La Policía Cibernética de la SSC de la CDMX reportó una modalidad de estafa en la que los atacantes se hacen pasar por empleados bancarios intentando manipular a los usuarios para que faciliten información personal o realicen transferencias.
Asimismo, el fraude conocido como smishing está en alza, se envían mensajes de texto o vía aplicaciones de mensajería que parecen provenir de bancos o instituciones oficiales, con enlaces o instrucciones sospechosas.
Otro método alerta en México es el spoofing, los delincuentes manipulan el identificador de llamadas, para que la víctima crea que recibe una llamada real de su banco y, a un nivel técnico, la suplantación de la tarjeta SIM (SIM Swapping) también es utilizada para obtener el control de números telefónicos y, por ende, de cuentas vinculadas al mismo.
¿Cómo lo hacen?
Aunque quizá cada ataque tenga su variante, el patrón suele incluir lo siguiente:
-
El usuario recibe una llamada, mensaje SMS o WhatsApp en el que se le informa de una operación “sospechosa” en su cuenta bancaria.
-
Le piden que confirme datos, ingrese un código que llegó por SMS, o que instale una aplicación de apoyo (a veces de control remoto) con la excusa de “verificar” o “resolver” el problema. (En México ya se han documentado casos de descarga de apps para dar acceso al teléfono).
-
Al instalar la app o dar el acceso, el atacante puede ver la pantalla del teléfono, manejar la banca móvil o realizar transferencias sin que la víctima lo note.
-
Muchas veces la víctima confía porque “parece legítimo” el número parece del banco, el mensaje tiene logos, la urgencia hace que no se piense.
¿Por qué funciona tan bien?
-
Porque apelan a emociones fuertes, miedo (que vacíen tu cuenta) + urgencia (tienes que actuar ya).
-
Porque usan canales que se ven “normales” (mensaje de banco, llamada telefónica, WhatsApp).
-
Porque la víctima, al sentirse presionada, baja la guardia y ejecuta lo que le piden.
-
Porque muchas veces confundimos “instalar una app” con “acción normal de soporte” y no vemos que estamos dando acceso remoto o confidencial.
Recomendaciones para protegerte.
-
Nunca respondas con datos bancarios, códigos SMS o NIP’s a llamadas, mensajes o WhatsApp que no esperabas. Si alguien se identifica como tu banco, cuelga y llama tú al número oficial.
-
No descargues aplicaciones o permitas permisos de control remoto si no sabes quién te lo pide. Verifica directamente con tu banco antes de instalar algo por indicación telefónica.
-
Revisa siempre el número que te contacta, si no es el que aparece en el sitio oficial del banco, desconfía. En el spoofing pueden aparecer como “Banco X” pero el número es distinto.
-
Activa la verificación en dos pasos (2FA) en tu banca móvil o apps importantes.
-
Mantén tu teléfono y aplicaciones actualizados, y evita conectarte a redes WiFi públicas sin protección cuando hagas operaciones bancarias.
-
Educa a tu familia: muchas víctimas son personas mayores o familiares que no suelen realizar operaciones y confían en “que es el banco”.
En GitSecurit, acompañamos a las organizaciones y usuarios finales con programas de concientización, auditorías de seguridad móvil y monitoreo continua de riesgos, para que este tipo de ataques no sean un riesgo latente, sino una amenaza mitigada.
Porque en un mundo cada vez más conectado, la seguridad digital debe estar al nivel de la sofisticación de los atacantes.
Fuentes web:
