Fraude del falso asesor bancario: análisis de este ataque mediante vishing
En un mundo cada vez más conectado, los ciberdelincuentes no dejan de innovar para atrapar a sus víctimas, ya sean particulares, empresas, administraciones o asociaciones.
Si bien el phishing sigue siendo el principal vector de los ciberataques, las estafas telefónicas, como el vishing, están aumentando a un ritmo alarmante.
Entre ellas, el fraude del falso asesor bancario está experimentando un crecimiento preocupante en Francia, afectando cada año a miles de víctimas.
Según el último barómetro de Cybermalveillance.gouv.fr, los casos de fraude por falsos asesores bancarios han aumentado un 78 %, lo que ilustra la magnitud del fenómeno.
La creciente exposición de los datos personales, especialmente a través de las recientes filtraciones de información, contribuye al auge de esta estafa.
En este artículo, le proponemos analizar esta amenaza, comprender sus mecanismos, analizar sus consecuencias y, sobre todo, descubrir las mejores prácticas para protegerse de ella de manera eficaz.
¿Qué es el fraude del falso asesor bancario?
Definición
El fraude del falso asesor bancario es una técnica de estafa en la que los ciberdelincuentes se hacen pasar por empleados de un banco para obtener información confidencial o desviar fondos.
Esta estafa forma parte de una categoría más amplia denominada «vishing», un término que proviene de la contracción de «voice» (voz) y «phishing». El vishing puede traducirse al español como «suplantación de identidad por voz».
El vishing consiste en utilizar llamadas telefónicas fraudulentas para manipular psicológicamente a las víctimas y animarlas a revelar datos confidenciales.
Este método aprovecha los principios de la ingeniería social, un conjunto de técnicas destinadas a influir en los comportamientos jugando con factores emocionales como el miedo, la urgencia, la confianza o la empatía.
Los métodos utilizados para el fraude del falso asesor bancario
Como hemos visto, el fraude del falso asesor bancario se basa en ataques de vishing, que pueden presentarse de varias formas, con diferentes niveles de complejidad:
1. Llamadas telefónicas directas: el estafador se pone en contacto directamente con la víctima por teléfono. Esta llamada puede realizarse a través de la red telefónica tradicional o mediante VoIP con aplicaciones como WhatsApp (Voice over IP es una tecnología que permite realizar llamadas de voz a través de Internet).
En ambos casos, la persona que llama se presenta como un asesor bancario y afirma querer resolver un problema relacionado con la cuenta de la víctima.
2. Ataque híbrido mediante correos electrónicos y/o SMS de phishing: en esta situación, la víctima recibe primero un SMS o un correo electrónico en el que se le informa de un problema en su cuenta bancaria o de un pago fraudulento inminente.
El mensaje solicita entonces que se llame urgentemente a un número de teléfono para ponerse en contacto con un supuesto asesor bancario. Por supuesto, estos mensajes imitan las comunicaciones oficiales de los bancos.
3. Entrega de una tarjeta bancaria a un mensajero: entre las técnicas de estafa más sofisticadas, algunos estafadores se encargan de sustraer físicamente la tarjeta bancaria de su víctima.
Tras haber creado un clima de confianza, alegan un problema de seguridad en la cuenta e insisten en que la víctima les facilite su código confidencial con el pretexto de realizar una verificación.
A continuación, invitan a la víctima a entregar su tarjeta a un mensajero, alegando que el banco debe recuperar la tarjeta para protegerla o destruirla. Una vez en posesión de la tarjeta y el código, los estafadores la utilizan inmediatamente para retirar dinero en efectivo o realizar compras.
4. Uso de software infostealer: estos programas maliciosos están diseñados para robar información confidencial almacenada en un dispositivo infectado. Una vez instalados (por ejemplo, a través de un enlace de phishing que redirige a una tienda de aplicaciones falsa), estos programas espían la actividad del usuario y recopilan datos (inicios de sesión, contraseñas, etc.).
Algunas aplicaciones pueden llegar muy lejos en el control del teléfono de la víctima, tal y como revelan investigadores coreanos en un estudio:
-
- Eliminación de las aplicaciones antiphishing que puedan estar presentes en el dispositivo.
- Transmisión de fotos, vídeos, grabaciones de voz, etc.
- Desvío de llamadas (para cancelar todas las llamadas a números de teléfono legítimos y desviar las llamadas a un número fraudulento).
