Nueva estafa del PIX se hace viral en las redes sociales y preocupa a internautas en Brasil: te explicamos en qué consiste
Una aparente nueva modalidad de fraude bancario preocupa a internautas de todo Brasil luego del relato de una periodista que casi cayó en la nueva estafa. Después de lo ocurrido, decidió hacer una alerta pública que se hizo viral en las redes sociales.
El paso a paso de la nueva estafa del PIX
El primer paso del delincuente es llamar a la víctima haciéndose pasar por un supuesto colaborador de la institución bancaria de la cual la víctima es cliente. Acto seguido, él afirma que se detectaron algunos movimientos “sospechosos”, lo cual no es cierto, generalmente en la franja de los 1.785 y 1.980 dólares y que, por cuestiones de seguridad, se ha bloqueado la cuenta.
Entonces, para ganar la confianza de la víctima, el estafador pasa a describir otras transacciones reales del estado de cuenta de la víctima, incluyendo el nombre y el monto de transferencias PIX que, de hecho, realizó ella o el titular de la cuenta corriente. Bueno, en teoría, esa información solo podría estar en poder de un colaborador del banco, ¿no es cierto?
Por último, el estafador le solicita a la víctima que efectúe transacciones vía Pix de los mismos tres valores que le mencionó a determinada cuenta con el pretexto de que, al hacerlo, el sistema del banco automáticamente identificaría una duplicidad y cancelaría todos los movimientos.
Este argumento, por supuesto, es falso. Si el internauta cae en la trampa, podrá perder una gran cantidad de dinero que irá a parar a manos de los ciberdelincuentes. Además, cabe recordar que las transacciones vía PIX son prácticamente irreversibles y que difícilmente los bancos logran tomar alguna providencia en caso de fraude.
Teorías y más teorías
Hasta el momento, no hay mucha información sobre otras víctimas de un intento de estafa tan elaborado como la relatada por la periodista. Aun así, el incidente pone a toda la comunidad brasileña de seguridad de la información en alerta, ya que la gran incógnita es cómo los estafadores tuvieron acceso al estado de cuenta real de la cuenta de la periodista. Es justamente la mención a esa información legítima la que da realismo a la puesta en escena del delincuente y lo que puede llevar a muchos internautas a confiar en lo que él les dice.
Una de las posibilidades es que, para esta nueva campaña de estafas, los malhechores estén abordando específicamente a internautas cuyas cuentas posean la contraseña primaria para entrar al internet banking. Cabe recordar que la mayoría de las instituciones trabaja con dos capas de protección: i) una contraseña alfanumérica que da acceso solo al derecho de visualizar el estado de cuenta y acceder a los menús; ii) y un PIN numérico (generalmente, el mismo utilizado en la tarjeta de crédito o débito) para, efectivamente, realizar transacciones.
La primera contraseña se podría descubrir con un ataque de fuerza bruta o password spraying si la víctima utiliza la misma combinación en otro servicio en línea que haya sufrido una filtración de datos, por ejemplo. Siendo así, sería perfectamente posible que los estafadores tuvieran acceso al estado de cuenta de la víctima, abordándola solo para que ella misma use el PIN numérico para realizar los movimientos fraudulentos.
Sigue siendo un misterio
Por supuesto, hay muchas posibilidades más y teorías que no podemos descartar: el uso de algún malware bancario específico capaz de extraer esa información, el robo de estados de cuenta bancarios impresos tirados en las papeleras de los cajeros automáticos (lo que caracterizaría una modalidad de dumpster diving, o buceo en la basura) o incluso la existencia de infiltrados maliciosos trabajando en colaboración con los ciberdelincuentes dentro de las instituciones bancarias. Sobre esta última hipótesis, el banco de la periodista que reportó el incidente se pronunció ante los medios para garantizar que sigue las mejores prácticas de seguridad internamente.
En definitiva, todavía no es posible saber cómo funciona exactamente el nuevo tipo de estafa ni tampoco si el caso relatado sería un caso aislado o no. De cualquier manera, cabe reforzar este recordatorio: ninguna institución bancaria solicita que el cliente haga transferencias vía Pix “por motivos de seguridad”. Si te abordan y orientan a hacerlo, cuelga el teléfono inmediatamente y entra en contacto con tu institución bancaria para recibir eventuales instrucciones.