Una nueva modalidad de estafa digital ya hace estragos entre usuarios que buscan ayuda bancaria en Google: se trata de anuncios pagos que imitan a bancos y tarjetas de crédito para aparecer en los primeros resultados del buscador, derivar a las víctimas a WhatsApp y pedirles selfies, validaciones faciales, códigos y cambios de claves bajo la excusa de proteger sus cuentas.
Lucas Moyano, especialista en ciberseguridad y evidencia digital, advirtió que esta técnica, conocida como SEO Poisoning, crece porque aprovecha una conducta cotidiana: buscar en Internet un canal de atención al cliente cuando aparece un problema real. “Ya no alcanza con desconfiar de un mail extraño; ahora el delincuente paga publicidad para aparecer primero cuando vos buscás ayuda legítima”, explicó Moyano.
Moyano contó a Tecno Newsroom un caso que permite entender cómo funciona la maniobra: una persona buscó en Google el número de atención al cliente de su tarjeta de crédito y terminó ingresando en una estructura montada por ciberdelincuentes para simular asistencia oficial. “Sin saberlo, entró en una trampa diseñada profesionalmente por el cibercriminal”, señaló.
La estafa no comienza con un mensaje enviado al azar, sino con una necesidad real del usuario. A partir de ahí aparece el primer engaño: anuncios patrocinados construidos para parecer legítimos.
Cómo funciona la maniobra de “SEO Poisoning”
Moyano, auxiliar fiscal federal y autor de Ciberdelitos: Cómo Investigar en Entornos Digitales, explicó que los delincuentes compran espacios en Google Ads utilizando logos, nombres y diseños prácticamente idénticos a los de bancos, tarjetas de crédito y entidades financieras.
“Al figurar como un resultado ‘patrocinado’ en la cima del buscador, el usuario baja la guardia, asumiendo que Google ha validado la legitimidad de ese sitio”, sostuvo Moyano.
El engaño no termina ahí. Después del clic, la víctima es derivada directamente a un chat de WhatsApp, donde comienza una etapa de manipulación mucho más sofisticada.
La falsa atención al cliente y el robo de identidad
En la maniobra analizada por Moyano, el engaño no se sostenía con amenazas ni mensajes agresivos. El punto central era otro: generar confianza. Del otro lado aparecían supuestos operadores que hablaban con tranquilidad, respondían dudas y transmitían la idea de estar intentando proteger la cuenta bancaria de la víctima.
“Los estafadores no utilizaron amenazas ni violencia verbal. Al contrario, se mostraron como empleados ‘atentos y educados’ preocupados por ‘proteger la cuenta’ del cliente”, explicó.
Con la conversación ya instalada en WhatsApp, comenzaban los pedidos sensibles. Primero llegaba la propuesta de realizar una videollamada. Después aparecían las solicitudes de selfies, validaciones faciales y cambios de claves o PIN supuestamente vinculados a una actualización de seguridad.
Detrás de esas acciones hay un objetivo concreto: obtener información biométrica y control sobre las cuentas financieras del usuario. “Estos datos biométricos son oro puro para los delincuentes; los usan para validar identidad en billeteras virtuales o solicitar créditos instantáneos a nombre de la víctima”, alertó Moyano.
Dentro de este tipo de fraudes aparece otro pedido frecuente: los códigos enviados por SMS. Aunque muchas personas creen que forman parte de una verificación legítima, esos números pueden abrir el acceso a cuentas bancarias, billeteras virtuales o servicios financieros. “Si te piden un código que te llegó por SMS, te están robando el acceso a tu cuenta. Ese código es personal y nunca debe compartirse”.
Las alertas que delatan el engaño
Para Moyano, uno de los principales problemas es que las víctimas sienten que están hablando con un canal oficial porque la estafa comenzó dentro del propio buscador.
Por eso insistió en desconfiar de cualquier entidad que solicite información sensible mediante WhatsApp. “Ninguna entidad bancaria o tarjeta de crédito seria te va a pedir una selfie, una videollamada o una foto de tu DNI por WhatsApp para ‘validar’ tu cuenta”.
También marcó otra señal crítica: cuando una persona intenta dirigir cada movimiento dentro de la aplicación bancaria. "Jamás permitas que un tercero te indique qué botones tocar dentro de tu app bancaria ni aceptes compartir pantalla".
En caso de duda, el consejo es terminar inmediatamente la conversación y volver a ingresar a la entidad financiera por medios propios. "No sientas compromiso por la ‘amabilidad’ del operador. Si es un delincuente, es un profesional entrenado para retenerte".
El especialista recomendó cerrar la ventana, escribir manualmente la dirección oficial del banco o utilizar únicamente la aplicación instalada previamente en el dispositivo.
Moyano compartió otros consejos:
- Nunca uses los links que te pasen. Cerrá la ventana y entrá vos mismo a la página oficial escribiendo la dirección en el navegador o usando la app que ya tenés instalada.
- El único número de atención al cliente 100% confiable es el que figura en el dorso físico de tu tarjeta de crédito o débito.
- Si detectás que un resultado patrocinado es falso, reportalo en el buscador. Ayudás a que lo bajen y que otras familias no pasen por lo mismo.