Recientemente, en TikTok se ha hecho viral una broma en la que la gente llama a sus amigos usando una voz similar a la del contestador automático para decirles que una gran cantidad de dinero está a punto de ser extraída de su cuenta. Los expertos de Kaspersky advierten de que esta tendencia es un plan de fraude real llamado vishing, y es utilizado habitualmente por ciberdelincuentes.
De hecho, los analistas de Kaspersky detectaron un aumento en el número de correos electrónicos de vishing (casi 100.000 en total). Asimismo, recopilaron aproximadamente 350.000 emails de vishing entre marzo y junio de 2022. Por ello, los expertos explican cómo funciona esta estafa y cómo evitar caer en ella.
El vishing (abreviatura de ‘voice phishing’) es una práctica fraudulenta que consiste en convencer a las víctimas para que llamen a los ciberdelincuentes y revelen información personal y datos bancarios por teléfono. Como la mayoría de los esquemas de phishing, comienza con un correo electrónico inusual de una gran tienda online o un sistema de pago. Por ejemplo, puede ser un email en el que los cibercriminales se hacen pasar por PayPal, advirtiendo al usuario de que acaban de recibir una solicitud para retirar una gran cantidad de dinero de su cuenta.
Notificación falsa de PayPal sobre una compra de una gran cantidad de dinero
Sin embargo, vishing y phishing se diferencian en un aspecto: mientras que los correos electrónicos de phishing solicitan a la víctima que siga un enlace para cancelar el pedido, los de vishing piden que llamen urgentemente al número de atención al cliente proporcionado en el email. Los expertos de Kaspersky subrayan que este método es escogido intencionadamente por los ciberdelincuentes porque, en el caso del phishing, la víctima tiene tiempo para pensar en sus acciones o notar los signos de que la página es falsa. Sin embargo, cuando las víctimas hablan por teléfono, suelen estar distraídas y resulta más fácil que caigan en el engaño. En estas circunstancias, los atacantes hacen todo lo posible para desconcentrarlas aún más: apresurándolas, intimidándolas y exigiéndoles que proporcionen con urgencia los datos de su tarjeta de crédito para cancelar la supuesta transacción fraudulenta. Tras obtener los datos de la cuenta bancaria de la víctima, los ciberdelincuentes utilizan la información para robar su dinero.
En los últimos cuatro meses (de marzo a junio de 2022) han detectado casi 350.000 correos electrónicos de vishing, en los que se pide a las víctimas que llamen para cancelar una transacción. En junio, el número de este tipo de correos electrónicos aumentó, alcanzando casi 100.000, lo que lleva a los analistas de Kaspersky a predecir que esta tendencia no hace más que ganar impulso y es probable que siga creciendo.
Número de correos electrónicos detectados con vishing, marzo – junio de 2022
Curiosamente, los TikTokers repiten activamente uno de los esquemas de vishing, con la única diferencia de que no envían un correo electrónico fraudulento por adelantado ni roban nada a sus víctimas: su objetivo es el espectáculo, no el dinero. La llamada se realiza a través de un contestador automático, cuya voz se genera con un traductor online. La mayoría de las veces, los bromistas se presentan como representantes del departamento de atención al cliente de una gran tienda online, afirmando que acaban de recibir un pedido de la víctima por varios miles de eurosy pidiendo su confirmación. No importa cómo responda la víctima, lo siguiente que dice el contestador es: «Gracias, su pedido ha sido confirmado». La gente cree que el contestador automático les ha escuchado mal y que el dinero va a ser retirado de su cuenta inmediatamente, por lo que entran en pánico, gritan y no se dan cuenta de que les están gastando una broma.
Cuando se convence a las personas para que revelen sus datos personales durante una llamada telefónica y no a través de una página de phishing, a menudo no se les da la oportunidad de considerar que son objeto de engaño, y los vídeos de TikTok con esta broma son un claro ejemplo de ello.
«Es frecuente encontrar vídeos en TikTok de blogueros que gastan bromas a otras personas llamándolas y diciéndoles que su cuenta está a punto de recibir un cargo de miles de euros. Las víctimas se lo creen y pierden los nervios. Cuando ves estos vídeos en tu teléfono, sueles pensar: ‘¿Cómo puede alguien caer en una cosa así?’. Pero lo cierto es que cuando alguien se encuentra con llamadas de estafa en la vida real, suele pillarle desprevenido y no puede evaluar con claridad quién está al otro lado de la llamada: un bromista, un estafador o un verdadero especialista en seguridad bancaria«, explica Roman Dedenok, experto en seguridad de Kaspersky.
Cómo protegerse del vishing
- Comprobar la dirección del remitente. La mayoría de los correos electrónicos de spam provienen de direcciones que no tienen sentido, por ejemplo, amazondeals@tX94002222aitx2.com. Si pasas el ratón por encima del nombre del remitente, que puede estar mal escrito, podrás ver la dirección de correo electrónico completa. Si no estás seguro de si una dirección de correo electrónico es legítima o no, puedes introducirla en un motor de búsqueda para comprobarlo.
- Considerar el tipo de información solicitada. Las empresas legítimas no se ponen en contacto con los usuarios a través de correos electrónicos para solicitar información personal, como datos bancarios o de tarjetas de crédito, número de la Seguridad Social u otros datos sensibles. En general, los mensajes no solicitados en los que se le pide que «verifique los datos de su cuenta» o «actualice la información de su cuenta» deben tratarse con precaución.
- Desconfiar si el mensaje crea una sensación de urgencia. Los remitentes de spam a menudo tratan de ejercer presión utilizando esta táctica. Por ejemplo, el asunto puede contener palabras como «urgente» o «se requiere una acción inmediata» para presionar a actuar.
- Comprobar la gramática y la ortografía es una forma eficaz de identificar a un estafador. Los errores tipográficos y la mala gramática son señales de alarma. También lo son las frases extrañas o la sintaxis inusual, que pueden ser el resultado de que el correo electrónico haya sido traducido varias veces.
- Instalar una solución de seguridad de confianza y seguir sus recomendaciones. Las soluciones de seguridad disponibles en el mercado resolverán la mayoría de los problemas de forma automática y te alertará si es necesario.