- Visualización de una superposición (pantalla falsa) para ocultar las llamadas ilegítimas.
- Bloqueo de llamadas externas legítimas.
- Manipulación del registro de llamadas (para que se muestre el número legítimo en lugar del número fraudulento).
¿Cómo funciona el fraude del falso asesor bancario?
Paso 1: Acceso inicial
El primer paso de un fraude con un falso asesor bancario consiste, por lo tanto, en ponerse en contacto con la víctima. El objetivo del ciberdelincuente es jugar con las emociones de su víctima.
Por lo tanto, apostará por el miedo, la urgencia, la confianza y el respeto a la autoridad. Utiliza un tono tranquilizador y profesional para informar a la víctima de una supuesta actividad sospechosa en su cuenta.
Paso 2: La manipulación
Una vez establecida la conversación y la relación de confianza, el visher puede seguir manipulando a su víctima. Para reforzar su credibilidad, el estafador puede proporcionar detalles sobre la víctima, que ha obtenido a través de bases de datos pirateadas o redes sociales.
A continuación, puede solicitar información confidencial (como un código de validación recibido por SMS) o incitar a la víctima a realizar operaciones directamente.
Paso 3: La transferencia fraudulenta
El objetivo de un fraude con un falso asesor bancario es desviar dinero. Una vez en posesión de la información necesaria, el estafador puede llevar a cabo su objetivo pidiendo a la víctima:
- Sus números de tarjeta bancaria para realizar compras por Internet.
- Sus datos de acceso a su espacio bancario personal para poder transferir fondos él mismo.
- Realizar transferencias fraudulentas con un pretexto (por ejemplo, proteger el dinero de un pirateo transfiriéndolo a una nueva cuenta corriente).
Las señales de un fraude por parte de un falso asesor bancario
Comportamientos sospechosos a los que hay que prestar atención
A pesar de la profesionalización de los hackers, hay ciertos indicios que pueden delatar un intento de fraude por parte de un falso asesor bancario:
- Canales de comunicación inusuales: algunas llamadas de vishing se realizan a través de la red telefónica tradicional, mientras que otras utilizan software de VoIP, un modo de comunicación que los bancos no utilizan.
- Correo electrónico o SMS solicitando llamar a un número: Es raro, por no decir imposible, que un banco avise a sus clientes por SMS o correo electrónico de un problema en su cuenta.
- Llamadas a horas inusuales: los estafadores suelen ponerse en contacto con sus víctimas temprano por la mañana, tarde por la noche o durante los días festivos. Una vez más, esto es un indicio de que se trata de una estafa.
- Tono urgente o amenazante: el estafador incita a la víctima a actuar rápidamente, con el pretexto de resolver un problema o oponerse a un pago. La urgencia es la clave de estos ataques. El objetivo es empujarle a actuar de forma impulsiva en lugar de tomarse un tiempo para reflexionar. Esté atento a estas señales.
- Solicitudes de información confidencial: el supuesto asesor bancario solicita identificadores, contraseñas o códigos de validación recibidos por SMS o correo electrónico. Un asesor bancario real nunca haría algo así.
Comprobaciones que deben realizarse
En caso de duda sobre la presencia de un intento de fraude por parte de un falso asesor bancario, conviene seguir estas reglas:
- Verifique el número de la persona que llama: aunque el número que aparece parezca legítimo (número ya registrado en su agenda o que muestra el nombre de una empresa conocida), puede tratarse de una suplantación de identidad (spoofing telefónico). Lo mejor es terminar la conversación y volver a llamar al número legítimo. Lo ideal es que la devolución de llamada se realice desde otro dispositivo, por si acaso el teléfono estuviera infectado con software espía.
- Haga preguntas a la persona que llama: un estafador puede saber mucho sobre usted (nombre, apellidos, teléfono, dirección, números de tarjetas bancarias, números de cuenta, etc.). Sin embargo, no dude en hacerle preguntas y ponerlo en aprietos. Seguramente acabará delatándose.
- Decir lo menos posible y no hacer nada: un banco nunca le pedirá sus datos de identificación u otra información confidencial por teléfono. Del mismo modo, nunca le pedirá que realice transacciones entre sus cuentas o a una cuenta externa. Si alguien le llama por teléfono y le pide que lo haga, se trata de un fraude por parte de un falso asesor bancario.
¿Qué hacer en caso de fraude por parte de un falso asesor bancario?
