{"id":10308,"date":"2021-07-05T06:25:35","date_gmt":"2021-07-05T10:25:35","guid":{"rendered":"https:\/\/www.notaoficial.com\/s\/?p=10308"},"modified":"2021-07-07T06:53:50","modified_gmt":"2021-07-07T10:53:50","slug":"falsos-perfiles-de-bancos-en-instagram-y-como-criminales-estan-utilizando-el-scraping-de-seguidores-para-robar-dinero","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2021\/07\/05\/falsos-perfiles-de-bancos-en-instagram-y-como-criminales-estan-utilizando-el-scraping-de-seguidores-para-robar-dinero\/","title":{"rendered":"Falsos perfiles de bancos en Instagram y c\u00f3mo criminales est\u00e1n utilizando el scraping de seguidores para robar dinero"},"content":{"rendered":"<p>Por Alessandro Bazzoni<\/p>\n<p><a href=\"https:\/\/www.eset.com\/latam\/\">ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, analiza un nuevo caso de fraude bancario. El mismo tiene como objetivo el robo de credenciales de acceso a homebanking -tambi\u00e9n conocido en algunos pa\u00edses como banca electr\u00f3nica o banca online- que no solo son utilizadas para vaciar la cuenta bancaria con peque\u00f1as transferencias a otras cuentas, sino tambi\u00e9n para sacar un pr\u00e9stamo preaprobado a nombre de la v\u00edctima y robar tambi\u00e9n el monto otorgado. La v\u00edctima se queda sin dinero, con las cuotas a pagar del pr\u00e9stamo y un litigio judicial con el banco para intentar demostrar que no fue el titular de la cuenta quien realiz\u00f3 dichas transacciones.<\/p>\n<p>En el \u00faltimo a\u00f1o se reportaron 641 casos en la Unidad Fiscal Especializada en Ciberdelincuencia en Argentina en el \u00faltimo a\u00f1o. Seg\u00fan este organismo, las <a href=\"https:\/\/www.telam.com.ar\/notas\/202104\/551902-estafas-bancarias-ciberdelito.html\">denuncias por estafas bancarias crecieron casi un 3.000 por ciento en 2020<\/a>.<\/p>\n<p>Los estafadores utilizaron distintos esquemas de enga\u00f1o para el mismo objetivo: obtener las claves de acceso a la banca online. En este caso, la campa\u00f1a e se lleva adelante a trav\u00e9s de Instagram. De hecho, en octubre de 2020 advirtieron desde ESET sobre estafadores que estaban utilizando <a href=\"https:\/\/www.welivesecurity.com\/la-es\/2020\/10\/05\/falsas-cuentas-instagram-atencion-cliente-bancos\/\">falsos perfiles en Instagram para hacerse pasar por canales de atenci\u00f3n al cliente de bancos<\/a>. Si bien no hay un perfil definido de las v\u00edctimas, el objetivo es aprovecharse de personas que utilizan las redes sociales para comunicarse con su entidad bancaria ante la dificultad de concurrir presencialmente a una sucursal o hacerlo v\u00eda telef\u00f3nica.<\/p>\n<p>\u201cEscrib\u00ed un mensaje privado a la cuenta de Instagram del banco. Unos minutos m\u00e1s tarde, me responden, tambi\u00e9n por mensaje privado, pero desde otra cuenta llamada \u201cAtenci\u00f3n al cliente\u00bb que tambi\u00e9n ten\u00eda el logo del banco. Desde esa cuenta me solicitaron que brinde un tel\u00e9fono de contacto y que un asesor se iba a comunicar conmigo. Como no hab\u00eda logrado comunicarme a la ma\u00f1ana con el banco, dej\u00e9 mi tel\u00e9fono a esta cuenta y me llamaron enseguida, supuestamente, del banco. Ah\u00ed es donde yo ca\u00ed.\u201d, coment\u00f3 una v\u00edctima de la estafa al equipo de investigaci\u00f3n de ESET.<\/p>\n<p>La mayor\u00eda de los usuarios de redes sociales comienzan a seguir a una instituci\u00f3n financiera cuando necesitan enviar un mensaje privado para realizar alg\u00fan reclamo o consulta. Es decir, que la acci\u00f3n de seguir a esta cuenta y enviarle un mensaje ocurre casi instant\u00e1neamente. Lo que ocurre en esta estafa es que la cuenta falsa que contacta a la v\u00edctima en realidad detect\u00f3 que hab\u00eda comenzado a seguir a la cuenta oficial del banco hac\u00eda apenas unos minutos.