¡Cuidado! Ciberdelincuentes roban información haciéndose pasar por el servicio de operador telefónico

Cada vez que nos registramos en algún sitio o aplicación, ya sea de un banco, tienda u otra plataforma digital, una de las medidas de seguridad más ofrecidas (y a veces obligatoria) es la activación de un factor de autenticación extra. Ya sea para confirmar una transacción, iniciar sesión o recuperar una contraseña, se permite contar con un medio más que permita asegurar nuestra identidad, como realmente quienes queremos realizar la acción elegida. Lo usual es establecer para este fin el envío de mensajes SMS o de WhatsApp al número de teléfono seleccionado. En ese momento se convierte el celular en una especie de “seguro”.

Cada vez que se instala una aplicación ya sea de un banco, tienda u otra plataforma digital en nuestro dispositivo; generalmente al mismo tiempo se crea un usuario y una contraseña de acceso. Como protocolo de seguridad, este tipo de aplicaciones suelen solicitar un medio de recuperación de contraseñas o de validación de transacciones. Lo usual es establecer para este fin el envío de mensajes SMS o de WhatsApp al número de teléfono seleccionado. En ese momento se convierte el celular en una especie de “llave maestra”.

En una campaña recientemente detectada, un cibercriminal suplantando a un operador de una compañía telefónica se comunica con el usuario a través de una llamada y empieza a validar información personal para terminar ofreciéndole actualizar su servicio a 5G. En esta conversación la estrategia del delincuente es pedir datos aparentemente no sensibles, como el modelo del celular y algunos datos de la configuración, para ganar la confianza del usuario y aparentar que realmente es un técnico de la compañía telefónica.

Luego de esa conversación, el cibercriminal le confirma al usuario que la activación del 5G no puede hacerla telefónicamente y que necesita una actualización de software que se la enviará por WhatsApp. Inmediatamente llega un mensaje similar al que se observa en la imagen.

Al ingresar en el enlace recibido, se instala una aplicación que le permite a un tercero tener acceso a los mensajes y comunicaciones que llegan al teléfono del usuario. En esta modalidad de robo de la información, los criminales en menos de 30 minutos (que logran mantener ocupada a la víctima en el teléfono, supuestamente configurando la aplicación 5G, para que no pueda leer los mensajes que le están llegando) consiguen el acceso a las cuentas bancarias mediante la recuperación de claves de acceso. El delincuente ingresa al aplicativo del banco con el nombre de usuario que ya tiene de antemano y luego pedirá recuperar la contraseña, pudiendo configurar una nueva clave gracias a que recibirá código de recuperación que el banco envía por SMS al teléfono (que el criminal también está leyendo en copia). Del mismo modo pueden conseguir los códigos de validación para las transacciones, que también llegan mediante SMS.

“Los cibercriminales cada vez son más ingeniosos, han reciclado este fraude que originalmente funcionaba como SMS´s masivos, para convertirlos en llamadas “personalizadas”  mediante el uso de información sensible y personal que no debería ser obtenida ni filtrada por ninguna entidad según la ley de Protección de datos personales 29733. Además, la población debería tener conocimiento sobre cómo funciona esta tecnología 5G, ya que no existe manera de instalar esta funcionalidad si el equipo celular no cuenta con esta tecnología”, advierte Jorge Zeballos, gerente general de ESET Perú.

Para evitar caer en este tipo de trampas desde sigue estos consejos: