El término vishing deriva de la combinación de dos palabras, voice y phishing; es un término mediante el cual se describe una modalidad de ciberataque basado esencialmente en técnicas de ingeniera social, que tiene por objeto engañar a la víctima por intermedio de la suplantación de la voz de algún familiar cercano, amigo, conocido, de algún operador de una empresa o ente gubernamental y, con ello, suplantar su identidad, con el objeto de que revele información personal o confidencial propia o de la organización a la que pertenece el objetivo atacado.

El objetivo del Vishing es simple: desapoderar a la víctima de su dinero, su identidad o que lleve acciones que puedan poner en peligro su integridad física o patrimonial, a través de la mentira y la manipulación. El ciberatacante procura hacerse pasar por una persona, un negocio legítimo o una administración pública para desapoderar a la víctima de información, dinero, de su identidad o de hacerle desarrollar acciones peligrosas para su seguridad.

La metodología detrás del vishing es tan simple como efectiva. El atacante digital obtiene información personal de sus víctimas a través de internet, redes sociales y otras fuentes públicas, utilizando esta información para realizar llamadas telefónicas o enviar mensajes -por ejemplo de WhatsApp- imitando la voz de una persona conocida por la víctima.

Si bien este tipo de acciones no son un fenómeno nuevo, el vishing es simplemente un nuevo giro en una vieja rutina que ha resurgido a partir de la utilización de los cibercriminales de un servicio telefónico por Internet, también conocido como VoIP o Voz sobre Protocolo de Internet.

Este es un método con el que se puede efectuar llamadas de voz a través de la red de redes. Para eso se toma el audio de lo que el interlocutor está diciendo por el micrófono y se convierte en datos digitales, que se transmiten por la red a otro dispositivo donde se interpretan para que se escuche de nuevo la voz; inclusive es posible crear perfiles falsos de identificación de llamadas enmascarando los números de teléfonos para hacer parecer como legítimo aquél desde el que está llamando el ciberatacante.

La situación se ha tornado aún más compleja a partir de la utilización de la inteligencia artificial para el clonado de voces, habida cuenta que los ciberatacantes son capaces de usar inteligencia artificial para replicar la voz de una persona a partir de solo tres segundos de audio que se encuentra, por ejemplo, en un video que la persona -cuya identidad habrá de ser suplantada- ha publicado en línea. A partir de allí y con técnicas de OSInt (Open Source Intelligence) o inteligencia sobre bases de datos abiertas como las redes sociales, pueden identificar a los amigos y familiares de la persona suplantada y utilizar su voz clonada por Inteligencia Artificial para realizar una llamada telefónica, empleando esa voz sintética y pedir dinero, por ejemplo.

A medida que los sistemas de inteligencia artificial se vuelven cada vez más expertos en imitar voces humanas, aumentan las preocupaciones sobre su potencial para dañar a las personas; por ejemplo, colaborando con los ciberatacantes a acceder a sus cuentas bancarias en los sistemas que utilizan como doble factor de autenticación la voz y difundiendo información errónea. A principios de este año, OpenAI, que es el responsable del desarrollo del mundialmente utilizado chatbot de Inteligencia Artificial generativa ChatGPT, presentó su herramienta de replicación de voz denominado Voice Engine, que utiliza la entrada de texto y una única muestra de audio de quince segundos para generar un discurso que suena natural, que se parece en mucho a la voz original, aunque no lo puso a disposición del público, producto del potencial de uso indebido de la voz sintética.

Inmersos en una sociedad transparente, la gente ha naturalizado publicar regularmente contenido en línea que tiene grabaciones de su voz, sin siquiera imaginar que eso los hace más vulnerables a los ciberatacantes.

Estrategias de ciberataques más frecuentes

Son muy diversas las estrategias de ciberataques basados en el vishing, aunque todas las acciones y estrategias adoptadas por los ciberdelincuentes pueden aglutinarse, ser condensadas o sintetizadas bajo el paradigma del método o matriz P.I.C.O., que oficia de linterna para iluminar a aquellos que la conocen sobre cada intento de perpetración de un ciberdelito, permitiendo anticiparse y neutralizarlo.

La "P" de la sigla con la que se identifica de la matriz, es tomada de "pretexto" e indica que la eventual víctima recibe un llamado, mensaje o correo electrónico, con un pretexto que llamará su atención: un accidente de tránsito, un secuestro o la detención de una familiar o amigo, un supuesto movimiento inusual en una cuenta bancaria o la falsa adquisición de bienes de alta gama en alguna plataforma de comercio electrónico, una oferta imperdible, un subsidio, una promoción para las personas de la tercera edad, un aviso de corte intempestivo; o bien, un turno para ser vacunado contra algunos de los innumerables virus que nos acechan.