<\/p>\n<p>&nbsp;<\/p>\n<p>El \u2018<strong>web scraping<\/strong>\u2019 (o \u2018raspado\u2019 web), es una t\u00e9cnica para extraer informaci\u00f3n de sitios web de forma masiva y mediante scripts automatizados. Si se aplica la t\u00e9cnica de scraping a las redes sociales, se puede obtener de forma masiva todo tipo de informaci\u00f3n p\u00fablica, como los likes de una publicaci\u00f3n o incluso la lista de seguidores de una cuenta p\u00fablica. Desde ESET aclaran que si bien el uso de estas t\u00e9cnicas va en contra de los t\u00e9rminos y condiciones de la mayor\u00eda de las redes sociales, lo cierto es que no hay ninguna medida t\u00e9cnica que impida hacerlo.<\/p>\n<p>Los atacantes utilizan un script de scraping para obtener la lista de seguidores de las cuentas oficiales de bancos e instituciones financieras, minutos m\u00e1s tarde corren nuevamente ese script y comparan ambas listas para identificar los usuarios nuevos. De forma autom\u00e1tica un \u2018bot\u2019 desde una cuenta falsa que simula ser la entidad financiera, contacta a estos usuarios haci\u00e9ndose pasar por un asesor virtual y les solicita que env\u00eden sus datos. Dado que probablemente muchos de estos usuarios adem\u00e1s de seguir la cuenta oficial le enviaron un mensaje privado, caen en el enga\u00f1o cuando la cuenta falsa los contacta.<\/p>\n<p>Al realizar algunas pruebas, desde el Laboratorio de ESET observaron c\u00f3mo apenas unos minutos despu\u00e9s de comenzar a seguir a diferentes entidades financieras en Instagram, lleg\u00f3 el primer contacto desde una cuenta falsa: un c\u00e1lido saludo de un asesor de atenci\u00f3n al cliente solicitando el n\u00famero de tel\u00e9fono establecer el contacto. No importa cu\u00e1l sea el motivo de consulta, el atacante seguir\u00e1 insistiendo para obtener el n\u00famero de tel\u00e9fono y poder continuar la estafa v\u00eda telef\u00f3nica.<\/p>\n<p>ESET detect\u00f3 m\u00e1s de 15 contactos de cuentas falsas suplantando la identidad de al menos 4 instituciones financieras argentinas. Si bien varias de estas cuentas falsas no tienen seguidores o tienen escasos posteos, muchas otras poseen una gran cantidad de seguidores, los cuales probablemente <a href=\"https:\/\/www.welivesecurity.com\/la-es\/2017\/06\/23\/falsos-seguidores-granjas-de-likes\/\">hayan sido comprados u obtenidos de forma fraudulenta<\/a>. Adem\u00e1s, todas las publicaciones son copiadas -robadas- de la cuenta oficial de la entidad bancaria cuya identidad es suplantada, lo cual hace que se vea extremadamente similar a la original.<\/p>\n<p><em>\u00a0<\/em><em>\u201cLas cuentas operan siempre con la misma modalidad: apenas la v\u00edctima comienza a seguir la cuenta oficial, el falso asesor se comunica por mensaje privado ofreciendo una gran variedad de temas para consultar. Si la v\u00edctima responde el mensaje, el asesor le solicitar\u00e1 un tel\u00e9fono de contacto, sea cual sea el motivo de consulta. En menos de una hora de haber enviado el n\u00famero, el estafador se comunica v\u00eda telef\u00f3nica y utiliza informaci\u00f3n de la v\u00edctima obtenida de su red social y otros sitios de Internet (como DNI, direcci\u00f3n, lugar de trabajo, etc.) para hacerle creer que se trata de un asesor del banco que le brindar\u00e1 ayuda. Luego, le solicita informaci\u00f3n sensible, como el usuario y la clave de acceso a la banca online, los n\u00fameros de las tarjetas de cr\u00e9dito y d\u00e9bito, o incluso acercarse hasta el cajero m\u00e1s cercano y realizar determinadas operaciones.