Una mujer de 61 años, llamada Sandra, realizó una búsqueda en Google del nombre de su banco para hacer una transacción común. Al seleccionar el primer enlace que el buscador mostró, que era un anuncio pagado, encontró una web idéntica a la del Home Banking que solía usar. Al ingresar sus datos de usuario y contraseña, algo no funcionó correctamente.
Le solicitaron un token mientras un mensaje le advertía que era un procedimiento normal para evitar fraudes. Aceptó ingresar el código y, en cuestión de minutos, su cuenta quedó vacía, perdiendo 9 millones de pesos en el proceso.
Lo que le ocurrió a Sandra fue caer víctima de un grupo de estafadores que lograron desviar su interacción entre la página original y su réplica. Se trata de un caso de phishing, una táctica que ha crecido notablemente desde la pandemia. Sin embargo, según un banco, Google también tiene su parte de culpa en esta estrategia.
El Nuevo Banco de Chaco, tras una serie de robos a sus clientes y múltiples solicitudes de ayuda a Google sin resultados contundentes, ha decidido dar un paso sin precedentes: presentar una denuncia legal contra el buscador.
Según tuvo acceso Clarín, la denuncia fue interpuesta en la Fiscalía N°13 de Resistencia, especializada en delitos cibernéticos, dirigida por Víctor Recio. En dicha denuncia, la entidad acusa a Google de facilitar indirectamente a los ciberdelincuentes al no ofrecer herramientas que permitieran prevenir estos fraudes, distribuidos a través de Google ADS.
El equipo de Seguridad Informática del banco detalla que sus sistemas antifraude lograron frenaron más de 200 intentos de fraude justo antes de consumarse. No obstante, 14 de sus clientes sufrieron pérdidas antes de que el banco implorara apoyo a Google.
Varios actores del sector bancario han hecho oír sus quejas al gigante tecnológico solicitando herramientas que mitiguen el aumento de fraudes sin haber recibido respuestas efectivas.
Métodos de engaño
Los estafadores elaboran páginas que replican al detalle la interfaz de banca digital, incluyendo los campos para usuario y contraseña, utilizando guías detalladas accesibles en plataformas como Telegram, que no requieren grandes conocimientos técnicos.
A través de Google ADS, los estafadores compran espacios publicitarios para que sus sitios web aparezcan entre las primeras opciones de búsqueda cuando las personas busquen términos específicos.
Mediante Google ADS, los defraudadores apuntan anuncios a segmentos demográficos específicos, por ejemplo, a quienes buscan términos como “banca en Chaco”.
Al intentar buscar “banco chaco” en Google, Clarín se encontró con que el primer resultado correspondía a un anuncio engañoso que dirigía a un sitio web falso.
El análisis de ‘más información’ del anuncio reveló que estaba asociado a un individuo llamado César M.C., de 25 años, residente de un barrio en San Miguel de Tucumán. En sus redes sociales, se identifica como entrenador de fútbol amateur.
No solo las instituciones bancarias son víctimas; también se presentan sitios falsos publicitando promociones, desalojos de servicios públicos o subsidiarios, aprovechando la segmentación para dirigir su fraude.
Google utiliza un sistema de subasta para determinar qué anuncio aparece en primer lugar, con las ofertas más altas obteniendo ventaja.
La segmentación permite a los estafadores ajustar sus campañas a ubicaciones específicas con el fin de superar las ofertas del banco y evitar sus métodos de control.
La falta de un panel de control proporcionado por Google no permite al banco verificar y prevenir anuncios inseguros relacionados con sus palabras clave.
El banco intentó alertar a Google Argentina sin obtener resultados más allá de la recepción del aviso, lo que motivó la acción legal. Acusan a Google de priorizar su modelo de negocio sobre la seguridad, lo que los hace cómplices por acción u omisión.
Expansión del fraude en otras plataformas
En Instagram, los fraudes también se diseminan bajo disfraces de populares campañas promocionales, con combinaciones de marcas para engañar de manera más efectiva, como le ocurrió al periodista Guillermo Salatino.
Los estafadores utilizan sistemas de alerta para recibir rápidamente la información de los usuarios conectados, ya sea a través de Telegram o con personal dedicado a monitorear.
Para perpetuar las estafas, pueden usar tarjetas de crédito robadas o pirateadas, dificultando identificar a las personas detrás de las campañas.
Algunas fuentes recomiendan investigar a quienes mueven los fondos malversados, dado que las penas bajas a menudo dificultan las investigaciones profundas a pesar del gran impacto.
Para prevenir estos fraudes, se recomienda no usar el buscador de Google para acceder a portales de banca en línea. En su lugar, guardar los enlaces seguros en el navegador, ya sea en los favoritos o mediante un marcador seguro.
Verificar la URL del sitio accedido es esencial, cuidando de no caer en páginas que alternen caracteres visualmente similares.
Google y Meta permiten reportar páginas que imitan identidad de otras marcas, buscar asistencia policial o judicial para denunciar fraudes.
Facilidades en Argentina para víctimas de ciberfraude: Unidad Fiscal Especializada en Ciberdelincuencia, [email protected]; Unidad Fiscal Especializada en Delitos Informáticos de CABA, [email protected].