Expertos detectaron una nueva campaña de ingeniería social que suplanta a un banco argentino en redes sociales con el objetivo de robar dinero e información personal de los usuarios.
Según detalló la compañía de ciberseguridad ESET, los atacantes crean páginas falsas en Facebook que simulan pertenecer a la entidad financiera y prometen beneficios o descuentos para adultos mayores.
Para acceder a esos supuestos beneficios, las víctimas deben comunicarse por WhatsApp con un número provisto por los criminales.
Durante la llamada, los delincuentes se hacen pasar por empleados del banco y solicitan a la víctima que descargue una aplicación desde la tienda oficial de Android, argumentando que es necesaria para acceder al descuento.
Una vez instalada, los atacantes obtienen control remoto del dispositivo y pueden realizar acciones en nombre del usuario.
La aplicación en cuestión se llama Supremo, una herramienta legítima que permite administrar dispositivos móviles de forma remota, usada normalmente por equipos de soporte técnico.
Sin embargo, este tipo de software también es abusado por cibercriminales para controlar los equipos de sus víctimas.
"Ya hemos advertido sobre los riesgos asociados a este tipo de programas, incluso cuando se instalan con fines legítimos", explicó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Lo novedoso de esta campaña, según ESET, es que cuando los atacantes no logran obtener directamente las credenciales bancarias, buscan tomar el control del dispositivo donde se encuentra instalada la app del banco, abriendo así una nueva vía de ataque.
En la tienda Google Play, numerosos usuarios argentinos denunciaron haber sido víctimas de estafas similares desde mayo de 2024.
Entre las marcas suplantadas por campañas que utilizan la app Supremo figuran Netflix, Starlink, Mercado Libre, YPF y distintos bancos locales.
Algunas víctimas incluso reportaron robos de dinero y la toma de préstamos mediante el acceso remoto a sus celulares.
ESET recomienda seguir una serie de medidas preventivas para evitar caer en engaños:
Desconfiar de anuncios o perfiles no verificados que se hagan pasar por bancos o empresas conocidas.
Comunicarse solo a través de canales oficiales.
Evitar hacer clic en promociones o descuentos sospechosos.
No descargar aplicaciones por pedido de desconocidos, ni desde enlaces enviados por chat.
Mantener antivirus actualizado en el celular.
Actualizar sistemas y apps de forma regular.
Cambiar contraseñas y monitorear movimientos bancarios ante cualquier actividad sospechosa.
Con este nuevo caso, ESET vuelve a advertir que las campañas de ingeniería social en Argentina evolucionan, y que los delincuentes ahora aprovechan apps legítimas para obtener acceso directo a los dispositivos de sus víctimas.