La metodología conocida como Scraping tiene como finalidad acceder a datos sensibles de los clientes, como lo son las credenciales de acceso al homebanking, para robar su dinero o solicitar préstamos a su nombre.
Mediante esta modalidad, la víctima se queda sin plata en la cuenta, con las cuotas a pagar del préstamo y frente a un litigio judicial con la entidad financiera para demostrar que se está frente a un fraude bancario.
Según reportaron desde la Unidad Fiscal Especializada en Ciberdelincuencia, se reportaron 641 casos en la Argentina en el último año y las denuncias por estafas bancarias crecieron casi un 3.000 por ciento en 2020.
Los estafadores se valen de diferentes esquemas de engaño, pero todos persiguen el mismo fin: conseguir las claves de acceso a la banca online.
Desde la firma ESET deportaron que en octubre de 2020 el mayor porcentaje de intentos se canalizó utilizando falsos perfiles en Instagram para hacerse pasar por canales de atención al cliente de bancos.
Así, los delincuentes intentaron aprovecharse de las personas que utilizan las redes sociales como canal de comunicación con su entidad bancaria –en muchos casos por no obtener respuestas telefónicas a reclamos- y por la dificultad de concurrir presencialmente a una sucursal.
"Escribí un mensaje privado a la cuenta de Instagram del banco. Unos minutos más tarde, me responden, también por mensaje privado, pero desde otra cuenta llamada "Atención al cliente" que también tenía el logo del banco. Desde esa cuenta me solicitaron que brinde un teléfono de contacto y que un asesor se iba a comunicar conmigo. Como no había logrado comunicarme a la mañana con el banco, dejé mi teléfono a esta cuenta y me llamaron enseguida, supuestamente, del banco. Ahí es donde yo caí.", explicó una víctima de la estafa al equipo de investigación de ESET.
Es que la mayoría de los usuarios de redes sociales comienzan a seguir a una institución financiera cuando necesitan enviar un mensaje privado acción que es descubierta por los ciberdelincuentes, quienes mediante un script de scraping acceden a esa información.
Luego, de forma automática, un ‘bot’ desde una cuenta falsa que simula ser la entidad financiera, contacta a los nuevos usuarios haciéndose pasar por un asesor virtual y les solicita que envíen sus datos.
"Las cuentas operan siempre con la misma modalidad: apenas la víctima comienza a seguir la cuenta oficial, el falso asesor se comunica por mensaje privado ofreciendo una gran variedad de temas para consultar. Si la víctima responde el mensaje, el asesor le solicitará un teléfono de contacto, sea cual sea el motivo de consulta. En menos de una hora de haber enviado el número, el estafador se comunica vía telefónica y utiliza información de la víctima obtenida de su red social y otros sitios de Internet (como DNI, dirección, lugar de trabajo, etc.) para hacerle creer que se trata de un asesor del banco que le brindará ayuda. Luego, le solicita información sensible, como el usuario y la clave de acceso a la banca online, los números de las tarjetas de crédito y débito, o incluso acercarse hasta el cajero más cercano y realizar determinadas operaciones", explicaron los expertos de la firma de seguridad.
En caso de haber sido víctima de este tipo de estafas o haber entregado datos sensibles, lo primero que se debe hacer es comunicarse con el banco o a la entidad financiera y dar aviso de lo ocurrido para bloquear el acceso a la cuenta y las transacciones por parte de los cibercriminales.
Si bien la mayoría de estas cuentas falsas duran apenas unos días, hasta que son reportadas y dadas de baja de la red social.
Pero en ese corto período de tiempo, los cibercriminales pueden contactar a cientos de usuarios.