¿Comenzaste a seguir a un banco en Instagram y de inmediato otra supuesta cuenta de la entidad te pide datos para contactarte? Lo más probable es que estés ante una estafa, una que aprovecha herramientas de web scraping, habituales en el marketing digital, para robar dinero.

Las estafas de este tipo son cada vez más habituales entre los bancos dado que la mayoría de las personas que siguen a una entidad financiera buscan respuesta ante algún problema.

De hecho, el Banco Galicia decidió cerrar su cuenta de Instagram ante los reiterados casos de phishing y el resto de las entidades enviaron una serie de recomendaciones para evitar caer en estafas.

Scraping

El problema con la nueva técnica de ciberdelito es que las herramientas para ponerla en marcha están a disposición de cualquier persona, tenga conocimientos técnicos o no, dado que son empleadas para marketing digital.

El web scraping (raspado web), es una técnica para extraer información de sitios web de forma masiva y mediante scripts automatizados. La técnica se utiliza para la indexación de sitios web o realizar análisis de datos de diferentes páginas y se ha vuelto muy popular en algunas acciones de marketing digital, como mejorar el posicionamiento web u obtener métricas.

Al aplicar la técnica de scraping en redes sociales, se puede obtener de forma masiva todo tipo de información pública, como los likes de una publicación o incluso la lista de seguidores de una cuenta pública. Si bien el uso de estas técnicas va en contra de los términos y condiciones de la mayoría de las redes sociales, lo cierto es que no hay ninguna medida técnica que impida hacerlo.

Esto es exactamente lo que hacen los atacantes en redes sociales como Twitter o Instagram para cometer sus fraudes:

  • Utilizan un script de scraping para obtener la lista de seguidores de las cuentas oficiales de bancos e instituciones financieras
  • Corren nuevamente ese script minutos más tarde y vuelven a obtener la lista
  • Comparan de forma automática ambas listas e identifican aquellos usuarios que no estaban en la primera lista y aparecen en la nueva lista de seguidores. Estos son aquellos que comenzaron a seguir la cuenta hace unos minutos
  • También de forma automática, un bot desde una cuenta falsa que simula ser la entidad financiera, contacta a estos usuarios haciéndose pasar por un asesor virtual y les solicita que envíen sus datos

“Dado que probablemente muchos de estos usuarios además de seguir la cuenta oficial le enviaron un mensaje privado, caen en el engaño cuando la cuenta falsa los contacta”, remarcaron desde la empresa de seguridad informática ESET.

Habitualmente, después de un saludo amable, un supuesto asesor del banco comienza a ofrecer ayuda y solicita un número de contacto para continuar con la asistencia vía telefónica.

De aceptar la solicitud, en menos de una hora, el estafador se comunica vía telefónica y utiliza información de la víctima obtenida de su red social y otros sitios de internet (como DNI, dirección, lugar de trabajo, etc.) para hacerle creer se trata de un asesor del banco que le brindará ayuda.

Luego, le solicita información sensible, como el usuario y la clave de acceso a la banca online, los números de las tarjetas de crédito y débito, o incluso ir hasta el cajero mas cercano y realizar determinadas operaciones.

Todo termina con cuentas vacías o créditos personales a nombre de la víctima.

Cómo protegerse

Es muy importante estar atentos a cómo son las cuentas de donde provienen los mensajes: ver si cuentan con la tilde azul de perfil verificado, antigüedad de la cuenta, cuántos seguidores tienen, qué fotos subieron y cómo son las interacciones con otros usuarios.

Es importante recordar que ninguna entidad bancaria pedirá datos confidenciales como claves bancarias, tokens o códigos de seguridad de la tarjeta de crédito o débito.

Ante cualquier duda, lo mejor es ingresar siempre al homebanking a través de la página oficial del banco y no mediante un enlace recibido por correo o mensaje.

En caso de haber sido víctima de este tipo de estafas o haber entregado datos sensibles se debe comunicar inmediatamente al banco o a la entidad financiera y dar aviso de lo ocurrido a fin de bloquear el acceso a la cuenta y las transacciones por parte de los cibercriminales.