Hace unos días un amigo fue víctima de un fraude bancario. Sin saberlo, entregó sus credenciales de acceso a homebanking —también conocido en algunos países como banca electrónica o banca online— a un cibercriminal, quien utilizó estos datos no solo para vaciar su cuenta bancaria con pequeñas transferencias a otras cuentas, sino también para sacar un préstamo preaprobado a nombre de la víctima y robar también el monto otorgado. La víctima se quedó sin dinero, con las cuotas a pagar del préstamo y un litigio judicial con el banco para intentar demostrar que no fue él quien realizó dichas transacciones.
Lamentablemente, este caso es uno más de los 641 reportados a la Unidad Fiscal Especializada en Ciberdelincuencia en Argentina en el último año. Según este organismo, las denuncias por estafas bancarias crecieron casi un 3.000 por ciento en 2020.
Los estafadores han estado utilizando distintos esquemas de engaño para el mismo objetivo: obtener las claves de acceso a la banca online. En 2020 alertamos sobre un fraude telefónico en Argentina que comienza por WhatsApp y en el cual se comunican en nombre de la ANSES para hacer entrega de una supuesta ayuda económica. Muy similar fue el modelo que observamos este año en una campaña, también en Argentina, en la que se hacen pasar por el Ministerio de Desarrollo Social para hacer entrega de un bono.
Cómo operan en Instragram
Sin embargo, en este caso analizaremos una campaña que se lleva adelante a través de Instagram desde hace ya un tiempo. De hecho, en octubre de 2020 advertimos que estaban utilizando falsos perfiles en Instagram para hacerse pasar por canales de atención al cliente de bancos.
Si bien no hay un perfil definido de las víctimas —en el caso de mi amigo se trata de un usuario con experiencia en el uso de tecnología—, el objetivo parece ser aprovecharse de personas que utilizan las redes sociales para comunicarse con su entidad bancaria ante la dificultad de concurrir presencialmente a una sucursal o hacerlo vía telefónica.
“Escribí un mensaje privado a la cuenta de Instagram del banco. Unos minutos más tarde, me responden, también por mensaje privado, pero desde otra cuenta llamada “Atención al cliente" que también tenía el logo del banco. Desde esa cuenta me solicitaron que brinde un teléfono de contacto y que un asesor se iba a comunicar conmigo. Como no había logrado comunicarme a la mañana con el banco, dejé mi teléfono a esta cuenta y me llamaron enseguida, supuestamente, del banco. Ahí es donde yo caí.”
Lo primero que mi amigo atinó a pensar es que alguien dentro del banco lo había ‘vendido’. Es decir, alguien había pasado su consulta por mensaje privado a la cuenta oficial del banco a una cuenta falsa. Sin embargo, ya habíamos visto en Twitter denuncias de otros usuarios a los que les había pasado lo mismo con otras instituciones. A esta altura resultaba poco probable que todos hubieran sido víctimas de empleados maliciosos de los bancos y comenzaba a parecerse más a algún tipo de artimaña de ingeniería social.
Scraping de seguidores: la técnica de marketing online que están utilizando los atacantes
La mayoría de los usuarios de redes sociales comienzan a seguir a una institución financiera cuando necesitan enviar un mensaje privado para realizar algún reclamo o consulta. Es decir, que la acción de seguir a esta cuenta y enviarle un mensaje ocurre casi instantáneamente. Por eso, lo primero que atinó a pensar mi amigo es que alguien había leído o reenviado el mensaje privado que había enviado a la institución. Sin embargo, lo que ocurrió, es que la cuenta falsa que lo contactó en realidad detectó que había comenzado a seguir a la cuenta oficial del banco hacía apenas unos minutos.
El ‘web scraping’ (o ‘raspado’ web), es una técnica para extraer información de sitios web de forma masiva y mediante scripts automatizados. Esta técnica se utiliza para la indexación de sitios web o realizar análisis de datos de diferentes páginas y se ha vuelto muy popular en algunas acciones de marketing digital, como mejorar el posicionamiento web u obtener métricas. Esto hace que muchas de las herramientas de scraping se encuentren disponibles en Internet y sean muy fáciles de utilizar.
Si se aplica la técnica de scraping a las redes sociales, se puede obtener de forma masiva todo tipo de información pública, como los likes de una publicación o incluso la lista de seguidores de una cuenta pública. Si bien el uso de estas técnicas va en contra de los términos y condiciones de la mayoría de las redes sociales, lo cierto es que no hay ninguna medida técnica que impida hacerlo.
Esto es exactamente lo que hacen los atacantes en redes sociales como Twitter o Instagram para cometer sus fraudes. Utilizan un script de scraping para obtener la lista de seguidores de las cuentas oficiales de bancos e instituciones financieras. Corren nuevamente ese script minutos más tarde y vuelven a obtener la lista. Comparan de forma automática ambas listas e identifican aquellos usuarios que no estaban en la primera lista y aparecen en la nueva lista de seguidores. Estos son aquellos que comenzaron a seguir la cuenta hace unos minutos. También de forma automática un ‘bot’ desde una cuenta falsa que simula ser la entidad financiera, contacta a estos usuarios haciéndose pasar por un asesor virtual y les solicita que envíen sus datos. Dado que probablemente muchos de estos usuarios además de seguir la cuenta oficial le enviaron un mensaje privado, caen en el engaño cuando la cuenta falsa los contacta.
