Tecnolog铆a

馃獫 Crean perfiles falsos de bancos en Instagram para cometer fraudes

Utilizan t茅cnicas de web scraping para extraer informaci贸n de sitios web de forma masiva y recurren a bots automatizados.

Hace unas semanas, tras la publicaci贸n de聽una nota sobre estafas en el homebanking y c贸mo denunciarlas, un lector me escribi贸 para contarme su caso: hab铆a cre铆do ser contactado por su banco, confi贸, ofreci贸 datos y luego fue estafado. Parec铆a ser un caso m谩s de los tantos, pero a 茅l le llam贸 la atenci贸n c贸mo ocurri贸 el enga帽o.

鈥淓scrib铆 un mensaje privado a la cuenta de Instagram oficial del banco. Luego me responden, tambi茅n por mensaje privado, desde otra cuenta que se llamaba `Atenci贸n al cliente麓, que tambi茅n ten铆a el logo del banco y ah铆 fue donde yo ca铆鈥, explic贸 el usuario.

Cont贸 que al d铆a siguiente le pidi贸 a un amigo que hiciera lo mismo y el resultado fue igual: primero escribi贸 un mensaje privado a la cuenta oficial de ese mismo banco y respondi贸 otra cuenta, diferente a la primera, que tambi茅n ten铆a el logo de dicho banco y se hac铆a pasar por la entidad oficial.

Lo primero que atin贸 a pensar este usuario fue que lo hab铆an estafado con la ayuda de alguien dentro de la entidad bancaria. Se preguntaba c贸mo era posible que escribiendo un mensaje privado a la cuenta oficial del banco luego recibiera respuesta de otra cuenta trucha. 驴C贸mo pod铆a ser tal coincidencia?

Infobae聽consult贸 a especialistas de ciberseguridad de Eset por este tema y ellos explicaron que lo que ocurri贸 es que la cuenta falsa que lo contact贸 en realidad detect贸 que el usuario hab铆a comenzado a seguir a la cuenta oficial del banco hac铆a apenas unos minutos justamente para poder establecer el contacto inicial con su consulta.

鈥淟a mayor铆a de los usuarios de redes sociales comienzan a seguir a una instituci贸n financiera cuando necesitan enviar un mensaje privado para realizar alg煤n reclamo o consulta. Es decir, que la acci贸n de seguir a esta cuenta y enviarle un mensaje ocurre casi instant谩neamente鈥, dijeron.

El web scraping o 鈥渞aspado鈥 web para obtener informaci贸n

En este contexto, los expertos hablaron del聽web scraping o raspado web, que es una t茅cnica para extraer informaci贸n de sitios web de forma masiva y mediante scripts automatizados.聽鈥淓sta t茅cnica se utiliza para la indexaci贸n de sitios o para realizar an谩lisis de datos de diferentes p谩ginas y se ha vuelto muy popular en algunas acciones de marketing digital, como mejorar el posicionamiento web u obtener m茅tricas. Esto hace que muchas de las herramientas de scraping se encuentren disponibles en internet y sean muy f谩ciles de utilizar鈥, explicaron.

El usuario recibe un mensaje automatizado por el perfil falso de la cuenta en InstagramEl usuario recibe un mensaje automatizado por el perfil falso de la cuenta en Instagram

Si se aplica esta metodolog铆a en las redes sociales, entonces se puede obtener informaci贸n p煤blica del usuario como los me gusta, nombre de perfil y lista de seguidores. Como aclaran los especialistas, estas t茅cnicas de scraping van en contra de los t茅rminos y condiciones de la mayor铆a de las redes sociales, pero no hay una medida t茅cnica que impida hacerlo.

鈥淓sto es exactamente lo que hacen los atacantes en redes sociales como Twitter o Instagram para cometer sus fraudes. Utilizan un script de scraping para obtener la lista de seguidores de las cuentas oficiales de bancos e instituciones financieras. Corren nuevamente ese script minutos m谩s tarde y vuelven a obtener la lista.聽Comparan de forma autom谩tica ambas listas e identifican aquellos usuarios que no estaban en la primera lista y aparecen en la nueva lista de seguidores. Estos son aquellos que comenzaron a seguir la cuenta hace unos minutos鈥, analizaron los investigadores.

A su vez, un bot autom谩tico desde la cuenta falsa que simula ser la entidad bancaria o financiera se pone en contacto con lo usuarios identificados por la t茅cnica anteriormente mencionada, se hace pasar por un asesor virtual y solicita que se le env铆en los datos.聽Como se trata de usuarios que acaban de contactar al banco por una consulta, al recibir, casi de forma inmediata una respuesta por otra cuenta que emula ser de la entidad (e incluso tienen el mismo logo) tienden a confiar聽y dan la informaci贸n que le solicitan.

