Analizamos dos sitios frauduentos que buscaban suplantar la identidad de Banco Itaú, un reconocido banco de Brasil con presencia en varios países de América Latina. Uno de estos sitios estaba dirigido a personas de Argentina y estaba en español, mientras que el segundo estaba en portugués y apuntaba a clientes de Brasil. Ambos sitios fueron reportados y dados de baja. Vale aclarar que el banco también es víctima de este tipo de campañas en las que se utiliza su nombre para engañar a sus clientes. De hecho, en la página oficial la entidad comparte algunas recomendaciones para evitar caer en distintos tipos de fraudesv en su nombre y el de otros bancos.

Sitio falso dirigido a clientes de Argentina

En el caso de la campaña que apunta a clientes en Argentina, los estafadores utilizaron una URL que incluye el nombre del banco y que tiene una apariencia similar al oficial. De hecho, el nombre del sitio es casi idéntico al nombre de usuario que utiliza el banco para sus cuentas de Twitter e Instagram, con una diferencia de apenas una letra. Esto es importante, ya que una búsqueda en Google puede llevar a una víctima a encontrarse con este tipo de sitios fraudulentos que logran aparecer entre los primeros resultados de búsqueda. Algunas veces bajo la forma de anuncios.

Como se puede observar en la siguiente imagen, el diseño del sitio falso es una copia idéntica a la página oficial. Para supuestamente acceder al homebanking, también conocido como banca en línea, el sitio falso incluye los campos para que las víctimas ingreses sus credenciales de inicio de sesión y de esta manera robarlas.

Sitio falso de Banco Itaú

Sitio falso que suplanta la identidad de Banco Itaú apuntando a personas de Argentina.

Una vez que la persona ingresa su nombre de usuario y contraseña, el sitio muestra un contador de tiempo simulando que verifica los supuestos datos entregados. Si bien este paso puede resultar despreciable, no es casual: Los cibercriminales utilizan este tiempo para, de manera automatizada, iniciar sesión con las credenciales robadas en el sitio legítimo del banco y desencadenar el envío vía SMS del código del doble factor de autenticación al teléfono de la víctima, para luego solicitarlo en la siguiente pantalla.

Sitio falso de Banco Itaú

Simula que verifica los datos mientras intenta acceder al sitio oficial con las claves proporcionadas

Sitio falso de Banco Itaú

Instancia en la que solicita el código de verificación que envía el sitio oficial vía SMS

Una vez completado el engaño, dando la víctima sus datos de acceso a los cibercriminales, el falso sitio lanza un mensaje de error y redirige al usuario al sitio oficial. Este paso adicional hace creer a la víctima que simplemente hubo un error, y no que cayó en una estafa.

Sitio falso del Banco Itaú

Mensaje de error del sitio

Sitio falso dirigido a clientes de Brasil

En el caso del sitio falso apuntando a usuarios de Brasil, el contenido sugiere que se trata de una campaña de phishing que llega a la víctima a través de un correo electrónico que contiene un enlace falso para una supuesta consulta de facturas.

Allí se solicita a la víctima su número de identificación fiscal (CPF) y el número de la tarjeta con la que opera en la entidad. En la página siguiente solicita información aún más sensible, como el código de seguridad de la tarjeta y la fecha en la que expira.

Sitio falso del Banco Itaú

Sitio falso dirigido a clientes de Brasil para supuestamente acceder al recibo

Sitio falso del Banco Itaú

Instancia en la que solicita los datos de la tarjeta de la víctima

Luego de ingresar esta información, la víctima es redirigida nuevamente al sitio real para solicitar la factura digital y generar distracción.

Sitio falso del Banco Itaú

Redirección al sitio oficial del banco

Recomendaciones para evitar caer en este tipo de engaños

Como pudimos observar, las campañas maliciosas que se valen de suplantar la identidad de compañías reconocidas suelen seguir patrones, lo cual las hace posible de distinguir. Para evitar caer en ellas, es importante seguir las siguientes recomendaciones:

  1. Asegurarse de que la dirección web visitada es la correcta y no una versión falsa.
  2. Verificar si el sitio web tiene un certificado de seguridad válido, y que el mismo esté firmado por la compañía que dice ser .
  3. Evitar proporcionar información personal o financiera si no es seguro que el sitio web es legítimo.
  4. No hacer clic en enlaces o descargar archivos adjuntos de correos electrónicos, mensajes de redes sociales, de mensajería instantánea como WhatsApp o Telegram, o de texto sospechosos o de remitentes desconocidos.
  5. Utilizar software de seguridad para proteger el equipo contra el malware y otras amenazas.