Contacto y estafa
Después de realizar algunas pruebas observamos cómo apenas unos minutos después de comenzar a seguir a diferentes entidades financieras en Instagram, llega el primer contacto desde una cuenta falsa: un cálido saludo de un asesor de atención al cliente que nos pide el número de teléfono para contactarnos. Cada cuenta tiene su mensaje de bienvenida personalizado y, siempre amablemente, nos indica una lista de temas en los que nos puede ayudar y nos pide un número de contacto. No importa cual sea el motivo de consulta, el atacante seguirá insistiendo para obtener el número de teléfono y poder continuar la estafa vía telefónica.
Hemos detectado más de 15 contactos de cuentas falsas suplantando la identidad de al menos 4 instituciones financieras argentinas. Si bien varias de estas cuentas falsas no tienen seguidores o tienen escasos posteos, muchas otras poseen una gran cantidad de seguidores, los cuales probablemente hayan sido comprados u obtenidos de forma fraudulenta. Además, todas las publicaciones son copiadas -robadas- de la cuenta oficial de la entidad bancaria cuya identidad es suplantada, lo cual hace que se vea extremadamente similar a la original.
Todas estas cuentas operan siempre con la misma modalidad: apenas la víctima comienza a seguir la cuenta oficial, el falso asesor se comunica por mensaje privado ofreciendo una gran variedad de temas para consultar. Si la víctima responde el mensaje, el asesor le solicitará un teléfono de contacto, sea cual sea el motivo de consulta. En menos de una hora de haber enviado el número, el estafador se comunica vía telefónica y utiliza información de la víctima obtenida de su red social y otros sitios de Internet (como DNI, dirección, lugar de trabajo, etc.) para hacerle creer se trata de un asesor del banco que le brindará ayuda. Luego, le solicita información sensible, como el usuario y la clave de acceso a la banca online, los números de las tarjetas de crédito y débito, o incluso ir hasta el cajero mas cercano y realizar determinadas operaciones.
Conclusión y recomendaciones
En primer lugar, considero una falla grande de diseño y seguridad el hecho de que no se pueda ocultar la lista de seguidores en las cuentas públicas de redes sociales como Instagram o Twitter. Quizás es hora de agregar opciones de privacidad a las cuentas públicas, especialmente aquellas oficiales o verificadas.
En segundo lugar, desde el punto de vista de las instituciones bancarias existe la posibilidad de tener sus cuentas privadas, pero esta medida quizás va en contra del fin de promoción y comunicación para el cual utilizan sus perfiles de redes sociales. Por otro lado, pueden colaborar con campañas de concientización y educación a sus clientes, con recordatorios de buenas prácticas, políticas claras de comunicación y sobre todo una buena atención a clientes. Muchas de las estafas por redes sociales son efectivas porque los propios clientes del banco no consiguen comunicarse por vías oficiales cuando tienen un problema y, en la desesperación, acuden a las redes sociales.
Por último, como clientes bancarios y usuarios de redes sociales, es sumamente importante estar alerta a este tipo de engaños. Verificar siempre que estemos recibiendo mensajes de la cuenta verificada del banco (tilde azul) y aun así no brindar datos confidenciales como claves bancarias, tokens o códigos de seguridad de la tarjeta de crédito o débito. Además, nunca ir a cajeros automáticos ni realizar operaciones que se solicitan por teléfono ni brindar datos sensibles.
Ante cualquier duda, lo mejor es ingresar siempre al homebanking a través de la página oficial del banco y no a través de un enlace que recibimos por correo o mensaje.
Además, en caso de haber sido víctima de este tipo de estafas o haber entregado datos sensibles se debe comunicar inmediatamente al banco o a la entidad financiera y dar aviso de lo ocurrido a fin de bloquear el acceso a la cuenta y las transacciones por parte de los cibercriminales.
Por último, la mayoría de estas cuentas falsas duran apenas unos días, hasta que son reportadas y dadas de baja de la red social. Sin embargo, en ese corto período de tiempo los cibercriminales logran contactar a cientos de usuarios. Por eso, es importante denunciar las cuentas fraudulentas para que sean eliminadas lo más pronto posible.
Como se aprecia en las Imágenes 6 y 7, el proceso de denuncia es bastante simple: seleccionando los tres puntitos en la parte superior derecha junto al nombre de la cuenta aparece la opción de Denunciar (en Android y iPhone selecciona la opción Reportar). Luego nos preguntará el motivo de la denuncia, a lo que indicamos que la cuenta se hace pasar por una organización y finalmente buscamos la cuenta oficial de la entidad a la que está suplantando y ¡listo!