Por medio de una nueva táctica, los ciberdelincuentes buscan robar la información personal y privada de usuarios de entidades financieras y bancarias con el fin de cometer posteriormente fraudes, suplantación de identidad y robos por medios informáticos.
Esta modalidad se apalanca en una técnica que desde hace años se utiliza en las páginas de internet, que es conocida como web scraping o raspado web, que recolecta los datos que están contenidos en un determinado sitio de manera automatizada, lo que permite hacer investigaciones o comparar el valor de un tiquete aéreo entre una compañía y otra.
“Así como es usado con fines de estudios de mercados o tendencias en redes, también es utilizado por los cibercriminales, y el scripting de redes sociales es su favorito, ya que de esa manera logran contactar a los usuarios con el fin de poder engañarlos para robar datos personales o incluso credenciales”, señala Sol González, especialista en seguridad informática de Eset Latinoamérica.
La técnica permite que los atacantes recojan los datos de cuentas oficiales de bancos en redes sociales, con el fin de conocer la lista completa de seguidores, las interacciones en las publicaciones, entre otros datos. Con esta información recolectada, minutos después proceden a tomar nuevamente los datos de ese sitio, lo que permite comparar las dos listas de seguidores con el fin de identificar cuáles son los usuarios nuevos.
Una vez se establece cuáles son las nuevas cuentas que recientemente siguieron a la entidad financiera, los atacantes por medio de una cuenta falsa, que simula ser una de ‘Atención al cliente’ de esa compañía, contactan a la persona por un mensaje privado. En la conversación el delincuente simula ser un asesor virtual de la entidad y solicita una línea de teléfono con el fin de poder comunicarse directamente.
Ese dato permite que los cibercriminales continúen la estafa por vía telefónica y, al simular ser un canal oficial del banco, solicitan datos como los accesos a las cuentas digitales o datos de tarjetas de crédito.
“Para esto proceso los estafadores usan datos personales que tiene el usuario en su red social, como su dirección, su lugar de trabajo, su número de identificación, para hacer creer que se trata de un asesor del banco que brindará ayuda”, detalla González.
Por medio del web scraping también se han ejecutado campañas de phishing, en el que se hace uso de ingeniería social, con el propósito de ganarse la confianza de la víctima.
“El atacante puede usar esa misma información para enviar correos electrónicos que dirigen a páginas maliciosas, dado que conoce los patrones de comportamiento e información personal. Los atacantes cada vez están sofisticando más sus ataques”, asegura.
¿Cómo protegerse?
Cuidar la información que se comparte a través de las redes sociales es la principal recomendación de los expertos para prevenir ser víctimas de este tipo de ataques o fraudes.
“Es fundamental reconocer que el scraping no es más que una recolección automatizada de datos que generalmente figuran como públicos en los sitios. Es por esto que, como usuarios, se debe tomar conciencia de los datos que decidimos hacer públicos, principalmente en redes sociales”, señala González.
En esto también coincide Martínez, quien asegura que se debe revisar a quiénes les damos acceso y aceptamos en nuestras cuentas. “Podría tratarse de un perfil falso que busca obtener información para luego crear mensajes o correos que estén relacionados con los gustos y consumos de la persona”, detalla.
Así mismo, puede acceder a plataformas como haveibeenpwned.com, Identity Leak Checker y HackNotice, que le notificarán si en los sitios en los que ha creado una cuenta ha sufrido alguna vulneración de su seguridad, generando que los datos personales del usuario queden expuestos.
Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/web-scraping-nueva-forma-de-robo-de-informacion-personal-617560
