DOBLE LLAVE – Ya en 2023, el equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, analizó el crecimiento de las  aplicaciones de préstamos maliciosas en muchos países de Latinoamérica, como México, Colombia y Chile, el objetivo de esas app es recopilar y exfiltrar datos confidenciales de sus víctimas, o chantajearlas para obtener dinero. Con esta tendencia en ascenso, ESET comparte en esta entrega -de manera actualizada- cómo saber si una aplicación de préstamo es segura o no, de qué manera pueden afectar a los usuarios, qué pasos seguir si ya se descargó una en un dispositivo y cómo se puede realizar un reclamo si se fue víctima de este tipo de engaño.

Las aplicaciones fraudulentas, circulan a través de anuncios por mensajes SMS y en redes sociales como WhatsApp, TikTok, Facebook, YouTube e Instagram, y buscan que las víctimas descarguen la aplicación. Para ganar la confianza de las personas, muchas simulan ser un banco, o un proveedor de préstamos y servicios financieros de buena reputación.

Solo entre 2021 y 2024 se registraron más de 1.000 apps de préstamo fraudulentas, según informó el Consejo Ciudadano para la Seguridad y Justicia de Ciudad de México. Por otro lado, según una encuesta de Kardmatch, 3 de cada 10 personas que solicitaron un préstamo vía app en México, fueron víctima de fraude, ya sea con acreditación de préstamos no solicitados o pagos anticipados sin recibir depósito de supuesto empréstito. Esta situación llevó a la Secretaría de Seguridad y Protección Ciudadana a alertar a los habitantes mexicanos sobre los riesgos de las apps de préstamos “montadeudas” y a la Policía de Investigaciones de Chile a difundir un video de prevención en su cuenta oficial de TikTok.

Alerta que emitió la Policía Estatal Cibernética de Puebla (México) en su cuenta oficial de Facebook

Podemos evitar ser engañados, estafados o dañados

En un contexto en el cual conviven aplicaciones oficiales y seguras con otras fraudulentas y maliciosas, desde ESET comentan e informan que es importante saber identificarlas, para no ser una víctima más de este tipo de engaño. Para eso, ha compartido este checklist práctico de señales y alarmas concretas para prestarle atención:

• Se descarga de repositorios no oficiales: Si la aplicación se descarga desde un link de WhatsApp, redes sociales o una página de dudosa reputación, debe llamar la atención. Lo correcto es realizar descargas desde repositorios oficiales, como Google Play, App Store o la tienda del banco.
• Es demasiado bueno para ser verdad: Este tipo de estafas ofrecen dinero sin ningún tipo de requisito, con tasas muy bajas y aprobación inmediata. Estos son claros señuelos que utilizan los cibercriminales para aprovechar la urgencia de las víctimas.
• Solicita dinero de antemano: Si pide transferir dinero a título de “garantía” o “comisión”, es un fraude. En un préstamo legítimo nunca se solicita un pago antes de desembolsar el crédito.
• Cuenta con reseñas muy buenas o malas: Las reseñas y opiniones son otro factor para tener en cuenta ya que si son repetitivas y exageradamente positivas; o si existen quejas y reclamos por robo de datos o estafa, claramente es una señal de fraude.
• Términos y condiciones poco claros o nulos: Es importante que la app explique detalladamente sus tasas de interés, plazos, comisiones y tenga términos, condiciones y políticas de privacidad claras. Si eso no existe, es mejor desconfiar.
• Sin presencia en redes ni registro legal: Una aplicación que no cuenta con página web oficial, atención al cliente, redes sociales activas y registro ante un ente regulador local, debe levantar sospecha.
• Pide permisos innecesarios: Si solicita acceder a los contactos, fotos, micrófono o hasta ubicación, entonces, lo que busca esa app es robar datos para luego extorsionar al usuario.

Ejemplo de los amplios permisos que este tipo de aplicaciones (maliciosas) solicitan a sus usuarios

“Otro punto para tener en cuenta es que la supuesta página oficial desde donde se descarga la aplicación puede ser falsa. El cibercrimen crea webs que lucen como las reales, utilizando el mismo diseño, logos e imágenes. El consejo es verificar que la empresa esté avalada por el organismo regulador de tu país. Por último, que no existan denuncias a través de los medios de comunicación y las redes sociales, tampoco garantiza nada. De hecho, puede tratarse de un fraude incipiente, que todavía no fue descubierto ni denunciado”, advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

El instalar una aplicación de préstamo fraudulenta puede tener diversas consecuencias. Por ejemplo:

• Suplantación de identidad: Este tipo de apps fraudulentas suelen ir en busca de los datos personales de sus víctimas (nombre, apellido, documento de identidad, domicilio, información bancaria, entre tantos otros). Una vez obtenida esa información, pueden emplearla para suplantar la identidad, y por ejemplo, sacar un préstamo real a su nombre, abrir cuentas en un banco u otro tipo de actividades maliciosas.
• Pérdida de dinero: Como señuelo, muchas veces estas apps incitan a la víctima a pagar un monto inicial, como parte de un supuesto estudio de crédito, comisiones, fianza o garantía. Luego, no sólo que el préstamo nunca sucede, sino que también se quedan con ese pago inicial.
• Infección con malware: En el caso analizado por el equipo de ESET, se confirma que las aplicaciones SpyLoan suponen una importante amenaza, ya que gracias a su código malicioso pueden extraer sigilosamente una amplia gama de información personal de usuarios desprevenidos: lista de cuentas, registros de llamadas, eventos del calendario, información del dispositivo, listas de aplicaciones instaladas, información de la red Wi-Fi local, entre otras.
• Extorsión: También es común que estas apps fraudulentas soliciten el acceso a contactos, fotos y mensajes. Lo que sucede luego es que los cibercriminales usan toda esa información íntima y personal para extorsionar a la víctima, amenazando que harán públicos los datos o avisarán a familiares y amigos de esta morosidad, pidiendo a cambio altas sumas de dinero.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

DOBLE LLAVE

Con información e imágenes referenciales suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos