Sandra (61) acaba de buscar en Google el nombre de su banco para entrar a hacer una operación de rutina. Hizo clic en la primera respuesta que le devolvió el buscador, un enlace patrocinado. La página era exactamente idéntica al Home Banking con el que estaba familiarizada. Ingresa su usuario y contraseña como lo hace siempre. Pero algo falla.
Le piden un token. Al costado, un cartel le advertía que ese pedido era normal y se realizaba para evitar estafas. Entonces accedió a ingresar el código. Instantes después, todo se pone en blanco. En unos minutos, le faltan 9 millones de pesos. Su cuenta está vacía.
Sandra fue víctima de una banda de estafadores, que intercedió entre la página real y el montaje. Un caso más de Phishing, de los que se vienen repitiendo exponencialmente desde la pandemia a esta fecha. Pero, según afirma un banco, en la maniobra también tuvo responsabilidad Google.
Esa es la teoría que maneja el Nuevo Banco de Chaco, que después de una seguidilla de robos a sus clientes, y de pedir ayuda al gigante tecnológico para evitarlos, ahora tomó una decisión inédita: denunció penalmente al buscador ante la justicia.
La presentación, a la que tuvo acceso Clarín, fue realizada en la Fiscalía N°13 de Resistencia, especializada en cibercrimen, a cargo de Victor Recio. Allí, el banco afirma que la empresa «realiza un aporte fundamental» a la maniobra de las bandas de ciberdelincuentes al no brindar herramientas que le permitan a la entidad bancaria anticiparse a los fraudes, que se difunden a través de Google ADS.
Según explican desde el área de Seguridad informática del banco, los sistemas de antifraude bloquearon más de 200 cuentas de usuarios que habían sido engañados por los estafadores justo antes de que puedan concretar el robo. Sin embargo, en el medio, unos 14 usuarios sufrieron pérdidas. Ahí es cuando comenzaron desde el banco a presentarse ante Google para que los ayuden.
Pero el reclamo del sector bancario hacia el gigante no es nuevo, según contaron al menos tres fuentes distintas consultadas por Clarín, que confirmaron haber contactado al buscador para buscar soluciones que permitan contrarrestar el aumento de las estafas y no tuvieron respuestas útiles de la empresa.
La maniobra se desarrolla de la siguiente manera. Los estafadores montan una página falsa que copia detalle por detalle la fachada del Home Banking de la entidad, incluyendo el espacio para ingresar el usuario y contraseña. Este paso a paso se puede comprar incluso como un Kit cerrado vía Telegram, donde se explica el paso a paso detallado. Ni hace falta ser especialista en programación.
Luego adquieren un paquete de anuncios a través de Google ADS, el servicio de publicidad digital que ofrece el buscador para que una página aparezca entre los primeros resultados cuando se busca una palabra o frase en concreto.
Según explican desde el banco, la banda utiliza Google ADS para taggear avisos muy específicos dirigidos a ciertos grupos demográficos para cuando busquen palabras claves como pueden ser «banca empresa chaco», por ejemplo.
Sin ir más lejos, Clarín probó buscar en Google ‘banco chaco’ para ilustrar la presente nota: el primer resultado fue un anuncio fraudulento. El mismo dirigía a una página falsa, que simulaba ser una entidad bancaria.
Al rastrear en la pestaña ‘más información’ figura que el anuncio fue pagado por un usuario llamado César M.C., un joven de 25 años que vive en el Barrio 135 viviendas, en las afueras de San Miguel de Tucumán. Según sus redes sociales, es entrenador de fútbol de un equipo amateur.
Cómo se promociona el engaño
No solo bancos: también han proliferado páginas truchas con anuncios de regalos de pasajes, falsas promos aniversarios, anuncios para jubilados, para las fiestas en diciembre, que arrancan las clases, servicios como luz o agua, a quienes buscan cómo acceder a subsidios o descuentos. Incluso para repuestos de bombas de agua, según contaron desde una empresa líder en el rubro. El truco consiste en encontrar el público adecuado para el engaño.
La publicidad de Google funciona a través de pujas o subastas. El oferente que paga más es quien aparece primero en la búsqueda. Si bien el Nuevo Banco de Chaco también utiliza el servicio de Google ADS para promocionar sus productos, descubrieron que las bandas realizan campañas específicas para buscar un tipo de víctima puntual, donde enfocan todo el presupuesto que tienen en publicidad para ganarle la puja en esos lugares a la propia entidad.
Por ejemplo, desde ciberseguridad pudieron detectar que apunta a hombres y mujeres mayores de 60 años en la zona de Charata. Eso permite ganarle al banco en su oferta y evitar los controles que tiene el banco, ubicado en Resistencia, cuando realiza búsquedas para encontrar estafadores. «Si yo hipersegmento a un lugar, sé que voy a hacer un bidding (una oferta) mas alta que otra empresa que va a todo el país», explican desde el sector.
«Google no nos da ningún panel o reporte donde nuestros equipos puedan verificar y prevenir avisos maliciosos que tenga proximidad con las palabras claves de nuestra entidad. Por eso quedamos atados de pies y manos, sin poder prevenir ni anticiparnos, que son las funciones de nuestro equipo», resumen.
Por otro lado, desde el banco también quisieron comunicarse con Google Argentina para advertir de la maniobra. Según explicaron, les confirmaron la recepción del mensaje pero no avanzaron con más medidas, lo que provocó la presentación judicial. «O no les importa el fraude o sólo les importa su negocio siendo partícipes necesarios por acción u omisión», sostienen en la denuncia penal.
Clarín intentó comunicarse con Google Argentina, que confirmó la recepción de un «oficio» por parte de la justicia de Chaco pero negó que se trate de una demanda. Consultados por las medidas puntuales para brindar mayor seguridad a sus usuarios y herramientas a las empresas, se limitaron a enviar un comunicado. Tampoco accedieron a responder preguntas sobre ciberseguridad o prevención de estafas.
Dentro de las políticas del buscador para evitar la usurpación de identidad en anuncios, Google cuenta desde 2023 con una medida de Publicación de Anuncios Limitada, que apunta a evitar suplantaciones de identidad de marca en los anuncios, restringiendo las impresiones para los nuevos usuarios. También brinda a las empresas la posibilidad de proteger la propia marca, para aplicar restricciones al uso.
«El sistema es cada vez más permisivo. Proteger marcas y/o denunciar su mal uso no es tan sencillo como debería», opina Ricardo, un ex empleado de Google y especialista en ADS que pidió cambiar su nombre para hablar con Clarín.
«Hace poco, para reforzar la seguridad, lanzaron la verificación de anunciante. Toda empresa que corra anuncios en Google tiene que verificarse como anunciante. Cualquier AD que veas de Google, si hacés clic en el botón de contexto, ves quien lo publica. Vos podés verificarte como anunciante e igual estafar porque te tiene que encontrar el banco damnificado», resume
«Antes las campañas se hacían por mail. Ahora lo hacen más dirigido, via Google Adwords o por Meta. Te da la posibilidad de geolocalizar las campañas, cuantas veces querés que aparezca. Es dificil encontrar esas maniobras», explica un referente en ciberseguridad de bancos que también prefiere mantener el anonimato.
«Hay bancos que fueron a hablar pero no es tan fácil porque Google no tiene oficinas acá. Es complicado dar con alguien que te de bola», dice. Es que según explican desde el sector, la mayoría de las entidades prefieren dar por perdido el dinero y tenerlo dentro de las previsiones de pérdidas antes que tratar de avanzar causas contra los estafadores o ir contra las empresas tecnológicas.
Por el aumento de los casos de estafas, los bancos comenzaron a trabajar puertas adentro para atacar el problema, pero sin un nexo con las tecnológicas. “Nosotros en este tipo de estafas no tenemos forma de enterarnos hasta que llaman los primeros damnificados. Pero implica un riesgo reputacional para el banco, porque los estafados creen que el banco es el que les cobró la «comisión por adelantado», grafican desde el sector.
El mismo tipo de modus operandi se repite con la mayoría de las entidades, sean provinciales, privadas o incluso Fintech. Silvana, por ejemplo, cayó en el engaño cuando buscaba entrar al Home Banking del ICBC. Luis, cuando buscaba una respuesta con un problema con MercadoPago.
Pero expertos en ciberseguridad indican que no afecta únicamente a Google, y que cada vez más aparecen en Instagram. Allí pueden combinar una serie de promociones. Por ejemplo, un banco nacional con YPF, avisando de falsos descuentos para jubilados. Así cayó el periodista deportivo Guillermo Salatino hace unas semanas, donde perdió 1,8 millones de pesos.
Esa puesta en escena está conectada con sistemas de alerta para la banda, que reciben de inmediato la información cuando un usuario se conecta. Esto puede ocurrir por Telegram, o por contar con una persona constantemente monitoreando.
«Son campañas que se pagan ingresando tarjetas truchas o robadas, que se consiguen en foros de internet. O hackeando la cuenta de Google ADS de algún usuario que tenga saldo. Por eso es muy difícil luego ir a encontrar quienes son los responsables de montar las campañas», señala otra fuente.
Otra de ellas, sin embargo, contradice esta mirada y pide que se vaya a fondo contra las mulas que reciben el dinero o de las tarjetas que se usan como la única forma de lograr que se puedan cortar estos circuitos de estafas. Según remarca, al ser tan bajas las penas y tan complejo de entender, muchas veces ni se investigan. Pero que esconden detrás bandas que operan a escala.
Cómo evitar y denunciar este tipo de estafas
De acuerdo a las distintas fuentes consultadas, la mejor forma de prevenir esta modalidad de estafas phishing es no usar nunca el buscador de Google para llegar a la página web del homebanking, por muy fácil y cómodo que sea para ahorrar tiempo.
Para ello, indican que la opción más segura es dejar guardada en los favoritos del navegador la página que se utiliza para entrar al homebanking, y establecer ese canal seguro.
Asimismo, revisar la dirección del navegador donde se ingresó para tener cuidado de no estar ingresando a sitios similares donde se intercambia una letra o caracter por uno muy parecido con el objetivo de despistar.
Desde Google y Meta además indican que se pueden reportar páginas que suplantan identidad de otras marcas.
En caso de haber sido víctima de una estafa, se debe reportar en la Policía o fiscalía mas cercana al domicilio y ante la entidad especializada de ciberseguridad.
En todo el país: Unidad Fiscal Especializada en Ciberdelincuencia del Ministerio Público Fiscal, [email protected];
Ciudad de Buenos Aires: Unidad Fiscal Especializada en Delitos y Contravenciones Informáticas del Ministerio Público Fiscal de CABA, [email protected].