La "I" de la sigla referida proviene de "impostor", habida cuenta que el ciberdelincuente se presenta como si fuera un familiar directo, una persona conocida, un amigo, una empresa, entidad u organismo público que despierta la confianza de la víctima.

La materialización de lo que dentro de la matriz que venimos analizando se individualiza con la letra "C", que pretende significar el "contexto", se produce cuando el ciberatacante se aprovecha de una situación específica como los lazos familiares, un querido vínculo de amistad, la salud, la situación económica o social de la víctima, para procurar apropiarse de sus datos y conminarlo a cumplir acciones perjudiciales.

Finalmente, la acción del ciberdelincuente encuadra en la "O" del método o paradigma P.I.C.O. ya que alude al concepto de "oportunidad", puesto que el mensaje del ciberatacante ofrece una oportunidad única e imperdible por poco tiempo, el familiar necesita dinero de inmediato para solucionar el accidente de tránsito, el amigo necesita una transferencia de inmediato para pagar la fianza y recuperar la libertad, el banco necesita "ya" su clave para detener el movimiento sospechoso en la cuenta, la plataforma de comercio electrónico requiere de un código para poder cancelar la compra de un smartTV carísimo, el operador sanitario requiere "ya" de los seis dígitos que aparecen en su dispositivo móvil para otorgar el turno para vacunarse, el representante del organismo de seguridad social exige clickear de inmediato en el enlace enviado para acceder a la promoción o beneficios para jubilados y, así, tantas otras posibilidades.

Sin embargo y en concreto, es conveniente reseñar las más utilizadas para generar alerta en la población. Una de las estrategias más empleadas es recibir una llamada con la voz clonada de un familiar o amigo cercano que tuvo un accidente de tránsito, que fue detenido o ha sido presuntamente secuestrado, que entre sollozos y muestras de desesperación necesita que, de modo urgente, se le transfiera una suma de dinero para indemnizar a la víctima del accidente de tránsito y evitar acciones judiciales, pagar la fianza, "arreglar" con la policía o sus captores para que lo liberen.

Otra variante muy utilizada consiste en recibir una llamada o un mensaje pregrabado en modo contestador, de una persona que se hará pasar como empleado de una entidad financiera o plataforma de comercio electrónico, informando a la eventual víctima que hay un problema con su cuenta, o se registra un pago que realizó de una cuantía económica importante o una compra de bienes suntuosos que puede frenar.

Es posible que los cibercriminales soliciten las credenciales de inicio de sesión para solucionar el problema, la instalación de un programa, que se haga clic en un enlace o que realice un nuevo pago para verificar su identidad.

Ha habido casos en los cuales los cibercriminales contactan al usuario con motivo de ofertas que son imperdibles. Por ejemplo, ganar millones de pesos con una pequeña inversión, pagar todas las deudas con una solución rápida u obtener préstamos o subsidios imperdibles. En dichos contactos, requieren actuar rápidamente y con urgencia, debiendo la víctima pagar una pequeña tarifa por los conceptos más diversos.

Las llamadas telefónicas son el método más utilizado por los cibercriminales para atacar a las personas mayores o de la tercera edad. Se hacen pasar por familiares en apuros u organismos de seguridad social y tratan de obtener transferencias o entregas de dinero o información financiera de la víctima, con el objetivo de utilizar dichos datos posteriormente para obtener beneficios, acceder a sus cuentas o desapoderarlos de su dinero.

Una alternativa bastante utilizada ha sido la de recibir un llamado de un ciberatacante que simula ser de una fiscalía o repartición policial, alegando contar con material que indica haber navegado, descargado o enviado fotografías de contenido sexual a niños, niñas o adolescentes, y promete frenar la investigación a cambio de la transferencia de una suma de dinero.

Una estrategia actual y muy peligrosa, consiste en recibir un llamado efectuado mediante la voz clorada por inteligencia artificial de un familiar conviviente, requiriendo la apertura del garaje o puerta de acceso al domicilio, porque está a punto de arribar y no quiere exponerse por cuestiones de seguridad.

Como se puede apreciar, las alternativas y estrategias para la perpetración de este tipo de ataques es muy variada.

Algunos consejos para prevenir el vishing

Es conveniente utilizar una aplicación de identificación de llamadas, las innumerables alternativas de voz sobre IP posibilitan la creación de números falsos de forma muy sencilla. Por ello, una buena opción para evitar llamadas fraudulentas sería descargar una aplicación específica como -entre tantas otras- Truecaller y tamizar cada llamada a partir del filtro proporcionado por la aplicación para descubrir si es un número de teléfono enmascarado.

