La Oficina Federal de Investigaciones (FBI) de Estados Unidos ha advertido que los ciberdelincuentes se hacen pasar por instituciones financieras con el objetivo de robar dinero o información sensible para permitir esquemas de fraude de apropiación de cuentas (ATO).
La actividad estaba dirigida a individuos, empresas y organizaciones de diferentes tamaños y de diferentes industrias, dijo la agencia, y agregó que los esquemas fraudulentos habían resultado en pérdidas de más de 262 millones de dólares desde principios de año. El FBI dijo que recibió más de 5.100 quejas.
El fraude ATO generalmente se refiere a ataques que permiten a los actores de amenazas obtener acceso no autorizado a una institución financiera en línea, un sistema de nómina o una cuenta de ahorros para la salud con el fin de desviar datos y fondos para beneficio personal. El acceso a menudo se logra dirigiéndose a objetivos utilizando técnicas de ingeniería social como SMS, llamadas y correos electrónicos que se aprovechan de los miedos de los usuarios, o a través de sitios web falsos.
Estos métodos permiten a los atacantes engañar a los usuarios para que proporcionen sus credenciales en un sitio de phishing, en algunos casos pidiéndoles que hagan clic en un enlace para informar sobre transacciones supuestamente fraudulentas registradas en sus cuentas.
“Un ciberdelincuente manipula al titular de la cuenta para que revele sus credenciales, incluido el código de autenticación multifactor (MFA) o el código de acceso de un solo uso (OTP), haciéndose pasar por una institución financiera, atención al cliente o representante de soporte técnico”, dijo el FBI.
“El ciberdelincuente luego utiliza sus credenciales para iniciar sesión en el sitio web de una institución financiera legítima e iniciar un restablecimiento de contraseña, obteniendo finalmente el control total de las cuentas”.
En otros casos, los actores de amenazas que se hacen pasar por instituciones financieras contactan a los titulares de cuentas y afirman que su información se ha utilizado para realizar compras fraudulentas, incluidas armas de fuego. Luego los convencen de compartir la información de su cuenta con un segundo ciberdelincuente que se hace pasar por agentes de la ley.
El FBI dijo que el fraude ATO también puede incluir el uso de envenenamiento por optimización de motores de búsqueda (SEO) para engañar a los usuarios que buscan empresas en motores de búsqueda para que hagan clic en enlaces falsos que redirigen a un sitio web similar utilizando anuncios maliciosos en motores de búsqueda.
Independientemente del método utilizado, los ataques tienen un objetivo: tomar el control de las cuentas y transferir rápidamente fondos a otras cuentas que controlan, así como cambiar las contraseñas, bloqueando efectivamente al titular de la cuenta. Las cuentas donde se transfiere el dinero también están vinculadas a billeteras de criptomonedas para convertirlas en activos digitales y cubrir el rastro del dinero.
Para mantenerse protegidos de la amenaza, se recomienda a los usuarios que tengan cuidado al revelar algo sobre ellos mismos en línea o en las redes sociales, que controlen periódicamente las cuentas en busca de irregularidades financieras, que utilicen contraseñas únicas y complejas, que aseguren la URL de los sitios web de los bancos antes de iniciar sesión y que permanezcan atentos a los ataques de phishing o a las personas que llaman sospechosas.
“Al compartir abiertamente información como el nombre de una mascota, las escuelas a las que asiste, su fecha de nacimiento o información sobre los miembros de su familia, puede darles a los estafadores la información que necesitan para adivinar su contraseña o responder sus preguntas de seguridad”, dijo el FBI.
“La gran mayoría de las cuentas ATO a las que se hace referencia en el anuncio del FBI se producen a través de credenciales comprometidas utilizadas por actores de amenazas que están íntimamente familiarizados con los procesos internos y los flujos de trabajo para mover dinero dentro de las instituciones financieras”, dijo Jim Routh, director de confianza de Saviynt, en un comunicado.
“Los controles más efectivos para prevenir estos ataques son manuales (llamadas telefónicas para verificación) y mensajes SMS para aprobación. La causa principal sigue siendo el uso aceptado de credenciales de cuentas en la nube, aunque hay opciones sin contraseña disponibles”.
El desarrollo se produce cuando Darktrace, Flashpoint, Forcepoint, Fortinet y Zimperium han destacado las principales amenazas a la ciberseguridad antes de la temporada navideña, incluidas las estafas del Black Friday, las estafas con códigos QR, la explotación de tarjetas de regalo y las campañas de phishing de gran volumen que imitan marcas populares como Amazon y Temu.
Muchas de estas actividades utilizan herramientas de inteligencia artificial (IA) para crear correos electrónicos de phishing, sitios web falsos y anuncios en redes sociales muy convincentes, lo que permite que incluso los atacantes poco capacitados lleven a cabo ataques confiables y aumenten la tasa de éxito de sus campañas.
Fortinet FortiGuard Labs dijo que descubrió al menos 750 dominios maliciosos con temas navideños en los últimos tres meses, muchos de los cuales usaban términos clave como “Navidad”, “Viernes Negro” y “Venta Flash”. “Durante los últimos tres meses, se han recopilado en mercados clandestinos más de 1,57 millones de cuentas de inicio de sesión vinculadas a los principales sitios de comercio electrónico y disponibles a través de protocolos de ladrones”, dijo la compañía.
También se descubrió que los atacantes explotaban activamente las vulnerabilidades en Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto y otras plataformas populares de comercio electrónico. Las vulnerabilidades explotadas incluyen CVE-2025-54236, CVE-2025-61882 y CVE-2025-47569.
Según Zimperium zLabs, se ha cuadriplicado el número de páginas de phishing móvil (también conocido como mishing), donde los atacantes explotan marcas confiables para crear urgencia y engañar a los usuarios para que hagan clic, inicien sesión o descarguen actualizaciones maliciosas”.
Además, Recorded Future ha llamado la atención sobre estafas de compras en las que los actores de amenazas utilizan tiendas de comercio electrónico falsas para robar datos de las víctimas y autorizar pagos fraudulentos por bienes y servicios inexistentes. Describió las estafas como “una importante amenaza de fraude emergente”.
“Un sofisticado ecosistema de la web oscura permite a los actores de amenazas construir rápidamente una nueva infraestructura de fraude en compras y amplificar su impacto”, dijo la compañía. “La actividad promocional que refleja el marketing tradicional, incluida una oferta para vender datos de tarjetas robadas en la tienda de tarjetas de la web oscura PP24, está muy extendida en este underground”.
“Los actores de amenazas financian campañas publicitarias utilizando tarjetas de pago robadas para difundir el fraude en las compras, lo que a su vez compromete más datos de las tarjetas de pago y alimenta un ciclo de fraude continuo”.
About The Author
