Ni tocomocho, ni estampitas, ni pirámides: al igual que ocurre con los avances tecnológicos, los métodos de estafa también se actualizan constantemente. Es el caso al que queremos dedicar este texto: el surgimiento de un nuevo método de estafa llamado vishing, que afecta directamente al pago telefónico con tarjeta… Y que puede remediarse con facilidad.
Ese remedio pasa por la automatización para convertir el pago telefónico convencional en un servicio seguro de pago por teléfono con tarjeta. El principal factor de riesgo es la intervención humana, pero antes de nada vamos a explicar qué es eso del vishing, cómo funciona y cómo evitarlo.
¿Qué es el vishing?
Para entender de qué estamos hablando hay que partir de un concepto de fraude anterior, el llamado phishing, que consiste en suplantar la identidad de un tercero de confianza para incitar al potencial estafado a que realice acciones como la entrega de informaciones confidenciales, transacciones fraudulentas u otras, basadas siempre en el engaño.
El phishing se ha convertido en todo un clásico (con numerosos avatares) de las estafas en internet, en las que un membrete falsificado y un lenguaje confuso o incitante nos pueden llevar a hacer clic donde no debemos con mucha facilidad. El voice phishing o vishing es una de sus manifestaciones, en la que el usuario es engañado mediante una llamada telefónica.
Esta práctica de “pesca de datos por voz” lleva en marcha aproximadamente una década (floreciendo al mismo ritmo que se han popularizado los teléfonos inteligentes, conectados a internet) bajo diferentes formas, en función de sus objetivos específicos. Con el auge del pago por teléfono se está convirtiendo en un problema mayor.
¿Cómo se hace el vishing?
Para entender el riesgo hay que conocer el modus operandi de los vishers, o al menos un ejemplo:
- El delincuente elige un perfil de víctima (digamos personas mayores) y, mediante técnicas de hacking (OSINT), obtiene sus números de teléfono y posiblemente otros datos personales.
- Con frecuencia se realiza una “primera ronda” de llamadas en rueda, normalmente suplantando la identidad del llamante (spoofing) y empleando tecnologías VoIP, difícilmente rastreables.
- La estrategia elegida puede ser una amenaza indeseable (como un descubierto bancario que requiere comprobación) o una oportunidad tentadora (como una oferta temporal y ventajosa).
- El delincuente solicita a la víctima sus datos financieros, como pueden ser el número de la tarjeta y el CVV o CVC, aparte de confirmar los que ya pueda tener (número de DNI, por ejemplo).
La clave está en el factor humano
La eterna pregunta: ¿cómo es que la gente se fía de una llamada telefónica para hacer una gestión económica? La respuesta es sencilla: porque estamos acostumbrados a los agentes telefónicos que nos llaman desde cualquier empresa o administración pública para los más variados menesteres.
A pesar de las duras sanciones de las empresas que gestionan tarjetas (como Visa y Mastercard) imponen a sus clientes en caso de fuga de datos, siguen siendo muchos los negocios (y entidades públicas, como decimos) que basan sus servicios en operadores humanos, con los riesgos de error y mala fe intencionada que esto conlleva.
Para evitar el vishing, los pagos telefónicos automatizados
Así, como usuarios, debemos ser precavidos y no dar información sensible por teléfono a perfectos desconocidos, ya que ningún trámite obligatorio que implique el uso de datos personales ha de hacerse por esta vía. La Administración, aparte de la vía represiva, comienza a dar pasos hacia la erradicación del pago telefónico mediante agentes humanos.
El mecanismo de pago telefónico en sí mismo, queremos recalcar, ofrece todas las garantías de seguridad si se realiza de forma automatizada y conforme a los estándares PCI-DSS de nivel 1 establecidos por los gigantes del pago con tarjeta, que están tan interesados como cualquier negocio particular en evitar el perjuicio económico y de imagen.
