Te llama tu banco, pero no es tu banco: el vishing o la estafa de la suplantación de la identidad telefónica

Te llama tu banco para avisarte de que alguien ha accedido a tu cuenta. Te ofrecen detalles de tus datos bancarios y te explican que tus ahorros están en peligro. Te dan dos opciones: puedes acercarte a una oficina o seguir los pasos por teléfono para transferir tu dinero a una cuenta segura hasta que se resuelva la incidencia.

En ese momento, desconfías. “¿Cómo puedo saber que no es una estafa?”, preguntas. “Puedes colgarme e ir a una oficina o puedes buscar en internet el teléfono desde el que te llamo”, te responden. Lo compruebas en Google y, efectivamente, el número corresponde a una oficina de tu banco. Confías y eliges seguir los pasos por teléfono. Te llega un SMS desde un teléfono que también pertenece a tu banco. Aparece tu número de cuenta y un código de seguridad que, según te dicen, debes facilitar. Lo haces y, en unos minutos, te han vaciado la cuenta.

Este es el testimonio viral que ha compartido un cliente del banco ING en X (antes Twitter) y corresponde a un caso de suplantación de la identidad por teléfono. El llamado vishing es un tipo de estafa en la que un ciberdelincuente te llama haciéndose pasar por tu banco, tu distribuidora del gas, del agua o de la luz, una institución pública, un servicio de atención al cliente o cualquier entidad o persona de confianza con el objetivo de que le facilites información personal o bancaria. En este caso, además, también habían suplantado la identidad telefónica para que en la pantalla del móvil apareciese un número asociado a la entidad financiera de la víctima y que, así, no sospechara. ¿Cómo es posible? ¡Te lo explicamos!

Cuando el número que aparece en la pantalla de tu móvil no es el que te llama

“Los ciberdelincuentes cada vez emplean técnicas más sofisticadas. No solo se hacen pasar por quienes no son, sino que también imitan y suplantan los canales habituales de contacto de los bancos”, explica el Banco de España en un comunicado. Hasta ahora, una forma de identificar si un SMS o una llamada procedía realmente de tu banco (o de cualquier otra entidad de confianza) era comprobar si el número correspondía efectivamente a tu banco.

Sin embargo, esto ha cambiado. Actualmente, es posible que un SMS procedente de un número fraudulento aparezca en el mismo hilo donde anteriormente habías recibido mensajes reales de tu banco o que el número que aparezca en la pantalla de tu móvil cuando recibes una llamada no sea el del teléfono desde el que se está realizando la llamada en realidad.

Estas técnicas de suplantación se conocen como SMS spoofing o caller ID spoofing. Según describe el Banco de España, el SMS spoofing se realiza “mediante diversas páginas web y aplicaciones móviles que permiten enviar SMS desde una fuente desconocida suplantando una identidad conocida con relativa facilidad”, un método similar al que se utiliza en el caso de la suplantación de la identidad telefónica.

Nunca facilites información confidencial cuando recibas una llamada

Por eso, “si recibimos alguna llamada telefónica de nuestro banco u otro servicio de confianza, debemos saber que ellos ya disponen de toda la información que necesitan para realizar estos trámites”, explica el Instituto Nacional de Ciberseguridad (INCIBE). Desde bancos como el ING advierten que la mejor solución es la prevención, es decir, no facilitar nunca información personal ni bancaria cuando recibes una llamada de teléfono, especialmente las claves que te lleguen por SMS. El Banco de España remarca que “desde la entidad nunca te pedirán que les facilites tus contraseñas o claves completas”.

Aunque el número que aparezca en la pantalla de tu móvil sea el de tu banco, la llamada puede proceder de otro teléfono. Por tanto, para asegurarnos de que estamos hablando con nuestra entidad y confirmar si se está producido una incidencia de cualquier tipo, cuelga y ponte en contacto con tu banco a través de sus canales oficiales de atención al cliente. “Por otra parte, si la llamada es para que te pongas en contacto con otro número de teléfono, no llames a ese número”, avisan desde ING.

En caso de haber sido víctima de este tipo de estafa, contacta lo antes posible con tu entidad y denuncia lo ocurrido ante los cuerpos policiales, “recopilando todas las evidencias y pruebas de las que dispongas (conversaciones, mensajes, correos electrónicos, números de contacto, etc.)”, indica el INCIBE, el cual cuenta con un teléfono de atención gratuita para consultas sobre ciberseguridad (017).

Vishing: un modus operandi en dos pasos

El modus operandi de la suplantación de la identidad por teléfono o vishing se divide en dos pasos, según describe el INCIBE. En primer lugar, los ciberdelincuentes obtienen información confidencial sobre su víctima: su nombre y sus apellidos, su correo, su dirección, parte de sus datos bancarios o de su tarjeta de crédito, etc. ¿Cómo? Mediante otros ataques, como el phishing o el smishing. Es decir, correos o SMS que aparentemente nos envía nuestro banco o cualquier otra fuente de confianza para pedirnos una serie de datos personales o bancarios, pero que en realidad han sido enviados por un ciberdelincuente con el objetivo de robar dicha información.

Una vez obtienen la información que necesitan para hacerse pasar por tu banco o cualquier otro servicio del que seas cliente, te llaman con el objetivo de obtener más datos, conseguir que instales algún virus en tu móvil u ordenador o convencerte para que realices algún tipo de pago o transferencia. Los motivos o excusas que esgrimen en este tipo de llamadas son varios: “hemos detectado actividad sospechosa en su cuenta bancaria y necesitamos información para proteger su dinero”, “ha ganado un sorteo, pero necesitamos sus datos bancarios para proceder al ingreso”, “se ha producido un problema con su tarjeta de crédito y necesitamos que siga una serie de pasos para evitar cargos no autorizados”, etc.

En cualquier caso, todas las llamadas suelen tener características similares como, por ejemplo, el sentimiento de urgencia, es decir, “afirman que hay problemas o se ha identificado actividad sospechosa para que la víctima actúe rápidamente sin pensar con claridad”, detalla el INCIBE. Durante la llamada, además, solicitarán datos personales o información confidencial como tarjetas de crédito, contraseñas o claves de acceso y amenazarán con el posible bloqueo de las cuentas bancarias, sanciones o multas.