Los pasos esenciales
Si ha sido víctima de un fraude por parte de un falso asesor bancario, es fundamental actuar sin demora para proteger sus finanzas y evitar que otras personas sean víctimas. Estas son las primeras medidas que debe tomar:
- Póngase en contacto inmediatamente con su banco para denunciar el fraude y proteger sus cuentas bancarias y sus medios de pago.
- Presente una denuncia ante la policía, la gendarmería o el fiscal.
- En caso de fraude con tarjeta bancaria, denúncielo en la plataforma Perceval del Ministerio del Interior, diseñada para luchar contra este tipo de estafas.
- Visite el sitio web 17Cyber para obtener ayuda con sus trámites y consejos sobre ciberseguridad.
Refuerza tu seguridad y avisa a tus allegados
Además de los trámites oficiales, informar a los allegados es un paso clave. Los estafadores suelen centrarse en las personas mayores, pero los adultos jóvenes también son vulnerables, aunque pueda parecer paradójico, como indica un estudio reciente. Informar a los allegados permite evitar que se conviertan en las próximas víctimas.
En un entorno profesional, avise inmediatamente a su servicio de seguridad de sistemas de información y a sus compañeros de trabajo para evitar que el ataque se propague.
Por último, para evitar cualquier intento de intrusión en el futuro:
- Cambie todas sus contraseñas para proteger sus accesos digitales.
- Reinicie su teléfono móvil para eliminar cualquier posible software espía.
¿Cómo protegerse del fraude de los falsos asesores bancarios?
Mantener la discreción en las redes sociales
Un ciberdelincuente no puede poner en práctica una estrategia de ingeniería social sin disponer de información sobre usted. Por lo tanto, es importante limitar su huella digital, es decir, su superficie de ataque.
No publique nada personal en las redes sociales, incluidas las redes sociales profesionales, que suelen ser una mina de oro para las personas malintencionadas.
Ya en 2012, el investigador Michal Kosinski y sus colegas de las universidades de Cambridge y Stanford demostraron que un algoritmo de aprendizaje automático puede determinar con precisión los rasgos de personalidad de un individuo analizando sus reacciones en Facebook.
Entonces, ¿qué decir de un CV con todos tus datos de contacto e información personal disponibles públicamente en LinkedIn?
Si desea publicar en las redes sociales, es mejor limitar la audiencia a personas de confianza.
Por otra parte, mantenga el contacto solo con personas que conozca realmente y sea prudente cuando un desconocido intente unirse a su red.
Protegerse lo máximo posible contra las fugas de datos
Los usuarios no son responsables de la seguridad de las empresas a las que confían su información. No obstante, es responsabilidad de todos estar atentos.
Esto implica registrarse únicamente en sitios web fiables que traten los datos de conformidad con la ley y, en particular, con el RGPD.
Esto también implica no proporcionar más información de la necesaria y, por ejemplo, no rellenar los campos que no sean obligatorios.
Para suscribirse a un boletín informativo, no se le debería pedir, por ejemplo, su fecha de nacimiento o su dirección postal.
Conclusión
El fraude del falso asesor bancario constituye una amenaza creciente, agravada por la proliferación de fugas de datos en la dark web, donde circulan información confidencial, como IBAN y otros datos personales de los usuarios.
Aunque existen soluciones técnicas para filtrar las llamadas y los SMS fraudulentos, estas no son infalibles. Los ciberdelincuentes a veces logran eludirlas utilizando técnicas avanzadas, como la instalación de software espía en los dispositivos objetivo.
Ante esta amenaza, la mejor defensa sigue siendo el ser humano. Desarrollar un espíritu crítico ante las comunicaciones sospechosas y aprender a identificar las señales de alerta son habilidades esenciales para limitar los riesgos.
Por lo tanto, la sensibilización es una herramienta clave, tanto en el ámbito familiar, donde es fundamental hablar con los seres queridos sobre estas prácticas fraudulentas, como en el ámbito profesional, donde es indispensable evaluar la resistencia de los equipos frente a los intentos de vishing.
En este sentido, las simulaciones de vishing, como las que ofrece Hucency, permiten poner a prueba en condiciones reales la capacidad de los empleados para detectar un ataque.
Estas simulaciones van seguidas de un informe detallado que ofrece recomendaciones personalizadas para reforzar los procedimientos internos y optimizar la estrategia de defensa contra estos sofisticados fraudes.
Póngase en contacto con nosotros para descubrir si su organización está preparada para hacer frente a un ataque de vishing.
