fraudulento informan al cliente de que se ha realizado una compra sospechosa con su tarjeta de crédito y solicitan que se comunique con el banco a través del número de teléfono falso que le facilitan.
Si el cliente devuelve la llamada, el modus operandi ya es el mismo que en el ‘vishing’, es decir, el ciberdelincuente solicitará información confidencial del cliente para supuestamente cancelar la compra.