\u201d, <\/em>aclara Cecilia Pastorino, Investigadora de ESET que analiz\u00f3 la estafa.<\/p>\n<p>En primer lugar, desde ESET consideran una falla el hecho de que no se pueda ocultar la lista de seguidores en las cuentas p\u00fablicas de redes sociales como Instagram o Twitter, para agregar opciones de privacidad a las cuentas p\u00fablicas, especialmente aquellas oficiales o verificadas. Desde el punto de vista de las instituciones bancarias se puede colaborar con campa\u00f1as de concientizaci\u00f3n y educaci\u00f3n a sus clientes, con recordatorios de buenas pr\u00e1cticas, pol\u00edticas claras de comunicaci\u00f3n y tambi\u00e9n una buena atenci\u00f3n a clientes. Muchas de las estafas por redes sociales son efectivas porque los propios clientes del banco no consiguen comunicarse por v\u00edas oficiales cuando tienen un problema y acuden a las redes sociales.<\/p>\n<p>Por \u00faltimo, como clientes bancarios y usuarios de redes sociales, es sumamente importante estar alerta a este tipo de enga\u00f1os. Verificar siempre que se est\u00e1 recibiendo un mensaje de una cuenta verificada del banco (tilde azul) y aun as\u00ed no brindar datos confidenciales como claves bancarias, tokens o c\u00f3digos de seguridad de la tarjeta de cr\u00e9dito o d\u00e9bito. Adem\u00e1s, nunca ir a cajeros autom\u00e1ticos ni realizar operaciones que se solicitan por tel\u00e9fono ni brindar datos sensibles. Ante cualquier duda, lo mejor es ingresar siempre al homebanking a trav\u00e9s de la p\u00e1gina oficial del banco y no a trav\u00e9s de un enlace recibido por correo o mensaje.<\/p>\n<p><strong>En caso de haber sido v\u00edctima<\/strong> de este tipo de estafas o haber entregado datos sensibles se debe comunicar inmediatamente al banco o a la entidad financiera y dar aviso de lo ocurrido a fin de bloquear el acceso a la cuenta y las transacciones por parte de los cibercriminales. La mayor\u00eda de estas cuentas falsas duran apenas unos d\u00edas, hasta que son reportadas y dadas de baja de la red social. Sin embargo, en ese corto per\u00edodo de tiempo los cibercriminales logran contactar a cientos de usuarios. Por eso, es importante denunciar las cuentas fraudulentas para que sean eliminadas lo m\u00e1s pronto posible.<\/p>\n<p>Por Alessandro Bazzoni<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Por Alessandro Bazzoni ESET, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, analiza un nuevo caso de fraude bancario. El mismo tiene como objetivo el robo de credenciales de acceso a homebanking -tambi\u00e9n conocido en algunos pa\u00edses como banca electr\u00f3nica o banca online- que no solo son utilizadas para vaciar la cuenta bancaria con peque\u00f1as transferencias [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":10309,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[146],"tags":[8606,988,1303,9529],"wppr_data":{"cwp_meta_box_check":"No"},"_links":{"self":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/10308"}],"collection":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/comments?post=10308"}],"version-history":[{"count":1,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/10308\/revisions"}],"predecessor-version":[{"id":10310,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/10308\/revisions\/10310"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media\/10309"}],"wp:attachment":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media?parent=10308"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/categories?post=10308"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/tags?post=10308"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}