Hace unas semanas, tras la publicación de una nota sobre estafas en el homebanking y cómo denunciarlas, un lector me escribió para contarme su caso: había creído ser contactado por su banco, confió, ofreció datos y luego fue estafado. Parecía ser un caso más de los tantos, pero a él le llamó la atención cómo ocurrió el engaño.
“Escribí un mensaje privado a la cuenta de Instagram oficial del banco. Luego me responden, también por mensaje privado, desde otra cuenta que se llamaba `Atención al cliente´, que también tenía el logo del banco y ahí fue donde yo caí”, explicó el usuario.
Contó que al día siguiente le pidió a un amigo que hiciera lo mismo y el resultado fue igual: primero escribió un mensaje privado a la cuenta oficial de ese mismo banco y respondió otra cuenta, diferente a la primera, que también tenía el logo de dicho banco y se hacía pasar por la entidad oficial.
Lo primero que atinó a pensar este usuario fue que lo habían estafado con la ayuda de alguien dentro de la entidad bancaria. Se preguntaba cómo era posible que escribiendo un mensaje privado a la cuenta oficial del banco luego recibiera respuesta de otra cuenta trucha. ¿Cómo podía ser tal coincidencia?
Infobae consultó a especialistas de ciberseguridad de Eset por este tema y ellos explicaron que lo que ocurrió es que la cuenta falsa que lo contactó en realidad detectó que el usuario había comenzado a seguir a la cuenta oficial del banco hacía apenas unos minutos justamente para poder establecer el contacto inicial con su consulta.
“La mayoría de los usuarios de redes sociales comienzan a seguir a una institución financiera cuando necesitan enviar un mensaje privado para realizar algún reclamo o consulta. Es decir, que la acción de seguir a esta cuenta y enviarle un mensaje ocurre casi instantáneamente”, dijeron.
El web scraping o “raspado” web para obtener información
En este contexto, los expertos hablaron del web scraping o raspado web, que es una técnica para extraer información de sitios web de forma masiva y mediante scripts automatizados. “Esta técnica se utiliza para la indexación de sitios o para realizar análisis de datos de diferentes páginas y se ha vuelto muy popular en algunas acciones de marketing digital, como mejorar el posicionamiento web u obtener métricas. Esto hace que muchas de las herramientas de scraping se encuentren disponibles en internet y sean muy fáciles de utilizar”, explicaron.
Si se aplica esta metodología en las redes sociales, entonces se puede obtener información pública del usuario como los me gusta, nombre de perfil y lista de seguidores. Como aclaran los especialistas, estas técnicas de scraping van en contra de los términos y condiciones de la mayoría de las redes sociales, pero no hay una medida técnica que impida hacerlo.
“Esto es exactamente lo que hacen los atacantes en redes sociales como Twitter o Instagram para cometer sus fraudes. Utilizan un script de scraping para obtener la lista de seguidores de las cuentas oficiales de bancos e instituciones financieras. Corren nuevamente ese script minutos más tarde y vuelven a obtener la lista. Comparan de forma automática ambas listas e identifican aquellos usuarios que no estaban en la primera lista y aparecen en la nueva lista de seguidores. Estos son aquellos que comenzaron a seguir la cuenta hace unos minutos”, analizaron los investigadores.
A su vez, un bot automático desde la cuenta falsa que simula ser la entidad bancaria o financiera se pone en contacto con lo usuarios identificados por la técnica anteriormente mencionada, se hace pasar por un asesor virtual y solicita que se le envíen los datos. Como se trata de usuarios que acaban de contactar al banco por una consulta, al recibir, casi de forma inmediata una respuesta por otra cuenta que emula ser de la entidad (e incluso tienen el mismo logo) tienden a confiar y dan la información que le solicitan.
“Después de realizar algunas pruebas observamos cómo apenas unos minutos después de comenzar a seguir a diferentes entidades financieras en Instagram, llega el primer contacto desde una cuenta falsa: un cálido saludo de un asesor de atención al cliente que nos pide el número de teléfono para contactarnos. Cada cuenta tiene su mensaje de bienvenida personalizado y, siempre amablemente, nos indica una lista de temas en los que nos puede ayudar y nos pide un número de contacto. No importa cual sea el motivo de consulta, el atacante seguirá insistiendo para obtener el número de teléfono y poder continuar la estafa vía telefónica”, explicaron los investigadores de ciberseguridad.
