Una nueva modalidad de estafa digital está afectando a los usuarios en Ecuador. Una ciudadana, identificada como Mercedes A., estuvo a punto de perder más de USD 500 de su tarjeta de crédito tras ser víctima de una sofisticada campaña de phishing. El engaño, que se inició con un mensaje de texto aparentemente inofensivo, se aprovechó de la confianza generada por un remitente casi idéntico al de su banco, exponiendo las vulnerabilidades en los sistemas de seguridad y la falta de regulación.
El incidente comenzó el pasado 7 de agosto, cuando Mercedes recibió un SMS que la invitaba a canjear las millas de su tarjeta internacional. El mensaje provenía de un número casi idéntico al que la entidad financiera utiliza para enviar notificaciones oficiales, lo que le dio una falsa sensación de seguridad. Al hacer clic en el enlace, fue redirigida a una página web que, a primera vista, era una réplica exacta del sitio oficial del banco, con los mismos logotipos, colores y estructura.
La página le permitió elegir un producto a canjear por sus millas, solicitándole únicamente el pago de un costo de envío. Al proceder con el pago, el sitio redirigió a una nueva pestaña para solicitar sus datos personales y de la tarjeta, incluyendo fecha de caducidad y código de seguridad. Lo más alarmante ocurrió a continuación: el sistema le pidió un código de seguridad que, supuestamente, llegaría a su celular para confirmar la operación. Este código llegó, efectivamente, del número oficial del banco, pero como alerta de una compra de USD 544,50 en lugar de una confirmación del canje. Fue en ese momento que Mercedes se percató del engaño, detuvo la transacción y se comunicó con su banco para bloquear la tarjeta, evitando así la pérdida de su dinero.
Estafa
Radio Pichincha se comunicó con un experto en ciberseguridad que advierte sobre un método de estafa llamado phishing, el cual es mucho más que un engaño por internet.
Detrás de él existen redes criminales que invierten en sistemas muy parecidos a los de los bancos para robar datos y dinero.
El phishing es una técnica de ingeniería social que utilizan los ciberdelincuentes para obtener información confidencial de los usuarios, haciéndose pasar por entidades legítimas mediante correos electrónicos, mensajes o sitios web falsos.
El objetivo es engañar a las víctimas para que revelen datos personales como contraseñas, información bancaria o números de tarjetas de crédito.
Una táctica muy utilizada es el uso de servicios legales de mensajería masiva por SMS o API para enviar mensajes falsos que imitan a la perfección a los de las entidades financieras.
Con este formato, casi idéntico al oficial, logran que la víctima confíe y haga clic en enlaces peligrosos.
En Ecuador, muchas de estas campañas se alimentan de bases de datos filtradas en internet. Un ejemplo es la fuga masiva ocurrida en 2021 en CNT, cuando se robaron más de 190 gigabytes de información, en lo que se considera la mayor filtración registrada en el país.
Con estos datos en su poder, los delincuentes recurren a plataformas conocidas como PhaaS (Phishing-as-a-Service), que clonan páginas web legítimas con todos sus colores, logotipos y estructura.
La combinación de la pasarela de mensajería con la página clonada puede costar desde USD 500 por un ataque básico hasta USD 10.000 por operaciones complejas. Gracias a redes de anonimización, logran dejar poco o ningún rastro.
El experto consultado señala que en Ecuador existe un vacío legal que favorece a los atacantes.
Afirma que muchas entidades financieras trasladan la responsabilidad al cliente, incentivándolo incluso a comprar paquetes de seguridad para sus compras, cuando deberían garantizar sistemas más robustos de protección.
También alerta que no se debe confiar ciegamente en el remitente: una misma pasarela de mensajería puede ser utilizada por un banco legítimo y, al mismo tiempo, por estafadores.
Tampoco el candado de seguridad en una página web es garantía, ya que cualquier persona puede obtener un certificado SSL y usarlo en un sitio fraudulento.
Cómo operan las redes criminales detrás del phishing
Según un experto en ciberseguridad, esta modalidad de estafa, conocida como phishing, es una técnica de ingeniería social cada vez más avanzada. Detrás de estos ataques no hay estafadores solitarios, sino redes criminales organizadas que invierten en sistemas sofisticados para robar datos y dinero.
Estos delincuentes utilizan servicios legales de mensajería masiva por SMS, que les permiten enviar mensajes que imitan a la perfección los de las entidades bancarias. La credibilidad se ve reforzada por el uso de bases de datos filtradas. Como *dato de referencia, un ejemplo de la vulnerabilidad en Ecuador fue la masiva fuga de información en 2021 de la empresa CNT, donde se robaron más de 190 gigabytes de datos personales.
Con esta información en su poder, los criminales utilizan plataformas conocidas como PhaaS (Phishing-as-a-Service), que clonan sitios web legítimos. La combinación de una pasarela de mensajería que simula ser el banco y una página web idéntica a la oficial crea una trampa casi perfecta. El costo de una operación de este tipo puede variar desde USD 500 hasta USD 10.000, un negocio lucrativo que les permite operar con impunidad, dejando poco rastro gracias a redes de anonimización.
El experto recomienda:
1. No abrir enlaces enviados por SMS. Aunque el número parezca oficial, podría ser falso y robar contraseñas, datos de tarjetas o información personal.
2. Verificar enlaces sospechosos en virustotal.com. Esta herramienta analiza la dirección y advierte si ha sido usada antes en ataques.
3. No confiar solo en el candado de seguridad de una web. El certificado SSL no garantiza que el sitio sea legítimo; los delincuentes también lo utilizan.
4. Desconfiar del remitente. Una misma pasarela de mensajería puede enviar mensajes legítimos y fraudulentos al mismo número.
5. Evitar guardar contraseñas y datos en el navegador. Si tu equipo se ve comprometido, el atacante podría acceder a toda esa información.
Recomendaciones para protegerse
El experto advierte que en Ecuador existe un vacío legal que beneficia a los atacantes, y que muchas entidades financieras trasladan la responsabilidad al cliente. Por ello, recomienda seguir las siguientes pautas para evitar caer en estos engaños:
- Verifique el remitente, no confíe ciegamente: Aunque el número parezca oficial, los estafadores pueden imitarlo.
- No abra enlaces de SMS sospechosos: Verifique siempre la URL, ya que, aunque la página se vea idéntica, la dirección web puede ser distinta. Herramientas como virustotal.com pueden ayudar a verificar si un enlace ha sido utilizado en ataques.
- El candado de seguridad no es garantía: Cualquier sitio web, incluso los fraudulentos, puede obtener un certificado SSL y mostrar el ícono del candado.
- Evite guardar datos: No almacene contraseñas ni datos bancarios en su navegador para evitar que sean robados si su dispositivo se ve comprometido.