Ante la recepción de un mensaje de texto o correo electrónico que requiera hacer clic en enlaces o responder preguntas, bajo directrices como las siguientes: "Presione el botón 2 para eliminarle de nuestra lista" o "Diga 'sí' para hablar con un operador", bajo ningún motivo debe cumplirse con dicha indicación.

Siempre es conveniente verificar la identidad de la persona que se ha puesto en contacto contigo. Si se trata de la voz de un familiar o amigo que se encuentra en apuros o exige la apertura de las puertas de acceso a un domicilio, la mejor estrategia consiste es darle la indicación de que corte y contactarlo directamente mediante su número de teléfono particular.

Siempre es aconsejable utilizar en el círculo familiar cercano una palabra o frase clave que permita verificar que es quien su voz parece decir que es y nunca compartir la frase segura a través de mensajes de texto, lo que podría facilitar que los atacantes la descubran y si se comparte de esta manera, el mensaje debe eliminarse una vez que el destinatario lo haya visto.

Otra alternativa útil consiste en utilizar datos que sólo nosotros conocemos y, mediante una pregunta, chequear su veracidad. Si uno de nuestros hijos concurre al turno mañana y la situación de emergencia se produce por la tarde, podría preguntarse: "¿Esto te ocurrió camino al colegio?" Pensemos por caso, si no tenemos mascota, en consultar a nuestro supuesto interlocutor "¿Y cómo está Frida? ¿Esta con vos?" ... En alusión a una supuesta salida con una inexistente mascota. El tenor de la respuesta indicará la veracidad o falsedad de la llamada.

Si la voz del otro lado proporciona un número de devolución de llamada, es muy probable que sea parte de la maniobra, así que no debería emplearse. En su lugar, habría que buscar el número de teléfono público oficial de la empresa o institución que se supone que te está contactando y llamar directamente o acudir físicamente a su sede.

Nunca facilitar información personal o confidencial, ni tampoco responder a requerimientos sobre la tarjeta de débito o crédito, documento de identidad, dirección, fecha de nacimiento u otros datos personales. Ante cualquier duda, se debe contactar al banco, billetera o plataforma, y notificar que han solicitado información financiera en nombre de su entidad.

Si los tonos de voz no varían y se ajustan de acuerdo al mensaje que se está recibiendo -esto es, si no hay notas de excitación, congoja, angustia en el tono de voz- de acuerdo al contenido del mensaje que se está recibiendo, es momento de colgar y bloquear el número.

Colgando...

En este contexto de humanidad ampliada, en el que hemos sucumbido al soporífero oxímoron de la idea ingenua de la información -al decir de Yuval N. Harari-, asistimos impasibles a la construcción de un ecosistema cincelado por los daños colaterales provocados por armas masivas de destrucción matemática y condenamos a galeras el lado B de una xenointeligencia que se juega nuestros zapatos y fotos de graduación en algo más que un Attari; seguimos convencidos que para atravesar el telón de silicio se requiere de un fortalecimiento del eslabón más débil de la cadena de ciberseguridad.

Por ello, junto al Instituto Superior de Formación Docente y Técnica N° 2 de Azul hemos generado un espacio de encuentro, debate, reflexión y fortalecimiento del eslabón más débil -cada uno de los miembros de la comunidad- que, a partir del lunes 4 de noviembre y de modo semanal, a las 11 horas y en la frecuencia 88.3 del dial (FM), nos permitirá seguir brindado herramientas para resolver autobiográficamente todas estas contradicciones sistémicas. Estimados cibersujetos: sean todos bienvenidos a "Epocalypsis. El impacto del Ciberespacio en la vida cotidiana".

(*) Juez en lo Civil y Comercial de la Provincia de Buenos Aires. Docente de Grado y Posgrado en Universidades y Organismos Nacionales y Extranjeros. Investigador. Autor de obras individuales y coautor en obras colectivas. Miembro admitido por la Asamblea General de Naciones Unidas del Comité Ad Hoc para la elaboración de una Convención Internacional sobre la Lucha contra el Uso de las Tecnologías de la Información y de las Comunicaciones con Fines Delictivos de la ONU. Profesor invitado en las universidades Santa Marta La Antigua de Panamá, en la Escuela Judicial "Rodrigo Lara Bonilla" de Colombia, en el I.N.S.J.U.P. del Órgano Judicial de Panamá, en el Superior Tribunal de Cali en Colombia, en el Rotary de Guadalajara, México. Especialista convocado por las Comisiones de Derechos y Garantías y de Justicia y de Asuntos Penales del Honorable Senado de la Nación. Gerenciador, tutor y consultor en más de treinta organismos jurisdiccionales. Miembro de Red Internacional de Justicia Abierta.