Suplantan a empresa de telefonía mexicana para robar datos bancarios

 

La suplantación de identidad se ha convertido en una de las técnicas preferidas de los ciberdelincuentes para robar datos personales y financieros. A través de técnicas de ingeniería social, los atacantes se hacen pasar por instituciones legítimas para generar confianza a la víctima y obtener información sensible. En este contexto, ESET, compañía líder en detección proactiva de amenazas, detectó una campaña activa durante marzo y principios de abril que comenzó con el envío de mensajes de texto que suplantaban la identidad de una de las empresas de telefonía más grandes de México. ESET analiza la forma de operar de esta campaña y brinda recomendaciones de seguridad para los usuarios. El gancho de estos mensajes falsos era un supuesto canje de puntos acumulados por productos, el engaño dirigía a las víctimas a una URL que simulaba pertenecer a la empresa legítima y prometía celulares o smartwatches a cambio de esos puntos, y solicitaba ingresar información financiera. Este sitio ya fue deshabilitado e identificado como fraudulento. “Este caso sirve como ejemplo de cómo los ciberdelincuentes combinan suplantación de identidad con manipulación para comprometer la seguridad de los usuarios en cuestión de minutos”, menciona David González, investigador de seguridad informática de ESET. Modus operandi Desde ESET explican el funcionamiento de esta campaña que estaba estructurada en una serie de etapas diseñadas para generar confianza y obtener información sensible de forma progresiva. Etapa 1: mensaje SMS con enlace a sitio fraudulento El primer signo de alerta en el mensaje falso es el error mínimo en el link, donde al intentar imitar la URL legítima, se cambia la letra “l” por una “i”, lo que a ojos cansados o en momento de distracción puede confundir al usuario y llevarlo a abrir el enlace falso.

Etapa 2: portal fraudulento y manipulación psicológica mediante puntos Una vez que la víctima abre el enlace del SMS, es dirigida a una página que duplica el estilo de la compañía telefónica real. Aparece un formulario para confirmar el número celular con la promesa de acceder al catálogo de productos disponibles para canjear por los supuestos puntos acumulados. Imagen 2. Portal que duplica el estilo de la importante empresa en México donde solicita un “Número de teléfono para consular los puntos”. Una vez confirmado, se muestra un “recordatorio de vencimiento de puntos” y la cantidad de puntos supuestamente acumulados. Aquí se observa una inconsistencia en el monto de puntos que señalaba el mensaje y el que ahora se muestra en el sitio web, además de un mensaje de urgencia típico de estos fraudes advirtiendo que los puntos caducarán pronto, este tipo de avisos transmiten una sensación de urgencia y refuerzan la necesidad de actuar rápidamente. Imagen 3. Sección “Recordatorio de vencimiento de puntos” con tiempos límites y restricciones. Etapa 3: catálogo falso de productos para reforzar el incentivo Cuando el usuario da clic en el botón “siguiente paso”, se le dirige a un catálogo de productos entre los que puede escoger un celular de gama media o alta, hasta smartwatches. Convenientemente, la cantidad de puntos asignados permite al usuario elegir prácticamente cualquier producto. Imagen 4. Catálogo de celulares y smartwatches que puede supuestamente elegir el usuario para gastar sus puntos acumulados. Etapa 4: formularios falsos para recolección de datos personales Después de seleccionar el producto, se dirige a la víctima a un formulario donde se le pide confirmar sus datos e ingresar información personal como nombre, dirección, correo electrónico, entre otros. Imagen 5. Primer formulario donde se le pide información personal al usuario. Etapa 5: solicitud de información bancaria bajo pretexto logístico Al avanzar se despliega un nuevo formulario que solicita datos bancarios con la excusa de validar el pedido de envío del producto canjeado y un pequeño cargo de gestión. Imagen 6. Segundo formulario donde se le pide información bancaria al usuario como Número de tarjeta, Titular, Fecha de Expiración y Código de seguridad (CVV). Etapa 6: simulación del proceso de pago Para darle más credibilidad a la promoción, la página fraudulenta lanza un banner que simula validar la información de la tarjeta del usuario. . Después de unos segundos de la validación de la tarjeta, se envía un “código de verificación” que la víctima recibe por SMS o por correo electrónico y debe introducir en el sitio web donde se pone un temporizador para generar más presión. Una vez compartido el “Código de verificación”, aparece un pop up indicando que se está procesando la información del usuario. Etapa 7: Falla forzada del pago y solicitud reiterada de datos bancarios Como parte del engaño, el sistema simula un rechazo en el pago, redirigiendo al usuario a un segundo formulario donde se le solicita ingresar nuevamente sus datos bancarios. En esta ocasión, el pretexto es un mensaje como: “Esta tarjeta no soporta esta transacción, por favor intente con otra tarjeta”, con el fin de mantener la credibilidad del proceso. En esta fase final, si la víctima no ha identificado señales de alerta, puede optar por ingresar los datos de una segunda tarjeta de crédito al creer que existe un problema con la anterior. Esto permite a los ciberdelincuentes ampliar la cantidad de información financiera recopilada, incrementando el potencial daño para el usuario.

