:format(jpeg)/www.elespectador.com/resizer/usiM77E0y_wc_yUnNiuah_FtLFM=/arc-anglerfish-arc2-prod-elespectador/public/N74K2QZXUVHI5GDEZNLIQ7HXDU.jpg)
Ahora los estafadores usan falsos perfiles en Instagram para hacerse pasar por canales de atención al cliente de bancos. Una víctima le contó a la compañía de seguridad informática ESET que minutos después de escribir un mensaje privado a la cuenta de Instagram de su banco, recibió otro mensaje privado desde una cuenta llamada “Atención al cliente” que también tenía el logo del banco. Le pidieron su teléfono y en una llamada le robaron sus datos.
Lea también: Así operaban los “Call Center”, presuntos estafadores de 3.500 personas
Según la firma, este nuevo tipo de fraude bancario tiene como objetivo el robo de credenciales de acceso a las plataformas virtuales de los bancos a través de distintos esquemas de engaño. La intención es aprovecharse de personas que utilizan las redes sociales para comunicarse con su entidad bancaria ante la dificultad de concurrir presencialmente a una sucursal o hacerlo vía telefónica.
La intención es vaciar la cuenta bancaria con pequeñas transferencias a otras cuentas e incluso sacar préstamos virtuales a nombre de la víctima y robar también el monto otorgado. “La persona se queda sin dinero, con las cuotas a pagar del préstamo y un litigio judicial con el banco para intentar demostrar que no fue el titular de la cuenta quien realizó dichas transacciones”, contó la firma.
Pero, ¿cómo lo logran? Según la explicación de ESET, los estafadores detectan cuando una persona comienza a seguir la cuenta oficial de un banco y asumen que el cliente acabó de hacerlo para poder enviar un mensaje privado y así gestionar una consulta o reclamo. Pero no es que haya alguien mirando permanentemente quiénes son los nuevos seguidores, Los atacantes utilizan un script de scraping (técnica para extraer información de sitios web de forma masiva y automatizada) para obtener la lista de seguidores de las cuentas oficiales de bancos e instituciones financieras.
También de forma automática un ‘bot’ desde una cuenta falsa que simula ser la entidad financiera, contacta a estos usuarios haciéndose pasar por un asesor virtual y les solicita que envíen sus datos. Dado que probablemente muchos de estos usuarios además de seguir la cuenta oficial le enviaron un mensaje privado, caen en el engaño cuando la cuenta falsa los contacta.
Desde ESET aclaran que, si bien el uso de estas técnicas de web scraping o raspado web va en contra de los términos y condiciones de la mayoría de las redes sociales, lo cierto es que no hay ninguna medida técnica que impida hacerlo.
Estas cuentas falsas roban las publicaciones de la cuenta oficial de la entidad para que se vea igual a la original e incluso poseen una gran cantidad de seguidores, los cuales probablemente fueron comprados u obtenidos de forma fraudulenta.
“Las cuentas operan siempre con la misma modalidad: apenas la víctima comienza a seguir la cuenta oficial, el falso asesor se comunica por mensaje privado ofreciendo una gran variedad de temas para consultar. Si la víctima responde el mensaje, el asesor le solicitará un teléfono de contacto, sea cual sea el motivo de consulta. En menos de una hora de haber enviado el número, el estafador se comunica vía telefónica y utiliza información de la víctima obtenida de su red social y otros sitios de Internet (como DNI, dirección, lugar de trabajo, etc.) para hacerle creer que se trata de un asesor del banco que le brindará ayuda. Luego, le solicita información sensible, como el usuario y la clave de acceso a la banca online, los números de las tarjetas de crédito y débito, o incluso acercarse hasta el cajero más cercano y realizar determinadas operaciones”, aclara Cecilia Pastorino, investigadora de ESET que analizó la estafa.
Al realizar algunas pruebas, desde el Laboratorio de ESET en Argentina, observaron cómo apenas unos minutos después de comenzar a seguir a diferentes entidades financieras en Instagram, llegó el primer contacto desde una cuenta falsa: un cálido saludo de un asesor de atención al cliente solicitando el número de teléfono establecer el contacto.
“No importa cuál sea el motivo de consulta, el atacante seguirá insistiendo para obtener el número de teléfono y poder continuar la estafa vía telefónica”, relató la firma.
ESET cuestionó además que no se pueda ocultar la lista de seguidores en las cuentas públicas de redes sociales como Instagram o Twitter, para agregar opciones de privacidad a las cuentas públicas, especialmente aquellas oficiales o verificadas.
Pero el primer paso para evitar caer en estafas es autoprotegerse. “Es sumamente importante estar alerta a este tipo de engaños. Verificar siempre que se está recibiendo un mensaje de una cuenta verificada del banco (tilde azul) y aun así no brindar datos confidenciales como claves bancarias, tokens o códigos de seguridad de la tarjeta de crédito o débito. Además, nunca ir a cajeros automáticos ni realizar operaciones que se solicitan por teléfono ni brindar datos sensibles. Ante cualquier duda, lo mejor es ingresar siempre al homebanking a través de la página oficial del banco y no a través de un enlace recibido por correo o mensaje”, concluyó ESET.
En caso de haber sido víctima de este tipo de estafas o haber entregado datos sensibles se debe comunicar inmediatamente al banco o a la entidad financiera y dar aviso de lo ocurrido a fin de bloquear el acceso a la cuenta y las transacciones por parte de los cibercriminales. La mayoría de estas cuentas falsas duran apenas unos días, hasta que son reportadas y dadas de baja de la red social. Sin embargo, en ese corto período de tiempo los cibercriminales logran contactar a cientos de usuarios. Por eso, es importante denunciar las cuentas fraudulentas para que sean eliminadas lo más pronto posible.