Falsos perfiles y cómo actúan
Los investigadores detectaron más de 15 contactos de cuentas falsas suplantando la identidad de al menos 4 instituciones financieras argentinas. En muchos casos se trata de cuentas que tienen pocas publicaciones, pero hay otras que tienen un volumen importante de seguidores y de contenido. Además, las publicaciones son copiadas de la cuenta oficial para poder darle más credibilidad al perfil.
Todas esas cuentas utilizan la misma técnica. Apenas la víctima comienza a seguir la cuenta oficial para hacer un reclamo o consulta, los ciberdelincuentes, por medio de los sistemas automatizados mencionados anteriormente, identifican a sus posibles víctimas y enseguida los contactan desde una cuenta falsa haciéndose pasar por un supuesto asesor o bot informativo y le piden su número de teléfono. A partir de ahí, se comunican por esa vía con el usuario y logran, por medio de ingeniería social, obtener su clave bancaria y otros datos para luego cometer estafas a través del homebanking, como ser retirar dinero o pedir préstamos a su nombre.
Medidas de precaución
Verificar siempre que se esté recibiendo mensajes de la cuenta verificada del banco (tilde azul). Aún cuando se esté hablando con el canal oficial jamás se deben compartir datos confidenciales como clave, token, ni código de seguridad.
Nunca ir al cajero y realizar las operaciones que se reciben desde el teléfono porque es una modalidad que emplean los cibercriminales para que el usuario termine generando una nueva clave de acceso que les permitirá luego realizar una estafa.
Si se recibe un SMS, mail, WhatsApp o mensaje por redes sociales o cualquier otra vía de una supuesta entidad bancaria solicitando acceder a un link para renovar información, evitar hacerlo. Ante la duda es mejor comunicarse telefónicamente con el banco o bien ingresar a la página oficial desde el navegador.
Denunciar las cuentas falsas que se identifiquen en Instagram u otra red social para evitar que sigan cometiendo estafas. Para hacer la denuncia, en el caso de Instagram basta con ingresar en el nombre de perfil, presionar en los tres puntos que figuran en el margen superior derecho y elegir la opción “Reportar”.
Una vez que fuiste víctima del engaño: dónde y cómo denunciar
En primera medida se debe reportar la situación a su banco. Una vez hecho esto, hay que hacer la denuncia en Defensa del Consumidor, ingresando aquí.
A su vez, con los datos de la denuncia que realizó el usuario en su banco puede presentar el reclamo en el Banco Central (BCRA) ingresando dentro de la sección “Reclamos no resueltos” a la que se accede aquí.
Además de todo esto, el cliente puede llevar su demanda a la Justicia, con lo cual debe dirigirse a una fiscalía o bien directamente acudir a la UFECI, especializada en delitos cibernéticos y que tiene diferentes canales de contacto, los cuales se pueden encontrar aquí.
En los casos que llegan al BCRA, se actúa acompañando la demanda del cliente para determinar el origen de la estafa y se busca resarcir al cliente, si corresponde.
El BCRA estableció medidas de seguridad que tienen que cumplir los bancos y los controla habitualmente. Las normas son tanto para evitar el hackeos de servidores o cuentas como para prevenir las estafas originarias en engaños sociales.
Según regulación del BCRA, si el banco detecta una anomalía evidente en el comportamiento del cliente como ser que, por ejemplo, una persona comience a hacer varios gastos que nunca antes había hecho en simultáneo o saque créditos y derive los fondos a otra cuenta, la entidad tendría que bloquear las operaciones porque se tratan de operaciones inusuales.
Esto es así porque hay una normativa de seguridad que estipula que los bancos deben tomar medidas para prevenir el fraude aún cuando ocurran por medio del uso de las credenciales bancarias las cuales, como se vio, pueden haber sido obtenidas mediante ingeniería social.