1

ESET -Nota de Prensa

Falsos perfiles de bancos en Instagram y cómo criminales

están utilizando el scraping de seguidores para robar dinero
ESET alerta sobre una nueva estafa que apunta a los nuevos seguidores de las cuentas oficiales de
un banco, para intentar engañarlos y así obtener sus claves de homebanking, robar dinero y
solicitar préstamos preaprobados.

Bogotá – ESET, compañía líder en detección proactiva de amenazas, analiza un nuevo caso de fraude
bancario. El mismo tiene como objetivo el robo de credenciales de acceso a homebanking -también
conocido en algunos países como banca electrónica o banca online- que no solo son utilizadas para
vaciar la cuenta bancaria con pequeñas transferencias a otras cuentas, sino también para sacar un
préstamo preaprobado a nombre de la víctima y robar también el monto otorgado. La víctima se
queda sin dinero, con las cuotas a pagar del préstamo y un litigio judicial con el banco para intentar
demostrar que no fue el titular de la cuenta quien realizó dichas transacciones.

En el último año se reportaron 641 casos en la Unidad Fiscal Especializada en Ciberdelincuencia en

Argentina en el último año. Según este organismo, las denuncias por estafas bancarias crecieron casi
un 3.000 por ciento en 2020.

Los estafadores utilizaron distintos esquemas de engaño para el mismo objetivo: obtener las claves
de acceso a la banca online. En este caso, la campaña e se lleva adelante a través de Instagram. De
hecho, en octubre de 2020 advirtieron desde ESET sobre estafadores que estaban utilizando falsos
perfiles en Instagram para hacerse pasar por canales de atención al cliente de bancos . Si bien no hay
un perfil definido de las víctimas, el objetivo es aprovecharse de personas que utilizan las redes
sociales para comunicarse con su entidad bancaria ante la dificultad de concurrir presencialmente a
una sucursal o hacerlo vía telefónica.

“Escribí un mensaje privado a la cuenta de Instagram del banco. Unos minutos más tarde, me
responden, también por mensaje privado, pero desde otra cuenta llamada “Atención al cliente" que
también tenía el logo del banco. Desde esa cuenta me solicitaron que brinde un teléfono de contacto
y que un asesor se iba a comunicar conmigo. Como no había logrado comunicarme a la mañana con
el banco, dejé mi teléfono a esta cuenta y me llamaron enseguida, supuestamente, del banco. Ahí es
donde yo caí.”, comentó una víctima de la estafa al equipo de investigación de ESET.

La mayoría de los usuarios de redes sociales comienzan a seguir a una institución financiera cuando
necesitan enviar un mensaje privado para realizar algún reclamo o consulta. Es decir, que la acción de
seguir a esta cuenta y enviarle un mensaje ocurre casi instantáneamente. Lo que ocurre en esta
estafa es que la cuenta falsa que contacta a la víctima en realidad detectó que había comenzado a
seguir a la cuenta oficial del banco hacía apenas unos minutos.

El ‘web scraping’ (o ‘raspado’ web), es una técnica para extraer información de sitios web de forma
masiva y mediante scripts automatizados. Si se aplica la técnica de scraping a las redes sociales, se
puede obtener de forma masiva todo tipo de información pública, como los likes de una publicación
o incluso la lista de seguidores de una cuenta pública. Desde ESET aclaran que si bien el uso de estas
técnicas va en contra de los términos y condiciones de la mayoría de las redes sociales, lo cierto es
que no hay ninguna medida técnica que impida hacerlo.

Los atacantes utilizan un script de scraping para obtener la lista de seguidores de las cuentas oficiales
de bancos e instituciones financieras, minutos más tarde corren nuevamente ese script y comparan
 2
ESET -Nota de Prensa

ambas listas para identificar los usuarios nuevos. De forma automática un ‘bot’ desde una cuenta
falsa que simula ser la entidad financiera, contacta a estos usuarios haciéndose pasar por un asesor
virtual y les solicita que envíen sus datos. Dado que probablemente muchos de estos usuarios
además de seguir la cuenta oficial le enviaron un mensaje privado, caen en el engaño cuando la
cuenta falsa los contacta.

Al realizar algunas pruebas, desde el Laboratorio de ESET observaron cómo apenas unos minutos
después de comenzar a seguir a diferentes entidades financieras en Instagram, llegó el primer
contacto desde una cuenta falsa: un cálido saludo de un asesor de atención al cliente solicitando el
número de teléfono establecer el contacto. No importa cuál sea el motivo de consulta, el atacante
seguirá insistiendo para obtener el número de teléfono y poder continuar la estafa vía telefónica.

