Ciudad de México, México – Una sofisticada campaña de phishing a través de mensaje de texto dirigida a usuarios en México ha sido detectada por el equipo de ESET MDR. Los atacantes se hacen pasar por una entidad financiera reconocida prometiendo recompensas en efectivo como incentivo para que las personas ingresen sus datos personales y bancarios en plataformas fraudulentas. ESET, compañía líder en detección proactiva de amenazas, explica cómo opera esta campaña que está circulando en México y brinda recomendaciones para proteger datos personales.
A través de un mensaje de texto que promete una recompensa en efectivo, los ciberdelincuentes buscan captar la atención de los usuarios y guiarlos hacia una página fraudulenta diseñada para robar información personal y financiera. “Esta modalidad, cada vez más sofisticada, representa una amenaza directa para los tarjetahabientes, quienes podrían ver comprometidos sus datos sensibles si no logran identificar a tiempo el engaño”, asegura David González, investigador de seguridad informática del laboratorio de ESET Latinoamérica.
¿Cómo operan los cibercriminales?
El modus operandi inicia con un SMS de tipo recordatorio que sugiere el canje de puntos o recompensas “solo por hoy”, buscando generar un sentido de urgencia en la víctima.
Al dar clic en el enlace, la víctima es dirigida a un captcha para verificar que quien está del otro lado no se trata de un bot sino de una persona real.
Una vez superado el captcha, aparece una plantilla idéntica la oficial del banco para no levantar sospechas, además de un formulario donde se le solicita a la víctima un número de teléfono y que acepte los “Términos y condiciones” junto con la “Política de Privacidad” para poder canjear la recompensa en efectivo.
En esta etapa, los criminales presentan una página en la que se detallan los “Puntos disponibles”, su equivalencia en efectivo y una fecha límite. González explica que este recurso apela tanto a la urgencia de obtener un beneficio como al temor de perderlo, dos factores que aumentan la probabilidad de que el usuario continúe con el proceso.
Otro punto para destacar es que en la parte inferior los puntos tienen una fecha de caducidad seguida de la leyenda “Importante: Los puntos vencidos no se pueden recuperar. ¡Canjea tus puntos ahora antes de que se pierdan para siempre!”.
Posteriormente, la víctima es conducida a un formulario donde se solicitan sus datos financieros para poder canjear los puntos, incluyendo: “Titular de la tarjeta”, “Número de tarjeta”, “Fecha de vencimiento” y “Código de seguridad”.
Al completar este último paso, la página informa que el registro fue exitoso y que un asesor se contactará dentro de las siguientes 48 horas.
Finalmente, cualquier intento de navegación adicional redirige a un dominio similar al legítimo del banco con un mensaje de error, finalizando la cadena de phishing. En ese momento, los datos ya han sido capturados y pueden ser utilizados por los ciberdelincuentes para fraudes financieros, suplantación de identidad o venta en mercados web ilegales.
“Este tipo de campañas resulta especialmente peligroso porque combina manipulación psicológica con páginas web que imitan con precisión la apariencia de instituciones de confianza y aprovecha la baja percepción de riesgo que aún se tiene hacia los mensajes SMS”, agrega el investigador de ESET.
Este tipo de ataques resulta efectivo porque el phishing se basa en técnicas de ingeniería social, es decir, en la manipulación psicológica de la víctima. Los ciberdelincuentes siempre buscan apropiarse de información sensible a través de distintos medios, ya sea un correo electrónico, un enlace o incluso un simple mensaje de texto. Con ello obtienen credenciales de acceso a servicios de banca en línea o datos que permiten ingresar a sistemas restringidos de empresas.
La historia ha mostrado múltiples ejemplos de cómo operan estas tácticas. Uno de los casos más conocidos es el del “Príncipe Nigeriano”, un correo electrónico muy famoso donde supuestamente un príncipe necesitaba ayuda del usuario para sacar una gran suma de dinero y a cambio le daría una recompensa. Otro caso común es la oferta “demasiado buena y con fecha de caducidad”, en la que se presenta un producto costoso a un precio ridículamente bajo por tiempo limitado para inducir al usuario a compartir datos bancarios. También existe la llamada telefónica en la que alguien se hace pasar por un empleado del banco e intenta obtener credenciales bajo la amenaza de un cargo no autorizado.
En todos estos escenarios, los criminales se apoyan en técnicas psicológicas bien estudiadas: ganarse la confianza de la víctima haciéndose pasar por una autoridad o algún conocido, crear un sentido de urgencia para actuar rápido y sin pensar, inducir miedo para obtener información confidencial, despertar curiosidad con mensajes intrigantes o tentar con promesas de beneficios inmediatos.
Recomendaciones para prevenir fraudes
Ante este panorama, el equipo de ESET comparte las siguientes recomendaciones:
- No proporcionar datos personales o financieros a través de mensajes de texto o páginas de terceros. Ninguna institución financiera solicita esa información por estos medios.
- Evitar hacer clic en enlaces provenientes de números desconocidos, ya que pueden dirigir a páginas fraudulentas.
- Verificar que cualquier promoción o movimiento sospechoso esté publicado en los canales oficiales del banco o consultar directamente en una sucursal.
- Sospechar automáticamente de ofertas “demasiado buenas y por tiempo limitado”.
- Utilizar contraseñas robustas y habilitar la autenticación de doble factor.
- Mantener el sistema operativo y aplicaciones del móvil actualizados para evitar vulnerabilidades.
- Contar con una solución antivirus confiable que bloquee sitios web maliciosos.
Te Recomendamos
