Ante la avalancha de anuncios publicitarios engañosos en redes sociales y la creciente ola de robos a cuentas bancarias que ha ocurrido durante las últimas semanas en el país, la Asociación Bancaria de Venezuela (ABV), junto con la red de bancos nacionales, lanzaron la campaña La precaución es tu escudo, que busca crear consciencia entre los venezolanos sobre el phishing y los peligros detrás de esta modalidad.
Esto, sin embargo, no ha detenido a los ciberdelincuentes, quienes han amoldado la iniciativa a su favor.
Tal es el caso de una cuenta fraudulenta de Instagram que se hace pasar por asesora del Banco Mercantil. que tomó un arte de la campaña de la ABV y lo utilizó para un anuncio el 9 de octubre que ya fue eliminado.
La imagen que acompaña al post pagado dice textualmente "no hagas clic en enlaces sospechosos de correos, mensajes o redes sociales donde (sic) te soliciten datos sensibles". Irónicamente, la publicación pagada "invitaba" a registrarse a través de un enlace que llevaba a una réplica de la interfaz de inicio de sesión del Banco Mercantil que solicitaba ¿¿¿usuario y contraseña???
Otra cuenta de Instagram, que suplanta al Banco de Venezuela, argumentó mediante una publicidad pagada que debido a múltiples denuncias de estafas en redes sociales, se dieron a la tarea de "desarrollar una seguridad extra para evitar que sus clientes se vean afectados".
Acto seguido, invita a "consultar los pasos en nuestra página". Más abajo, un enlace con la frase "MÁS INFORMACIÓN".
¿El enlace? Mismo modus operandi que el anterior: replica la página de inicio de sesión del BDV y de una vez pide usuario y contraseña. El anuncio pagado ya no existe, mas la publicación sigue en el feed de la cuenta.
Otro caso curioso es el de una cuenta que se hace pasar por gerente del Mercantil. Al menos es lo que se desprende de la imagen de perfil.
Este usuario paga publicidades constantemente (al momento de la redacción de esta nota tiene tres anuncios activos, todos publicados entre el 18 y el 21 de septiembre). Lo interesante es que, siendo "gerente del Mercantil", también ha promocionado posts engañosos con artes del Banco de Venezuela. Phishing puro y duro.
Un modus operandi claramente definido
El patrón de estos perfiles es precisamente lo que define el phishing o la "pesca de datos", como la llama Pedro Pacheco, presidente de la Asociación Bancaria de Venezuela: tirar el anzuelo o la red mediante publicidades pagas en redes sociales como Facebook e Instagram por uno o dos días (una acción relativamente sencilla, de bajo costo y con un buen alcance si es bien segmentada), pescar (ver si alguien cae y comparte sus datos bancarios" y retirar el anzuelo o la red (eliminar el anuncio).
Por eso, es importante tener presentes las recientes declaraciones en medios de Pacheco:
"El acto de comunicación entre banco y cliente lo debe iniciar el cliente, nunca el banco". Si una cuenta comienza una interacción y solicita datos, es una estafa en potencia.
También es pertinente recalcar que los bancos nunca solicitan datos personales de los usuarios por ningún medio, ya sea llamada telefónica, mensajes de texto, WhatsApp o enlaces vía correos electrónicos o redes sociales.
Como advirtió el equipo de DetECta en trabajos anteriores sobre este tema, es recomendable conocer los canales de comunicación oficiales de las instituciones bancarias de las que se es cliente. Es decir, sitio web y redes sociales. Así, si un usuario se encuentra con uno de estos anuncios fraudulentos, con ver la cuenta que lo publica puede cerciorarse de que no proviene del banco.
Si por curiosidad o mala suerte hace clic, no introduzca los datos bancarios. Observe el dominio. Si no corresponde con el URL de la web oficial de su institución, está en presencia de un intento de phishing o de estafa.
