Ataques smishing y vishing
Tribuna de Javier López, socio de ECIJA, para Revista Byte.
No es una novedad que periódicamente nos enfrentemos a acciones coordinadas de ciberdelincuentes en las que se lanzan remesas de mails con de imágenes de marcas o emblemas distintivos de bancos, empresas, organismos, etc., para recabar fraudulentamente datos de los destinatarios. En muchas ocasiones, las victimas de estas actuaciones son personas con escasos conocimientos tecnológicos y/o en una situación de necesidad que les invita a creer en lo que han recibido, a pesar de los recelos que pudiera generarles.
Esta situación de necesidad se ha agudizado con la pandemia para algunas personas, por ejemplo, al verse obligadas a conseguir productos de primera necesidad a través de internet durante el confinamiento, sin que nunca lo hubieran hecho antes, lo que motivó que se hayan producido muchos abusos y estafas. Y es que el coronavirus ha creado una situación propicia para que se multipliquen estos ataques, habiéndose detectado últimamente mensajes que aseguran contener notificaciones de la Seguridad Social con motivo de los ERTES, sobre el turno de vacunación, supuestos sorteos y premios de Amazon, alquileres vacacionales, o relacionados la campaña del IRPF que se encuentra en curso.
Para realizar estos delitos, los ciberdelicuentes registran dominios similares a los verdaderos (cybersquatting) para alojar una página web parecida a la real (web spoofing) y envían mails masivos para que las víctimas accedan a un link que les dirija a la web fraudulenta (phishing) o, incluso, sin necesidad de pulsar el enlace (pharming). Muchas veces estos mails se quedan en la carpeta de spam, pero, en ocasiones, logran colarse en la bandeja de entrada, con lo que su potencial malicioso es mucho mayor al tener apariencia de veracidad.
Pero estos ataques maliciosos no se realizan únicamente por mail, sino que también se difunden por sistemas de mensajería instantánea (WhatsApp, Line, etc.) y mensajes SMS a teléfonos móviles (“smishing”), mediante el envío de mensajes de texto que invitan al destinatario a visitar una página web falsa arguyendo una causa urgente (bloqueo de una tarjeta bancaria, información sobre la devolución de la declaración de la renta, comunicación de situación del ERTE, haber resultado premiado en una promoción, etc.) y solicitando datos y contraseñas del usuario y, en ocasiones, también contienen virus para infectar el dispositivo móvil.
Otra modalidad es el uso de llamadas telefónicas de personas supuestamente pertenecientes a un banco, entidad, etc. (“vishing” o “voice phishing”) en las que, con excusas similares a las comentadas, explican a las víctimas la necesidad de que faciliten sus datos personales y claves para que les puedan proporcionar la información. Es usual en este tipo de llamadas que comiencen preguntando a la víctima si es el titular del número de teléfono que le recitan, pues en realidad es el único dato que conocen, para, a partir de ahí solicitarle el nombre, número de documento de identidad, número de tarjeta o de cuenta bancaria y toda la información que sean capaces de sacarle a la víctima.