No es tu prima, es un estafador y quiere vaciar tu cuenta corriente: así funciona el ‘vishing’

Suena el teléfono y se escucha la voz de un familiar angustiado pidiendo dinero de forma urgente. La voz cuenta con todos los tintes dramáticos que apremian al receptor de la llamada y la urgencia puede provocar que se tomen decisiones precipitadas. En realidad, no estamos ante una situación de emergencia real, sino a una nueva estafa muy difícil de detectar, conocida como vishing. “La inteligencia artificial ha abierto un abanico de posibilidades a los ciberdelincuentes, con nuevas herramientas a su disposición para dar más credibilidad a sus fraudes y estafas”, alertan a EL PAÍS desde el Instituto Nacional de Ciberseguridad (INCIBE), por este motivo, este organismo recomienda “mantenernos siempre alerta y usar el sentido común antes de seguir acciones que puedan acabar con algún tipo de perjuicio”.

Pero… ¿Qué es el vishing exactamente? Se trata de una sofisticada estafa por la que los ciberatacantes emplean sistemas basados en inteligencia artificial para emular la voz de un familiar y solicitar a la víctima sumas de dinero. Este complejo sistema emplea bots que llaman al azar al entorno de la víctima y graban su voz. Luego, y gracias a la inteligencia artificial, generan una voz muy parecida al familiar que ha recibido esa llamada fantasma y comienza el drama. La primera señal de alerta, en este sentido, debe ser recibir llamadas en las que no se oye nada al otro lado de la línea.

Las misteriosas llamadas mudas

El término “vishing” es una combinación de “voice” (voz en inglés) y “phishing”. Al igual que el phishing, el vishing tiene como objetivo engañar a sus víctimas para que revelen información personal, bancaria o directamente, solicitar dinero con el falso pretexto de tratarse de un ser querido en situación de emergencia. Básicamente, se trata de la estafa del hijo en apuros que tantos estragos ha causado, pero mejorada gracias a la tecnología: en este caso, no se trata de un mensaje de texto, sino de la voz del propio hijo, padre o primo, pidiendo dinero de forma desesperada. Este realismo es lo que hace que el vishing sea especialmente peligroso y difícil de detectar.

“Las locuciones son generadas con inteligencia artificial a partir de un pequeño fragmento de audio con la voz de la víctima”, explican desde INCIBE; este audio “ha podido ser sustraído de llamadas telefónicas previas que haya recibido e identificado como sospechosas (llamadas en las que se escucha un pitido, no se escucha nada o se piden datos personales)”.

Cómo opera esta estafa

El vishing sigue, por lo general, una serie de procesos cuidadosamente planificados:

• Recopilación de información: los estafadores recopilan información sobre la víctima a través de redes sociales, bases de datos públicas o incluso comprando los mismos en la red oscura. “Esta información podría provenir en su mayoría de robos de cuentas de WhatsApp en las que se puede identificar relaciones personales a través de las descripciones de los contactos”, según apunta INCIBE, “pero también podría ser de robos de cuentas de redes sociales, de información pública en perfiles de redes sociales donde aparezcan de forma visible los teléfonos”. Según este organismo, en esta fase, los hackers buscarán nombres de familiares o de los compañeros de trabajo y otros detalles personales que posteriormente resultarán determinantes para la ejecución de la estafa.
• Empleo de Inteligencia Artificial: Con esta información en su poder, los ciberdelincuentes emplean sofisticados sistemas de síntesis de voz y deepfakes para crear grabaciones que imiten la voz de una persona conocida por la víctima. Estas tecnologías han avanzado hasta el punto de que pueden replicar entonaciones, acentos y patrones de habla específicos, logrando que la voz sea prácticamente idéntica a la del familiar de la víctima.

1. La llamada trampa: La víctima recibe una llamada de un número que puede parecer, a priori, legítimo, pero es al responder y escuchar la voz de un ser querido o un amigo en una aparente situación de urgencia, cuando la verdadera amenaza se cierne sobre la víctima. Esta voz le solicita con angustia el envío de dinero o el número de la tarjeta de crédito para solucionar el aparente embrollo en el que se encuentran.
2. Manipulación psicológica: La llamada suele estar cargada de elementos emocionales para aumentar la presión sobre la víctima. Pueden afirmar que están en peligro, que necesitan ayuda urgente o que hay una emergencia familiar y que se debe dar respuesta de forma inmediata.

Cómo protegerse de esta nueva amenaza

Según afirma el Instituto Nacional de Ciberseguridad (INCIBE), en el servicio Tu Ayuda del organismo, se recibieron en 2023 “cerca de 81.000 consultas, en las que 3 de cada 10 correspondían con fraudes relacionados con la ingeniería social a través de correos electrónicos (phishing), llamadas (vishing) o mensaje (smishing)”. ¿Qué hacer para protegerse ante esta peligrosa amenaza? La primera medida debe ser aplicar el sentido común y una necesaria suspicacia: ante cualquier llamada sospechosa, se debe siempre contrastar la información directamente con la persona que nos dice estar llamando, poniéndonos nosotros en contacto de forma directa a través de medios conocidos.

La otra máxima es habitual en otras estafas en la red: nunca se deben facilitar datos personales ni bancarios, ni tampoco hacer clic en enlaces que nos lleguen ni descargar aplicaciones. En el caso de confirmarse que se ha sido objeto de este ciberataque, se debe avisar al resto de contactos de lo sucedido para que estén alerta y no caigan en la trampa por si reciben alguna llamada similar. Por descontado, “bloquear el número de teléfono desde el que se recibió la llamada fraudulenta y utilizar las herramientas de colaboración ciudadana para informar a las autoridades sobre dicho número”.

Asimismo, hay que desconfiar de llamadas inesperadas: si no se reconoce el número y en la llamada se solicita información personal o financiera, lo mejor es colgar y volver a llamar a esa persona al número registrado en su agenda. Es muy importante también no facilitar nunca por teléfono información confidencial como contraseñas o datos de la cuenta corriente o tarjeta, a menos que se esté completamente seguro de la identidad del llamante. En este sentido, las entidades financieras no se cansan en insistir en que nunca solicitan por email o SMS a sus clientes claves ni información personal.

En definitiva, el vishing se ha convertido en una seria amenaza, puesto que, a diferencia de otros ciberataques, en este caso se emplea una emulación muy fidedigna de la voz de un familiar. Se trata de un ataque en el que la velocidad de reacción de la víctima es determinante para atajar sus consecuencias. Las máximas deben ser, no responder a números ocultos (y si se hace, colgar ante el primer detalle sospechoso) y jamás interactuar si se tiene algún resquicio de dudas. Si se trata de un aparente familiar en apuros, mantener la calma y efectuar una llamada de comprobación desde otro teléfono para confirmar su veracidad.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.