El objetivo del engaño es conseguir que la persona comparta su pantalla y esto es lo que hace la técnica de la ingeniería social. Esta técnica intenta infundir confianza o crear un sentido de urgencia explotando el miedo o la curiosidad de la víctima y luego llevando a cabo la estafa. En este caso se combinan tres elementos clave: la videollamada (que puede generar confianza), la sensación de urgencia (que puede generar miedo) y el hecho de compartir pantalla (que le da al ciberdelincuente acceso total al dispositivo).

ESET analiza los 5 pasos en los que funciona la estafa:

1- Llamado: El primer contacto suele ser a través de una videollamada de WhatsApp desde un número desconocido. Allí, el estafador se hace pasar por un representante de un banco, una empresa de servicios, un miembro del equipo de soporte técnico de WhatsApp/Meta o incluso un familiar/amigo que está en problemas. Utilizan números de teléfono falsos con el objetivo de que parezcan números de teléfono locales u oficiales; y la pantalla de la otra persona suele aparecer negra o muy borrosa durante la videollamada.

2- Problema urgente: Para crear una sensación de urgencia en la víctima, el estafador utiliza diversos señuelos, como un cargo no autorizado en la tarjeta, una sesión abierta en otro dispositivo, ganar un premio que requiere verificación o incluso la inminente suspensión de la cuenta.

3- Solicitud de pantalla compartida: Para solucionar el supuesto problema, el estafador solicita habilitar la función de compartir pantalla durante la videollamada. También pueden guiar a la víctima para que instale una aplicación como AnyDesk o TeamViewer. La excusa que suelen utilizar es que necesitan esta herramienta para comprobar el problema y dar soporte remoto. Una vez que la víctima comparte la pantalla, el estafador obliga a enviar el código de seguridad de WhatsApp. El SMS llega, aparece en la parte superior de la pantalla y se vuelve visible para el defraudador, que puede entonces hacerse con la cuenta.

4- Acceso a códigos y datos personales: Una vez que la víctima comparte pantalla, el estafador puede ver todo lo que está sucediendo en tiempo real y por eso suele pedirle a la víctima que abra la aplicación bancaria. Hay casos avanzados en los que instalan malware tipo keylogger para robar más datos más adelante.

5- Robo de cuentas y dinero: Una vez que se hacen con la información sensible, la utilizan para transferir dinero, vaciar cuentas o incluso tomar el control de WhatsApp y/o Pide dinero a tus contactos en nombre de la víctima. Los daños pueden suponer la pérdida de mucho dinero, como veremos a continuación.

“Este método de robo de cuentas de WhatsApp y otra información sensible no sólo es nuevo sino que también se está activando en distintas partes del mundo. En julio de este año, el Instituto Nacional de Ciberseguridad de España (INCIBE) anunció una declaración para alertar a los ciudadanos. Además de las advertencias de diversas autoridades sobre la propagación de esta estafa, se han registrado numerosas víctimas en todo el mundo. Por eso la educación es fundamental, porque cuanto más consciente seas de los riesgos, mejor podrás prevenirlos.“comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

En redditUn usuario de Brasil contó cómo su madre fue estafada y perdió 3.000 reales. El cebo fue una llamada de una “amiga” que afirmó que había realizado una compra en OLX y necesitaba que alguien confirmara esta transacción. Es importante aclarar aquí que su amiga fue hackeada previamente y el actor malicioso se hizo pasar por su identidad.

Este caso involucró una videollamada en la que el estafador utilizó técnicas de ingeniería social para convencer a la víctima de compartir la pantalla y abrir su home banking. El resultado fue la eliminación de la cuenta bancaria de la víctima y la vulneración de sus cuentas de WhatsApp y Gmail.

En Hong Kong, la pérdida financiera fue mayor: una víctima perdió 5,5 millones de dólares. El pretexto del ciberatacante era ayudar a cancelar un servicio de telecomunicaciones, lo que, como en esta estafa, provocaba que la persona compartiera su pantalla. Al abrir la cuenta bancaria, el estafador convenció a la víctima para que revelara contraseñas y códigos de verificación y luego robó el dinero.

ESET presenta algunas mejores prácticas para reducir el riesgo de ser víctima de esta estafa o cualquier otra estafa que involucre técnicas de ingeniería social:

• No compartir pantalla: Esta estafa muestra lo peligroso que puede ser compartir pantalla, especialmente si no estás seguro de con quién estás hablando.
• No proporcione códigos de verificación: Dado que esta medida de seguridad es personal e intransferible, es correcto no revelarla a terceros. Y menos a través de una llamada o un mensaje.
• No comparta información personal o sensible: No importa cuántas excusas o argumentos dé la otra parte, no se debe revelar información personal o confidencial durante una llamada. Es importante recordar que las empresas o agencias gubernamentales no solicitan dichos datos a través de estos canales de contacto.
• Consulta la información: Si recibe una llamada afirmando que un familiar o conocido está en problemas, verifique esta información con la persona. Si el contacto es de una empresa u organización, consulta a través de sus canales oficiales.
• Habilitar la autenticación de dos factores: El medida de seguridad adicional Esto es crucial porque en el caso de que un ciberdelincuente haya obtenido nuestras credenciales, necesitará este segundo factor para acceder a ellas, dificultando especialmente su intento de comprometer la cuenta.

“Esta estafa es un claro ejemplo de que la ingeniería social es una de las amenazas más peligrosas en el mundo de la ciberseguridad. No depende de errores técnicos, sino que basta con desencadenar una acción impulsiva en la víctima para que el engaño funcione. Por eso, además de invertir en.” Soluciones de protección“Es importante estar informado, reconocer las señales de alerta, ser cauteloso ante solicitudes inusuales y adoptar hábitos seguros”. agrega Gutiérrez Amaya de ESET.