El phishing en móviles: nuevas alertas de ingeniería social

La nueva modalidad de phising consiste en recibir una falsa llamada de ayuda de Apple pidiendo la contraseña del equipo para vaciar tus cuentas bancarias.
230510-PISHING-2

Expertos recomiendan no abrir enlaces en donde piden brindar una contraseña, menos aún cuando se acaba de sufrir un robo.

El diario El Comercio denunció esta semana que existe una nueva modalidad de robo ligada a los iPhones: ciudadanos son asaltados y posteriormente les vacían sus cuentas de ahorros en los bancos. Cuando el ladrón le quita el celular a la víctima, esta última usa otro teléfono para cancelar la línea móvil y poco después recibe una llamada en donde le piden la contraseña. Esa llamada es parte de una estafa, donde los criminales se hacen pasar por representantes de Apple.

Erick Iriarte, CEO de eBIZ, explicó que, en estos casos, se suele aplicar estrategias de ingeniería social. El criminal conoce algunos detalles sobre la víctima, como donde vive o cual es el número de teléfono de sus acompañantes. Se apela al miedo y nerviosismo del momento del robo para aprovecha de obtener las claves y robar dinero antes de que se alcance a bloquear las tarjetas bancarias. Se trata de un robo focalizado: no es al azar.

Carlos Zúñiga, presidente de la asociación de defensa del consumidor ELEGIR, recordó que los bancos no piden contraseñas ni por mensajes de texto, ni por llamadas. Tampoco lo hacen los fabricantes de celulares o los operadores móviles. Todos los fabricantes de teléfonos tienen como sistema de protección o seguridad una contraseña y no piden enviarla a terceros, menos aun después de un robo, aclaró.

Banner-campaña-isométrico-4a
Banner-campaña-isométrico-4b
Banner-campaña-isométrico-c
Banner-campaña-isométrico-d

Los iPhones tienen un sistema de seguridad que permite ubicar el teléfono cuando se pierde o es robado, pero el usuario accede a dicha información desde el portal de la marca, no desde un enlace que llegue por correo o WhatsApp. Otros fabricantes de teléfonos, con sistema operativo Android, funcionan de similar forma. Uno puede ver, segundos después del robo, donde está el teléfono y compartir la dirección con la policía para atrapar al delincuente sin necesidad de compartir la contraseña.

La víctima en esta modalidad de hurto es objeto de una estrategia basada en engaños para obtener dinero. El teléfono, con todos los medios de pago afiliados al mismo, es solo parte de una estrategia para obtener más dinero. Mientras por vender un equipo de segunda el criminal obtiene, por ejemplo, unos S/100 en Las Malvinas, por la cuenta bancaria puede obtener, mínimo, diez veces más. Por eso estudian todos los detalles y escogen a alguien con fondos para conseguir una mayor “rentabilidad” del robo.


“En estos casos, se suele aplicar estrategias de ingeniería social. El criminal conoce algunos detalles sobre la víctima, como donde vive o cual es el número de teléfono de sus acompañantes”.

– Erick Iriarte, CEO de eBIZ.


La estrategia se basa en la técnica del phishing, es decir un intento de engaño que busca obtener credenciales enviando al consumidor a portales falsos que imitan los originales (propios de las marcas), explico Zúñiga. Los expertos en seguridad advierten que estos pueden ser identificados por faltas ortográficas o letras extra que no existen en la dirección original de los espacios seguros de Apple ID/ Google Account o a la app de búsqueda Find My.

El phishing se aplica no solo a los teléfonos robados sino que es empleado masivamente para obtener contraseñas de todo tipo de servicios. Según la empresa de seguridad Eset, el Perú estaba el 2022 entre los países con más ataques de phishing de América Latina con el 33% del total de detecciones, superando a México, Ecuador y Argentina, que oscilan entre el 8% y 14%.

En estos casos la víctima puede realizar una denuncia ante la División de Delitos de Alta Tecnología (Divindat) de la Policía Nacional. Además, luego de revisar sus prácticas de seguridad y cambiar credenciales, puede reclamar al banco, quien deberá encontrar mecanismos para resguardar a los usuarios por el evidente robo.

NOTICIAS RELACIONADAS

¿Qué tipos de estafas se pueden sufrir al pagar con el celular?

La Policía advierte sobre el uso de tecnologías como el código QR falso o Qhishing para el pago con billeteras móviles. También recomiendan estar alertas a los nuevos riesgos que enfrentan los usuarios móviles, como la clonación de datos NFC de las tarjetas de pago físicas.