- SMS con enlaces fraudulentos que toman el control de tu celular y roban tus datos bancarios: así funciona esta modalidad de estafa
- Ciberdelincuentes se hacen pasar por la Sutran y el SAT para robar datos financieros mediante correos y SMS
Cada mes de julio, millones de trabajadores peruanos reciben la gratificación por Fiestas Patrias, un ingreso extraordinario que suele destinarse al pago de deudas, compras o ahorro. Sin embargo, ese mismo escenario también representa una oportunidad para los delincuentes, que adaptan sus modalidades de fraude para aprovechar el incremento de operaciones bancarias y del comercio electrónico.
Especialistas en ciberseguridad y defensa del consumidor advierten que durante estas campañas proliferan los intentos de phishing, llamadas falsas de supuestos bancos, inversiones fraudulentas y tiendas virtuales inexistentes. Todos tienen un mismo objetivo, obtener las claves bancarias o convencer a las víctimas de transferir voluntariamente su dinero.
Aunque estas modalidades circulan durante todo el año, las campañas comerciales de Fiestas Patrias incrementan el riesgo debido al mayor volumen de transacciones y ofertas. El Banco Central de Reserva, la SBS e Indecopi han emitido alertas en las últimas semanas sobre distintos mecanismos utilizados por los ciberdelincuentes para captar nuevas víctimas.
El depósito de la gratificación suele convertirse en el punto de partida para una de las modalidades de fraude más frecuentes, el envío de mensajes de texto, correos electrónicos o mensajes por WhatsApp que aparentan provenir de una entidad financiera. Los delincuentes informan a la víctima que su gratificación ha sido retenida, que existe un movimiento sospechoso en su cuenta o que debe verificar una transferencia pendiente para evitar el bloqueo de sus fondos.
El mensaje suele incluir un enlace que dirige a una página prácticamente idéntica a la del banco. Una vez allí, el usuario ingresa sus credenciales, claves dinámicas o códigos de seguridad creyendo que está realizando una verificación legítima. En realidad, toda esa información queda en manos de los estafadores, quienes pueden acceder a la cuenta y realizar transferencias en cuestión de minutos.
Esta modalidad corresponde a variantes de phishing y smishing, mecanismos sobre los cuales la Superintendencia de Banca, Seguros y AFP (SBS) ha emitido reiteradas advertencias debido a que buscan obtener información confidencial mediante la suplantación de entidades financieras.
Para Erick Iriarte, abogado especialista en Derecho Digital y ciberseguridad, estas campañas encuentran un escenario favorable durante julio porque las personas reciben un ingreso extraordinario y buscan darle el mayor provecho posible. «Si yo tengo un dinero fresco y dinero rápido, ¿qué hago con el dinero? Trato de maximizar su utilización“, explica. Según indica, los estafadores aprovechan esa expectativa para ofrecer falsas soluciones a supuestos problemas con las cuentas bancarias o inducir a los usuarios a ingresar a enlaces fraudulentos donde entregan voluntariamente sus credenciales.
El especialista recuerda que ninguna entidad financiera solicita actualizar claves, contraseñas o datos personales mediante enlaces enviados por SMS, WhatsApp o correo electrónico. Si el banco necesita comunicarse con un cliente, lo hará por sus canales oficiales y será el propio usuario quien deberá ingresar directamente a la página oficial digitando la dirección en el navegador, nunca mediante enlaces recibidos de terceros.
Karina Olano, abogada especializada en Derecho del Consumidor y Protección de Datos Personales, añade que el phishing y el smishing se han sofisticado en los últimos años ya que, además de vender productos inexistentes, buscan obtener información personal y financiera que posteriormente puede utilizarse para cometer otros delitos. Por ello, recomienda evitar acceder a promociones o comunicaciones recibidas mediante mensajes no solicitados y revisar cuidadosamente la dirección web antes de ingresar cualquier dato bancario.
Otra modalidad frecuente comienza con una llamada telefónica que aparenta provenir del área de seguridad del banco. El interlocutor informa que detectó una compra de alto valor, una transferencia inusual o un intento de retiro desde otra ciudad. Con un discurso convincente y apelando al temor de perder el dinero, solicita a la víctima confirmar datos personales, proporcionar códigos enviados por SMS o incluso autorizar operaciones desde la aplicación bancaria.
En muchos casos, los delincuentes ya conocen información básica del usuario, como su nombre completo o el banco donde mantiene una cuenta, lo que hace más creíble el engaño. Esa información puede haber sido obtenida previamente mediante filtraciones de datos o campañas de phishing.
Los especialistas identifican esta modalidad como una técnica de manipulación psicológica que busca que la propia víctima entregue voluntariamente información confidencial o autorice operaciones financieras creyendo que está protegiendo su dinero.