. Si la víctima alcanza esta etapa del proceso, el robo de información ya se ha consumado y sus datos personales y bancarios están en manos de los atacantes. A partir de ese momento, esta información puede ser utilizada de forma directa para cometer fraudes o bien ser comercializada dentro del ecosistema de la ciberdelincuencia, ampliando el riesgo de afectaciones futuras. “Conocer estas tácticas permite identificar otros intentos de fraude bajo distintas fachadas, ya que, una vez detectados y dados de baja los sitios falsos, los ciberdelincuentes suelen migrar a nuevas URLs y reactivar el engaño a través de otros canales de distribución”, asegura el experto de ESET. Filtraciones de datos en México En México, las filtraciones de datos personales se han intensificado durante el arranque de 2026, lo que ha puesto en evidencia las vulnerabilidades tanto en el sector privado como en instituciones públicas. Casos como la mega filtración de datos que se atribuyó el grupo Chronus, en el que expuso información de dependencias gubernamentales, así como la reciente vulneración de sistemas vinculados al registro de líneas telefónicas en el país, ponen sobre la mesa la necesidad de que las instituciones fortalezcan sus estrategias de ciberseguridad. Para los ciberdelincuentes, estas bases de datos representan un atractivo objetivo debido a su volumen, ya que la información personal de miles o millones de usuarios puede ser utilizada en campañas masivas de spam, phishing o fraudes financieros más sofisticados y mejor dirigidos, como es el caso de este análisis. “Hemos observado en varios casos donde los cibercriminales usan el nombre de una entidad o empresa importante para engañar a los usuarios y convencerlos de que brinden datos personales y financieros pues al abusar del conocimiento público de grandes marcas y entidades de confianza, es cuando el usuario baja su defensa”, agrega González, de ESET. Riesgos asociados a las filtraciones de datos La ciberseguridad es un tema prioritario tanto para organizaciones como para usuarios, pues los datos personales se han convertido en una mercancía altamente explotable dentro del mercado de ciberdelincuencia. Los principales riesgos de las filtraciones de datos personales y sensibles son: Robo de identidad: permite a terceros hacerse pasar por la víctima para abrir cuentas bancarias, solicitar créditos o realizar trámites oficiales a su nombre. Fraudes financieros: un uso indebido de datos personales o bancarios puede terminar en compras, transferencias o contrataciones sin autorización del usuario. Campañas de ingeniería social: los atacantes utilizan información real para crear mensajes o llamadas más creíbles, aumentando la probabilidad de que la víctima caiga en el engaño y logren estafarla. Acceso a cuentas: si se filtran correos o contraseñas, los delincuentes pueden ingresar a servicios personales, redes sociales o aplicaciones bancarias y vaciar cuentas o lanzar ataques a las personas cercanas a la víctima. Extorsión: la información personal puede utilizarse para intimidar o presionar a las víctimas a realizar pagos para recuperarla. Recomendaciones de seguridad Ante este panorama, desde ESET recomiendan tomar medidas preventivas como: Evitar compartir datos personales por teléfono, correo o mensajes sin verificar la autenticidad del remitente. Utilizar contraseñas únicas y robustas y combinarlas con letras, números y caracteres especiales. Activar la verificación en dos pasos (2FA) para añadir una capa adicional de seguridad a las cuentas personales y financieras. Monitorear cuentas y movimientos para detectar cualquier actividad sospechosa. Desconfiar de mensajes urgentes o alarmantes. Mantener actualizados los dispositivos.