Pie de imagen: Mensajes y solicitudes de seguimiento de cuentas falsas, minutos después de comenzar a seguir
a cuentas verificadas de instituciones financieras
 3
ESET -Nota de Prensa

Imagen 2. Cuenta falsa que suplanta la identidad de Banco Galicia

Imagen 3. Cuenta falsa que suplanta la identidad del Banco Nación Argentina
 4
ESET -Nota de Prensa

Imagen 4. Cuenta falsa que suplanta la identidad de BBVA, intenta seguirte y enviarte mensaje

ESET detectó más de 15 contactos de cuentas falsas suplantando la identidad de al menos 4

instituciones financieras argentinas. Si bien varias de estas cuentas falsas no tienen seguidores o
tienen escasos posteos, muchas otras poseen una gran cantidad de seguidores, los cuales
probablemente hayan sido comprados u obtenidos de forma fraudulenta. Además, todas las
publicaciones son copiadas -robadas- de la cuenta oficial de la entidad bancaria cuya identidad es
suplantada, lo cual hace que se vea extremadamente similar a la original.

“Las cuentas operan siempre con la misma modalidad: apenas la víctima comienza a seguir la cuenta
oficial, el falso asesor se comunica por mensaje privado ofreciendo una gran variedad de temas para
consultar. Si la víctima responde el mensaje, el asesor le solicitará un teléfono de contacto, sea cual
sea el motivo de consulta. En menos de una hora de haber enviado el número, el estafador se
comunica vía telefónica y utiliza información de la víctima obtenida de su red social y otros sitios de
Internet (como DNI, dirección, lugar de trabajo, etc.) para hacerle creer que se trata de un asesor del
banco que le brindará ayuda. Luego, le solicita información sensible, como el usuario y la clave de
acceso a la banca online, los números de las tarjetas de crédito y débito, o incluso acercarse hasta el
cajero más cercano y realizar determinadas operaciones.”, aclara Cecilia Pastorino, Investigadora de
ESET que analizó la estafa.

En primer lugar, desde ESET consideran una falla el hecho de que no se pueda ocultar la lista de
seguidores en las cuentas públicas de redes sociales como Instagram o Twitter, para agregar
opciones de privacidad a las cuentas públicas, especialmente aquellas oficiales o verificadas. Desde el
punto de vista de las instituciones bancarias se puede colaborar con campañas de concientización y
educación a sus clientes, con recordatorios de buenas prácticas, políticas claras de comunicación y
también una buena atención a clientes. Muchas de las estafas por redes sociales son efectivas
porque los propios clientes del banco no consiguen comunicarse por vías oficiales cuando tienen un
problema y acuden a las redes sociales.

Por último, como clientes bancarios y usuarios de redes sociales, es sumamente importante estar
alerta a este tipo de engaños. Verificar siempre que se está recibiendo un mensaje de una cuenta
verificada del banco (tilde azul) y aun así no brindar datos confidenciales como claves bancarias,
tokens o códigos de seguridad de la tarjeta de crédito o débito. Además, nunca ir a cajeros
automáticos ni realizar operaciones que se solicitan por teléfono ni brindar datos sensibles. Ante
cualquier duda, lo mejor es ingresar siempre al homebanking a través de la página oficial del banco y
 5
ESET -Nota de Prensa

no a través de un enlace recibido por correo o mensaje.

En caso de haber sido víctima de este tipo de estafas o haber entregado datos sensibles se debe
comunicar inmediatamente al banco o a la entidad financiera y dar aviso de lo ocurrido a fin de
bloquear el acceso a la cuenta y las transacciones por parte de los cibercriminales. La mayoría de
estas cuentas falsas duran apenas unos días, hasta que son reportadas y dadas de baja de la red
social. Sin embargo, en ese corto período de tiempo los cibercriminales logran contactar a cientos de
usuarios. Por eso, es importante denunciar las cuentas fraudulentas para que sean eliminadas lo más
pronto posible.

De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET:
https://www.welivesecurity.com/la-es/2021/06/18/falsos-perfiles-bancos-instagram-criminales-
utilizando-scrapping-seguidores/

Visítanos en: @ESETLA /company/eset-latinoamerica

Acerca de ESET

Desde 1987, ESET® desarrolla soluciones de seguridad que ayudan a más de 100 millones de usuarios a disfrutar la
tecnología de forma segura. Su porfolio de soluciones ofrece a las empresas y consumidores de todo el mundo un equilibrio
perfecto entre rendimiento y protección proactiva. La empresa cuenta con una red global de ventas que abarca 180 países y
tiene oficinas en Bratislava, San Diego, Singapur, Buenos Aires, México DF y San Pablo. Para obtener más información, visite
www.eset-la.com o síganos en LinkedIn, Facebook y Twitter.

Datos de Contacto de Comunicación y Prensa

Para más información se puede poner en contacto a través de prensa@eset-la.com o al +54 11 2150-3700.
Además, puede visitar “Somos ESET” nuestro Blog de Comunicación de ESET con las últimas novedades,
disponible en: https://www.somoseset.com/

Copyright © 1992 – 2021. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros
nombres y marcas son marcas registradas de sus respectivas empresas.