Iriarte explica que, en ocasiones, los delincuentes incluso utilizan números telefónicos que aparentan pertenecer a entidades financieras para reforzar la credibilidad del engaño. Durante la llamada pueden solicitar códigos de verificación enviados por mensaje de texto o convencer al usuario de instalar aplicaciones o archivos maliciosos en su teléfono. «El banco no manda ningún password ni ningún número para luego pedirte que se lo dictes“, advierte el especialista. Tampoco solicita instalar aplicaciones de terceros para proteger una cuenta bancaria.
El abogado sostiene que el éxito de estas llamadas radica en el temor que experimentan las víctimas ante la posibilidad de perder el dinero recién depositado. Esa sensación de urgencia hace que muchas personas actúen sin verificar la autenticidad de la comunicación y terminen entregando información confidencial.
Las campañas de inversión fraudulenta también encuentran un espacio provechoso durante julio. A través de anuncios en redes sociales, mensajes por WhatsApp o páginas web, los delincuentes prometen multiplicar rápidamente el dinero de la gratificación mediante supuestas inversiones en criptomonedas, acciones o plataformas financieras.
En los últimos meses, este tipo de fraude ha incorporado una nueva herramienta, videos elaborados con inteligencia artificial en los que aparentemente aparecen autoridades, economistas, empresarios o figuras públicas recomendando determinadas inversiones. En realidad, se trata de montajes digitales creados para dar credibilidad a esquemas fraudulentos.
El Banco Central de Reserva del Perú (BCR) alertó recientemente sobre la circulación de este tipo de contenidos falsificados, advirtiendo que ninguna autoridad promueve inversiones mediante videos difundidos en redes sociales o aplicaciones de mensajería.
Para Iriarte, este tipo de estafas juega con la expectativa de obtener una rentabilidad extraordinaria aprovechando que las personas acaban de recibir un ingreso adicional. «Tienes dinero de tu gratificación, inviértelo aquí que vas a duplicar o triplicar“, resume sobre cuál sería el principal gancho utilizado por los delincuentes.
El especialista señala que los videos generados mediante inteligencia artificial son cada vez más sofisticados y difíciles de identificar. Sin embargo, advierte que existe un elemento común que debe despertar sospechas, ninguna autoridad económica, banquero o empresario serio recomienda públicamente plataformas de inversión mediante videos difundidos masivamente en redes sociales. «Juegan mucho con la idea de la riqueza fácil o de obtener intereses muy altos“, explica.
Karina Olano coincide en que la inteligencia artificial ha elevado el nivel de sofisticación de estas estafas. Según señala, hoy los delincuentes son capaces de crear imágenes, videos, tiendas virtuales y campañas publicitarias prácticamente idénticas a las originales, dificultando que los consumidores distingan un sitio legítimo de uno fraudulento. Por ello, insiste en verificar siempre la identidad del proveedor antes de realizar cualquier transferencia o inversión.
Ambos expertos recomiendan desconfiar de cualquier propuesta que garantice rentabilidades elevadas en pocos días o que condicione la inversión a realizar depósitos inmediatos. En la mayoría de los casos, una vez transferido el dinero, la plataforma desaparece y resulta imposible recuperar los fondos.
El pago de la gratificación también impulsa el comercio electrónico y las campañas de descuentos por Fiestas Patrias, un contexto que es aprovechado por organizaciones criminales para crear tiendas virtuales falsas que ofrecen celulares, electrodomésticos, paquetes turísticos, ropa o televisores con descuentos difíciles de creer.
En estos casos, el consumidor realiza el pago o entrega los datos de su tarjeta bancaria convencido de que está comprando en una empresa legítima. Sin embargo, el producto nunca llega y, en ocasiones, los delincuentes utilizan además la información financiera obtenida para efectuar nuevas compras o vaciar las cuentas bancarias.

Las campañas promocionales también pueden ser aprovechadas mediante descuentos engañosos. Un documento elaborado por Indecopi explica que algunas promociones consisten en incrementar artificialmente el precio de referencia antes de una campaña para luego anunciar un supuesto descuento que, en realidad, no representa un ahorro para el consumidor. La entidad recuerda que toda promoción debe sustentarse en un precio ordinario real y no en valores creados únicamente para aparentar rebajas mayores.
Karina Olano explica que durante campañas comerciales como Fiestas Patrias los consumidores suelen tomar decisiones de compra con mayor rapidez por temor a perder una oferta, situación que es aprovechada por los estafadores. Estos crean páginas web falsas, perfiles en redes sociales o anuncios patrocinados que imitan la imagen de empresas reconocidas con el objetivo de generar confianza y captar pagos antes de desaparecer.

La especialista recomienda desconfiar de precios muy por debajo del valor de mercado, verificar que el proveedor consigne información como razón social, RUC, dirección física y canales de atención, así como revisar la antigüedad de la página web o del perfil en redes sociales. También advierte que resulta sospechoso cuando un comercio exige como única forma de pago transferencias bancarias o billeteras digitales a nombre de personas naturales.
Desde una perspectiva legal, Olano sostiene que el uso no autorizado de marcas, logotipos e imágenes de empresas reconocidas vulnera el derecho de los consumidores a recibir información veraz y suficiente para tomar decisiones informadas, además de afectar derechos de propiedad intelectual. El principal riesgo, advierte, es que los usuarios entreguen dinero o datos personales creyendo que están contratando con una empresa legítima.
Si una persona ya fue víctima de una compra fraudulenta, recomienda comunicarse de inmediato con su entidad financiera para reportar la operación y bloquear los medios de pago, conservar todas las evidencias —como comprobantes, conversaciones y capturas de pantalla— y presentar la denuncia ante la Policía Nacional o el Ministerio Público si existe la presunción de un delito. Cuando el problema involucra a un proveedor formal, el consumidor también puede recurrir al Libro de Reclamaciones o acudir directamente al Indecopi mediante un reclamo o una denuncia administrativa.
Finalmente, Iriarte recuerda que los ciberdelincuentes explotan el deseo de «maximizar» el dinero recibido mediante ofertas imposibles de igualar. Por ello, recomienda desconfiar de promociones extraordinarias y recordar que «el dinero no crece en los árboles“.
Fuente: elcomercio.pe