'Voice phishing': los ciberdelincuentes se pasan al teléfono

La ingeniería social ha saltado del correo electrónico a la VoIP para ofrecer apariencia de legitimidad y desarmar las sospechas del usuario

Aunque el número de estafas reportado por el Anti-phising Work Group demuestra que se está lejos de controlar el problema, los usuarios habituales del correo electrónico han aprendido rápidamente a desconfiar de los mails trampa, gracias principalmente a las campañas de advertencia de sus gobiernos, oficinas y de sus propios bancos. Todas las entidades han advertido que no se deben ofrecer datos personales en ninguna página web de la que no se esté totalmente seguro. Pero ¿Y por teléfono?

La técnica del phishing es más que conocida por los usuarios de la Red: llega un e-mail de su banco online solicitando al cliente que, por motivos de seguridad o mantenimiento, confirme sus datos en una página web: nombre, DNI, domicilio, tipo y número de cuenta, etc. Dicha web no pertenece, por supuesto, a una verdadera entidad bancaria, sino que es una copia del original creada para 'pescar' datos bancarios y despellejar a los confiados dueños.

¿Qué es el 'voice phishing'?

El 'voice phishing' es un derivado inteligente del phishing porque, en lugar de ofrecer un enlace para que el usuario pinche, da un número de teléfono. Este detalle desactiva las defensas del usuario, que recibe una falsa impresión de seguridad y dispara la urgencia de su respuesta. Además, un usuario de banca online conoce muy bien la url de su banco, pero no su número, que puede ser de la central o de cualquiera de sus oficinas.

Lo habitual es que el usuario llame sin comprobar la veracidad del número por falta de recursos: algunos bancos online han cambiado sus números de atención al cliente por un número 900 general para resolver el mayor número de trámites por e-mail.

Cuando el cliente llama al número facilitado, se encuentra con contestador que solicita su número de cuenta. Los estafadores utilizan VoIP (Voz sobre IP) para construir la centralita similar a la del banco en cuestión, aunque puede ser muy genérica. En uno de los casos más notables de los últimos meses, un ataque a los clientes de Santa Barbara Bank & Trust, la policía notó que el mensaje no mencionaba en ningún momento el banco de Santa Bárbara, señal de que la misma central fraudulenta estaba siendo utilizada para estafar a más de una firma.

Los objetivos más populares entre los estafadores son los usuarios de servicios online que implican transacciones económicas como Paypal. Los últimos ataques a Paypal han demostrado ser mucho más sofisticados: el sistema de estafa trata de verificar que los datos requeridos son correctos y lanza un aviso de error si el cliente comete un error, evitando datos inútiles y reforzando la impresión de ser un servicio legítimo.

Al final del día, la única receta para estar a salvo de un fraude es no dar los datos a nadie. Cualquier desconocido que, en nombre de cualquiera, solicita información confidencial debe ser tratado con cautela y sus referencias comprobadas varias veces.

Un