El equipo de ESET MDR alertó sobre una campaña de phishing en México que utiliza mensajes de texto para engañar a los usuarios haciéndose pasar por una reconocida institución financiera.
De acuerdo con la empresa especializada en ciberseguridad y detección proactiva de amenazas, los atacantes prometen recompensas en efectivo como incentivo para que las víctimas ingresen sus datos personales y bancarios en portales falsos
El fraude comienza con un SMS que aparenta ser un recordatorio para canjear puntos o recibir una recompensa “solo por hoy”, generando una sensación de urgencia.
Al dar clic en el enlace, la víctima es dirigida primero a un captcha, y después a un sitio web que imita al banco, donde se le solicita ingresar número de teléfono, aceptar “Términos y condiciones” y posteriormente proporcionar información financiera como titular de la tarjeta, número, fecha de vencimiento y código de seguridad.
David González, investigador de seguridad informática de ESET Latinoamérica, advirtió que esta modalidad, cada vez más refinada, representa una amenaza directa para los tarjetahabientes, ya que pone en riesgo datos altamente sensibles si no se detecta a tiempo.
El experto explicó que los ciberdelincuentes incluso muestran “puntos acumulados” con equivalencia en efectivo y fecha de caducidad, reforzando la presión psicológica para inducir al usuario a completar el fraude.
Una vez que la víctima entrega su información, la página confirma un registro exitoso y promete que un asesor se pondrá en contacto en 48 horas.
Después, cualquier intento de navegación adicional redirige a un dominio similar al legítimo del banco con un mensaje de error, lo que marca el final de la cadena de phishing. Para ese momento, los datos ya han sido robados y pueden utilizarse para fraudes financieros, robo de identidad o comercialización en la dark web.
“Este tipo de campañas es particularmente peligroso porque combina manipulación psicológica con páginas falsas que replican a la perfección la imagen de instituciones de confianza y explotan la baja percepción de riesgo que aún existe hacia los SMS”, explicó González.
El phishing se mantiene como una de las técnicas más utilizadas en cibercrimen gracias a la ingeniería social.
Los delincuentes manipulan psicológicamente a las víctimas apelando a la urgencia, el miedo, la curiosidad o la promesa de un beneficio inmediato.
A lo largo de los años se han documentado numerosos ejemplos: desde el clásico correo del “Príncipe Nigeriano”, hasta ofertas “demasiado buenas para ser verdad” con fecha de caducidad, o llamadas telefónicas en las que alguien se hace pasar por personal del banco para advertir de cargos no autorizados.
En todos los casos, el objetivo es el mismo: apropiarse de credenciales, datos bancarios o accesos a sistemas corporativos restringidos.
Ante este panorama, ESET compartió una serie de recomendaciones:
- No proporcionar datos personales o financieros a través de mensajes de texto o páginas de terceros. Ninguna institución financiera solicita esa información por estos medios.
- Evitar hacer clic en enlaces provenientes de números desconocidos, ya que pueden dirigir a páginas fraudulentas.
- Verificar que cualquier promoción o movimiento sospechoso esté publicado en los canales oficiales del banco o consultar directamente en una sucursal.
- Sospechar automáticamente de ofertas “demasiado buenas y por tiempo limitado”.
- Utilizar contraseñas robustas y habilitar la autenticación de doble factor.
- Mantener el sistema operativo y aplicaciones del móvil actualizados para evitar vulnerabilidades.
- Contar con una solución antivirus confiable que bloquee sitios web maliciosos.
