Geek

‘Phishing’, ‘vishing’, ‘smishing’ y quishing’: ¿Qué son y cómo protegerse de estas amenazas?

Aldea84
Aldea84

En tiempos donde usar el celular, escanear códigos QR y pagar con billeteras digitales es cosa de todos los días, es importante conocer y estar alertas sobre los distintos tipos de amenazas cibernéticas. El ‘phishing’, ‘vishing’, ‘smishing’ y ‘quishing’ son algunos los fraudes electrónicos que utilizan los ciberdelicuentes para robar datos privados. Mediante información y prevención se pueden evitar.

‘Phishing’

Probablemente sea el método más utilizado por los ciberdelincuentes. Consiste en el envío de correos electrónicos fraudulentos que dirigen a los clientes a páginas ‘web’ falsas que aparentan ser de la entidad bancaria. Esta modalidad también puede presentarse en Facebook e Instagram con ‘fan page’ falsas que postean contenido fraudulento y solicitan información confidencial de los usuarios.

En el ‘phishing’ el anzuelo más común que utilizan los ciberdelincuentes es falsificar campañas de actualización de datos o registros para sorteos que supuestamente está llevando a cabo el banco. En las ‘webs’ fraudulentas se solicitan datos como las credenciales digitales de los usuarios, los números de la tarjeta de crédito, la clave bancaria, el CVV dinámico, la fecha de vencimiento de la tarjeta, entre otros. A través de estos, los delincuentes podrían realizar compras online a espaldas del cliente.

La primera forma de prevenir el ‘phishing’ parte del sentido común y es no brindar información confidencial. Si uno ya es cliente del banco, la entidad financiera ya maneja con seguridad estos datos, por lo que nunca enviará un correo solicitándolos. Correos con asuntos como ‘has ganado un premio’, ‘desbloquea tu cuenta’ o ‘actualiza tus datos’ no son enviados por ninguna entidad financiera legítima.

¿Cómo saber si un correo electrónico del banco es fraudulento?
En el ‘phishing’ el anzuelo más común que utilizan los ciberdelincuentes es falsificar campañas de actualización de datos o registros para sorteos.

‘Vishing’

El término deriva de la unión de dos palabras: ‘voice’ y ‘phishing’ y se refiere al tipo de amenaza que combina una llamada telefónica fraudulenta con información previamente obtenida desde internet.

Este método consta de dos pasos.

  • Primero, el ciberdelincuente tiene que haber robado información confidencial a través de un correo electrónico o web fraudulenta (‘phishing’), pero necesita la clave SMS o token digital para realizar y validar una operación.
  • Es en este momento en que se produce el segundo paso: el ciberdelincuente llama por teléfono al cliente identificándose como personal del banco y, con mensajes particularmente alarmistas, intenta de que el cliente revele el número de su clave SMS o token digital, que son los necesarios para autorizar transacciones.

El ejemplo más común es que, luego de obtener los datos del cliente a través del ‘phishing’, el ciberdelincuente contacte telefónicamente al usuario diciéndole que se ha detectado una actividad sospechosa en su cuenta y que puede perder todo su dinero, por lo que para evitarlo necesita que el cliente le brinda su clave SMS, token digital o lo convence de transferir de inmediato sus fondos a una supuesta “cuenta de seguridad o resguardo” del propio banco.

En estas circunstancias, un cliente jamás debe revelar ese tipo de datos a nadie, ni realizar transferencias a otras cuentas bajo presión telefónica. Estas suelen ser la llave para autorizar las transacciones. El cliente debe colgar de inmediato y ponerse en contacto con el banco para denunciar lo sucedido. El banco nunca se contactará por ninguna vía para solicitar información sensible y confidencial sobre clave y contraseñas.

El ‘vishing’  combina una llamada telefónica fraudulenta con información previamente obtenida desde internet.

‘Smishing’

Así como las llamadas telefónicas son una vía para tratar de engañar a los clientes, también lo son los mensajes de texto o mensajes por WhatsApp y de ahí deriva la modalidad conocida como ‘smishing’.

Esta amenaza se produce cuando el cliente recibe un mensaje de texto, donde el emisor se hace pasar por el banco, y le informan que se ha realizado una compra sospechosa con su tarjeta de crédito, una transferencia no autorizada o que su banca móvil ha sido bloqueada por seguridad.

El texto solicita que se comunique con la banca por teléfono de la entidad financiera y le brinda un número falso. El cliente devuelve la llamada y es ahí cuando el ciberdelincuente, haciéndose pasar por el banco, solicita información confidencial para supuestamente cancelar la compra.

Una variante de esta modalidad es a través de WhatsApp, en la que se usan cuentas supuestamente reales de bancos (con suplantación del logo de la entidad) e incluye un mensaje en el que te comparten un enlace a una ‘web’ fraudulenta para solicitar información sensible.

Prevención del ‘smishing’

La solución para el ‘smishing’ es no hacer caso a los mensajes que solicitan realizar una llamada, una operación, o brindar datos. Es fundamental recordar que los bancos nunca envían enlaces (links) directos por SMS o WhatsApp para que inicies sesión, actualices tus datos o desbloquees tus tarjetas.

El ‘smishing’ se produce cuando el cliente recibe un mensaje de texto en el que el emisor se hace pasar por el banco.

‘Quishing’

El término deriva de las palabras ‘QR code’ y ‘phishing’, y consiste en el uso de códigos QR maliciosos para redirigir a los clientes a páginas ‘web’ falsas que imitan a la entidad bancaria. Esta modalidad se presenta de forma digital a través de correos electrónicos o mensajes de texto fraudulentos, pero también de manera física en comercios mediante ‘stickers’ falsos pegados sobre los códigos QR legítimos de pago o billeteras digitales.

En el ‘quishing’ el truco más común es generar urgencia alertando sobre un supuesto bloqueo de la banca móvil o la necesidad de validar de forma obligatoria el Token Digital. El peligro real ocurre al ingresar al enlace que genera el escaneo, ya que dirige a un sitio fraudulento donde se solicitan datos confidenciales para realizar transacciones no autorizadas.

Es importante recordar que el banco nunca enviará un código QR por correo o SMS para solicitar inicios de sesión o desbloqueos. Además, vale precisar que escanear el código no representa un riesgo, el problema real es ingresar al enlace e introducir información confidencial. En comercios físicos, se debe revisar que el código impreso no esté alterado y verificar siempre que la dirección ‘web’ o el nombre del beneficiario correspondan exactamente a la entidad oficial antes de interactuar con el link.

En un entorno cada vez más digital, la mejor herramienta frente al ‘phishing’, ‘vishing’, ‘smishing’ y ‘quishing’ es la prevención. Los ciberdelincuentes aprovechan el miedo, la urgencia y la confianza de los usuarios para obtener información confidencial, por lo que es fundamental mantenerse alerta y verificar siempre la autenticidad de los mensajes, llamadas, enlaces y códigos QR antes de interactuar con ellos.

Ninguna entidad financiera solicitará claves, tokens o datos sensibles por correo, teléfono, SMS, WhatsApp o códigos QR.

Aldea84
Aldea84https://aldea84.news
Sitio para nativos y migrantes digitales basado en la publicación de noticias de Tijuana y Baja California, etnografías fronterizas, crónicas urbanas, reportajes de investigación, además de tocar tópicos referentes a la tecnología, ciencia, salud y la caótica -y no menos surrealista- agenda nacional.

Artículos relacionados

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Lo más reciente

Suscríbete a nuestro boletín

© Copyright - Todos los Derechos Reservados