鈥淒espu茅s de realizar algunas pruebas observamos c贸mo apenas unos minutos despu茅s de comenzar a seguir a diferentes entidades financieras en Instagram, llega el primer contacto desde una cuenta falsa: un c谩lido saludo de un asesor de atenci贸n al cliente que nos pide el n煤mero de tel茅fono para contactarnos. Cada cuenta tiene su mensaje de bienvenida personalizado y, siempre amablemente, nos indica una lista de temas en los que nos puede ayudar y nos pide un n煤mero de contacto. No importa cual sea el motivo de consulta, el atacante seguir谩 insistiendo para obtener el n煤mero de tel茅fono y poder continuar la estafa v铆a telef贸nica鈥, explicaron los investigadores de ciberseguridad.

Falsos perfiles y c贸mo act煤an

Los investigadores detectaron m谩s de 15 contactos de cuentas falsas suplantando la identidad de al menos 4 instituciones financieras argentinas. En muchos casos se trata de cuentas que tienen pocas publicaciones, pero hay otras que tienen un volumen importante de seguidores y de contenido. Adem谩s, las publicaciones son copiadas de la cuenta oficial para poder darle m谩s credibilidad al perfil.

Todas esas cuentas utilizan la misma t茅cnica. Apenas la v铆ctima comienza a seguir la cuenta oficial para hacer un reclamo o consulta, los ciberdelincuentes, por medio de los sistemas automatizados mencionados anteriormente, identifican a sus posibles v铆ctimas y enseguida los contactan desde una cuenta falsa haci茅ndose pasar por un supuesto asesor o bot informativo y le piden su n煤mero de tel茅fono. A partir de ah铆, se comunican por esa v铆a con el usuario y logran, por medio de ingenier铆a social, obtener su clave bancaria y otros datos para luego cometer estafas a trav茅s del homebanking, como ser retirar dinero o pedir pr茅stamos a su nombre.

Medidas de precauci贸n

Verificar siempre que se est茅 recibiendo mensajes de la cuenta verificada del banco (tilde azul). A煤n cuando se est茅 hablando con el canal oficial jam谩s se deben compartir datos confidenciales como clave, token, ni c贸digo de seguridad.

Nunca ir al cajero y realizar las operaciones que se reciben desde el tel茅fono porque es una modalidad que emplean los cibercriminales para que el usuario termine generando una nueva clave de acceso que les permitir谩 luego realizar una estafa.

Si se recibe un SMS, mail, WhatsApp o mensaje por redes sociales o cualquier otra v铆a de una supuesta entidad bancaria solicitando acceder a un link para renovar informaci贸n, evitar hacerlo. Ante la duda es mejor comunicarse telef贸nicamente con el banco o bien ingresar a la p谩gina oficial desde el navegador.

Denunciar las cuentas falsas que se identifiquen en Instagram u otra red social para evitar que sigan cometiendo estafas. Para hacer la denuncia, en el caso de Instagram basta con ingresar en el nombre de perfil, presionar en los tres puntos que figuran en el margen superior derecho y elegir la opci贸n 鈥淩eportar鈥.

Una vez que fuiste v铆ctima del enga帽o: d贸nde y c贸mo denunciar

En primera medida se debe reportar la situaci贸n a su banco. Una vez hecho esto, hay que hacer la denuncia en Defensa del Consumidor, ingresando聽aqu铆.

A su vez, con los datos de la denuncia que realiz贸 el usuario en su banco puede presentar el reclamo en el Banco Central (BCRA) ingresando dentro de la secci贸n 鈥淩eclamos no resueltos鈥 a la que se accede聽aqu铆.

Adem谩s de todo esto, el cliente puede llevar su demanda a la Justicia, con lo cual debe dirigirse a una fiscal铆a o bien directamente acudir a la UFECI, especializada en delitos cibern茅ticos y que tiene diferentes canales de contacto, los cuales se pueden encontrar聽aqu铆.

En los casos que llegan al BCRA, se act煤a acompa帽ando la demanda del cliente para determinar el origen de la estafa y se busca resarcir al cliente, si corresponde.

El BCRA estableci贸 medidas de seguridad que tienen que cumplir los bancos y los controla habitualmente. Las normas son tanto para evitar el hackeos de servidores o cuentas como para prevenir las estafas originarias en enga帽os sociales.

Seg煤n regulaci贸n del BCRA, si el banco detecta una anomal铆a evidente en el comportamiento del cliente como ser que, por ejemplo, una persona comience a hacer varios gastos que nunca antes hab铆a hecho en simult谩neo o saque cr茅ditos y derive los fondos a otra cuenta, la entidad tendr铆a que bloquear las operaciones porque se tratan de operaciones inusuales.

Esto es as铆 porque hay una normativa de seguridad que estipula que los bancos deben tomar medidas para prevenir el fraude a煤n cuando ocurran por medio del uso de las credenciales bancarias las cuales, como se vio, pueden haber sido obtenidas mediante ingenier铆a social.

Art铆culos Relacionados