Instagram comenzó a llenarse de historias truchas que simulan estar producidas por un banco. Prometen descuentos muy agresivos en cargas de nafta, vuelos, oportunidades únicas para jubilados, prestamos a tasa baja y mucho más. Todas están realizadas con el logo de la entidad y un diseño cuidado, algo que hoy se puede lograr con cualquier programa de Inteligencia Artificial en segundos.
En la parte inferior del flyer falso que le puede llegar a cualquiera que tenga un perfil en Instagram aparece la leyenda “Más información”. Si se hace clic ahí, el celular dirige a una página que simula ser la del home banking. La víctima entenderá que debe ingresar al banco para obtener más información sobre esa promoción. En todos los casos el diseño de esa página es igual a la de la entidad bancaria.
Allí piden número de documento, de usuario y la clave. Si se colocan los datos personales y claves, chau cuenta. Los cibercriminales la podrán vaciar.
Otros links dirigen a una llamada telefónica. Le ocurrió hace unas semanas al periodista deportivo Guillermo Salatino. Creyó obtener un descuento de YPF y le robaron 1,8 millón de pesos de su cuenta. El comunicador cayó en la trampa por medio de Instagram. «Estaba viendo reels y vi uno de una oferta de 30% de descuento en YPF. Llamé al número que figuraba en el reel y me atendieron”, contó. Ahí le pidieron algunos datos.
Al final, transfirieron su dinero a una cuenta del ICBC que no pudo rastrear. “No pude ser tan pelotudo”, se lamentó el periodista.
Lo que en la jerga se conoce como “ingeniería social”, es la herramienta que vuelven a utilizar los ciberdelincuentes. Esto no es más que detectar las necesidades de buena parte de la población y explotar su lado flaco para robar. Si en la pandemia enviaban falsas posibilidades de vacunarse contra el Covid, ahora, por la crisis económica sin freno, ofrecen promociones ideadas para los argentinos caza descuentos de clase media.
“Estos engaños suelen tener una duración muy corta. Porque alguien los reporta e Instagram los da de baja. Se estima que duran entre 8 y 10 horas y se potencian con los mismos algoritmos de las redes. Por ejemplo, si alguien esta buscando pasajes de avión, probablemente le llegue una promo falsa de vuelos. O si está buscando un descuento para cargar combustible, puede llegarle un flyer con un falsa promoción”, explica a Clarín Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Cómo son los avisos truchos
Un falso aviso que busca en engañar jubilados con una promo de Netflix inexistente.Lo grave del asunto es que estas propagandas truchas llegan como cualquier otra publicidad de Instagram. Es como si un cartel de publicidad en la vía pública nos de la dirección de un lugar adonde nos van a robar.
Meta, dueña de Instagram, prefirió no contestar preguntas de Clarín. Pero fuentes de la empresa enviar un comunicado sobre el tema a la redacción.
«Nuestras Normas de Publicidad prohíben explícitamente los anuncios que promocionan productos, servicios, esquemas u ofertas utilizando prácticas engañosas o fraudulentas, incluyendo anuncios destinados a estafar a las personas o a robarles información personal. Todo el contenido, incluidos los anuncios, puede reportarse y tomamos medidas cada vez que identificamos contenido infractor de nuestras políticas», dice la nota.
“Lo que ocurre es que Meta se desliga de las responsabilidades que le pueden caber cuando el usuario firma las condiciones de uso de la plataforma. Y tiene una política de control de anuncios reactiva. Es decir que actúa cuando ya hay hechos consumados con denuncias de los usuarios, y ahí sí dan de baja la publicidad. Sucede que cualquiera puede subir una publicidad a Instagram y, al pagar, ya estará online. Quizá deberían optimizar el algoritmo para que detecte este tipo de engaños antes de ser publicados”, agrega Gutiérrez Amaya.
“Meta cuenta con revisiones automatizadas y manuales, que son activadas con el reporte de usuarios, motivo por el cual es importante denunciar los engaños”, suma en la misma línea Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
Ante la creciente cantidad de avisos truchos que llegan a nombre de todos los bancos, estas entidades buscan concientizar a sus clientes.
“En 2024 realizamos comunicaciones estratégicas en colaboración con distintas áreas del banco para sensibilizar a nuestros clientes sobre los riesgos de fraudes. Estas iniciativas incluyeron envío de mailings educativos sobre los fraudes más comunes, creación de una historia destacada en Instagram con recomendaciones sobre ciberseguridad, publicaciones en redes sociales, complementadas con pauta para ampliar el alcance, activación de trivias interactivas sobre ciberseguridad, comunicaciones en nuestras sucursales y comunicaciones a empleados”, dijo a Clarín Juan Uranga, CMO y Head de Ventas Digitales y Diseño/UX de BBVA en Argentina.
¿Qué hay que hacer si sea cae en la trampa?
Siempre conviene hacer la denuncia. (Foto: AFP)“Primero se debe tratar de minimizar el daño. Si la estafa involucró compartir datos personales como credenciales, se deben cambiar las contraseñas de inmediato y si es posible activar un segundo factor de autenticación. En caso de haber realizado una transferencia o un pago, contactar al banco o entidad financiera para anular la operación, bloquear la cuenta en caso de billeteras virtuales o desconocer la compra en caso de tarjetas de crédito”, explica Cuozzo.
Una vez que se puso todo en orden, conviene hacer una denuncia.
“Esto puede ser en Instagram, en la opción «reportar» tanto la cuenta, la publicación o el anuncio fraudulento; en la Policía o fiscalía mas cercana al domicilio y ante la entidad especializada de ciberseguridad (todo el país: Unidad Fiscal Especializada en Ciberdelincuencia del Ministerio Público Fiscal, denunciasufeci@mpf.gov.ar; Ciudad de Buenos Aires: Unidad Fiscal Especializada en Delitos y Contravenciones Informáticas del Ministerio Público Fiscal de CABA, denuncias@fiscalias.gob.ar).
El negocio para los delincuentes parece ser muy redituable y poco riesgoso. Ya se detectaron “granjas” con alcance global con operadores que manejan herramientas de IA para realizar estos avisos.
Es que no hay controles proactivos por parte de Instagram y si los hay son muy débiles y como estás campañas pueden llegar desde otros países, a la Justicia se le hace muy difícil actuar. Parece que sólo queda no estar desprevenido y desconfiar. “Hay que dudar de toda promoción que pueda catalogarse como muy bueno para ser cierto”, alerta Cuozzo.