La empresa de ciberseguridad ESET alerta sobre una modalidad de engaño cada vez más
común en la que estafadores suelen hacerse pasar por falsos representantes de atención al
cliente para robar datos financieros de víctimas y luego su dinero. Además, los delincuentes
suelen intentar establecer comunicación telefónica, pero para llegar a este punto suelen
recurrir a distintas alternativas.
La empresa analizó los principales métodos que se utilizan para llevar adelante este tipo de
estafas y así aprender a detectarlas a tiempo:
Sitios falsos en los resultados de búsqueda de Google: Generalmente los primeros
resultados corresponden a sitios legítimos y las personas suelen hacer clic casi de forma
automática. El problema es que los delincuentes saben esto e intentan aprovecharlo. Los
sitios falsos pueden aparecer en los primeros resultados de Google a través de anuncios
pagos o mediante técnicas de SEO fraudulentas (Blackhat SEO). Por lo tanto, es importante
no confiar ciegamente en los primeros enlaces que ofrece Google u otro motor de búsqueda.
Recientemente, se identificó el caso de una persona que buscó en Google el número de
atención al cliente de un servicio e hizo clic en uno de los primeros resultados de la
búsqueda. Así accedió a un sitio que en el cual debía dejar su número de teléfono para ser
contactada. Cuando el falso representante de atención al cliente se comunicó, explicó que
necesitaba cargar al sistema los datos de cobro debido a un inconveniente que habían
sufrido en su base de datos.
La víctima, convencida de que estaba hablando con un agente oficial, compartió con el
delincuente los números de su tarjeta de crédito y débito, además del código de seguridad
de ambas tarjetas y la fecha de expiración. Por si fuera poco, le envío vía WhatsApp fotos
del frente y dorso del documento de identidad, tal como habían solicitado el estafador.
Perfiles falsos en redes sociales y el uso de bots: En redes sociales como Twitter e
Instagram, ESET observó casos que muestran cómo los estafadores monitorean los
cmentarios que haen los usuarios con ciertas palabras clave o cuando etiquetan a un perfil
verificado. Estos mensajes generalmente suelen ser reclamos o algún tipo de inconveniente
que plantean los usuarios que necesitan resolver.
Cuando esto sucede, desde estos perfiles falsos (sin la marca de verificación) envían
mensajes directos haciéndole creer a las víctimas que se comunican desde la cuenta oficial
(utilizan el mismo logo y una variación del nombre oficial) y ofrecen el contacto del
servicio de atención al cliente. Para esto utilizan bots que monitorear los comentarios de las
personas y los perfiles legítimos.
Números de WhatsApp falsos: En estos casos, los estafadores suelen aprovechar esto y se
contactan vía WhatsApp desde perfiles que contienen el logo y una descripción para hacer
creer que es una cuenta legítima. En algunos casos, incluso utilizan cuentas de WhatsApp
robadas de empresas o que tienen la marca de verificación. Una vez que se comunican con
la víctima utilizan un amplio abanico de posibles excusas para convencerla de que comparta
los datos de su cuenta bancaria, que compartan información personal o que realice alguna
otra acción.
Vishing, llamadas telefónicas directas: El vishing es un ataque de ingeniería social que se
da a través de llamadas telefónicas o mensajes de voz. Esta forma de engaño existe desde
hace varios años y sigue siendo utilizada por estafadores que se hacen pasar por
representantes oficiales de empresas, servicios u organismos públicos. Una de las tantas
modalidades que utilizan consiste en llamar a los clientes de entidades financieras con la excusa de proporcionar los nuevos números de contacto de la entidad y luego tratan de
persuadir a las víctimas para que compartan los números de su tarjeta.
Los delincuentes muchas veces acceden a bases de datos que se comercializan en foros
clandestinos y que contienen números de teléfono, nombre completo, y en algunos casos
hasta los números de las tarjetas. Esta información puede llegar a estos sitios por diversas
vías, ya sea por filtraciones de datos que sufrió una compañía, por el robo de datos
mediante malware o incluso por el compromiso de sitios web mediante skinmmers o algún
otro tipo de código malicioso.
“Las estafas de atención al cliente son muy comunes, los delincuentes utilizan diversos
métodos, que van desde sitios falsos que aparecen en los primeros resultados de Google,
perfiles falsos en redes sociales o llamadas telefónicas. Teniendo esto en cuenta, es
importante que las personas estén atentas y nunca compartan información personal, ya que
generalmente las empresa no solicitan datos personales telefónicamente, a través del
correo electrónico o vía redes sociales. Mucho menos compartir esta información si fuimos
contactados de forma inesperada”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio
de Investigación de ESET Latinoamérica.
Como medida de seguridad desde ESET recomiendan, en el caso de WhatsApp y las redes
sociales,
verificar que la cuenta con la que se está comunicando tenga la marca de verificación que
asegura que es una cuenta oficial. Ante la duda, buscar siempre el número de contacto a
través de los canales oficiales y verificar que todo sea legítimo.