La Oficina Federal de Investigaciones (FBI) de los Estados Unidos ha prevenido que los ciberdelincuentes se hacen pasar por instituciones financieras con el objetivo de robar dinero o información confidencial para facilitar los esquemas fraudulentos de apropiación de cuentas (ATO).
La actividad está dirigida a personas, empresas y organizaciones de diversos tamaños y sectores, dijo la agencia, y agregó que los esquemas fraudulentos han provocado pérdidas de más de 262 millones de dólares desde principios de año. El FBI dijo que ha recibido más de 5.100 quejas.
El fraude de la ATO generalmente se refiere a los ataques que permiten a los actores de amenazas obtener acceso no autorizado a una institución financiera en línea, un sistema de nómina o una cuenta de ahorros para la salud para desviar datos y fondos para beneficio personal. El acceso se obtiene con frecuencia acercándose a los objetivos mediante técnicas de ingeniería social, como mensajes de texto, llamadas y correos electrónicos que se aprovechan de los temores de los usuarios, o a través de sitios web falsos.
Estos métodos permiten a los atacantes engañar a los usuarios para que proporcionen sus credenciales de inicio de sesión en un sitio de suplantación de identidad y, en algunos casos, instándolos a hacer clic en un enlace para denunciar supuestas transacciones fraudulentas registradas en sus cuentas.
«Un ciberdelincuente manipula al propietario de la cuenta para que revele sus credenciales de inicio de sesión, incluido el código de autenticación multifactor (MFA) o el código de acceso único (OTP), haciéndose pasar por empleado de una institución financiera, personal de atención al cliente o de soporte técnico», afirma el FBI.
«Luego, el ciberdelincuente utiliza las credenciales de inicio de sesión para iniciar sesión en el sitio web legítimo de la institución financiera e iniciar un restablecimiento de la contraseña y, en última instancia, obtener el control total de las cuentas».
Otros casos involucran a actores de amenazas disfrazados de instituciones financieras que contactan con los propietarios de las cuentas, alegando que su información se utilizó para realizar compras fraudulentas, incluidas armas de fuego, y luego los convencieron de que proporcionaran la información de su cuenta a un segundo ciberdelincuente que se hacía pasar por las fuerzas del orden.
El FBI dijo que el fraude de la ATO también puede implicar el uso de intoxicaciones por optimización de motores de búsqueda (SEO) para engañar a los usuarios que buscan negocios en los motores de búsqueda para que hagan clic en enlaces falsos que redirigen a un sitio similar mediante anuncios maliciosos en los motores de búsqueda.
Independientemente del método utilizado, los ataques tienen un objetivo: tomar el control de las cuentas y transferir fondos rápidamente a otras cuentas bajo su control, y cambiar las contraseñas, bloqueando de manera efectiva al propietario de la cuenta. Las cuentas a las que se transfiere el dinero se vinculan además a carteras de criptomonedas para convertirlas en activos digitales y ocultar el rastro del dinero.
Para mantenerse protegidos contra esta amenaza, se recomienda a los usuarios que tengan cuidado al compartir información sobre sí mismos en Internet o en las redes sociales, que controlen periódicamente las cuentas para detectar cualquier irregularidad financiera, que utilicen contraseñas únicas y complejas, que se aseguren de la URL de los sitios web de los bancos antes de iniciar sesión y que estén atentos a los ataques de suplantación de identidad o a las llamadas sospechosas.
«Al compartir abiertamente información como el nombre de una mascota, las escuelas a las que ha asistido, su fecha de nacimiento o información sobre los miembros de su familia, puede dar a los estafadores la información que necesitan para adivinar su contraseña o responder a sus preguntas de seguridad», dijo el FBI.
«La gran mayoría de las cuentas de ATO a las que se hace referencia en el anuncio del FBI provienen de credenciales comprometidas utilizadas por actores de amenazas que están muy familiarizados con los procesos y flujos de trabajo internos del movimiento de dinero dentro de las instituciones financieras», dijo Jim Routh, director de fideicomisos de Saviynt, en un comunicado.
«Los controles más eficaces para prevenir estos ataques son los manuales (llamadas telefónicas para la verificación) y los mensajes SMS para su aprobación. La causa principal sigue siendo la aceptación del uso de credenciales para las cuentas en la nube, a pesar de que hay opciones disponibles sin contraseña».
El desarrollo se produce como Darktrace , Punto de inflamación , Punto de fuerza , Fortinet , y Zimperium han puesto de relieve las principales amenazas a la ciberseguridad antes de la temporada navideña, incluidas las estafas del Black Friday, el fraude con códigos QR, el robo de tarjetas de regalo y las campañas de suplantación de identidad de gran volumen que imitan a marcas populares como Amazon y Temu.
Muchas de estas actividades aprovechan las herramientas de inteligencia artificial (IA) para producir correos electrónicos de suplantación de identidad, sitios web falsos y anuncios en redes sociales altamente persuasivos, lo que permite que incluso los atacantes con poca habilidad realicen ataques que parezcan confiables y aumenten la tasa de éxito de sus campañas.
Fortinet FortiGuard Labs dijo que detectó al menos 750 dominios maliciosos con temática navideña registrados en los últimos tres meses, y muchos usaron términos clave como «Navidad», «Black Friday» y «Venta flash». «Durante los últimos tres meses, en los mercados clandestinos se recopilaron más de 1,57 millones de cuentas de inicio de sesión vinculadas a los principales sitios de comercio electrónico, disponibles mediante registros de ladrones», afirma la empresa.
También se ha descubierto que los atacantes explotan activamente las vulnerabilidades de seguridad en Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto y otras plataformas de comercio electrónico comunes. Algunas de las vulnerabilidades explotadas incluyen la CVE-2025-54236, la CVE-2025-61882 y la CVE-2025-47569.
Según Zimperium zLabs, los sitios móviles de suplantación de identidad (también conocidos como mishing) se han multiplicado por cuatro, y los atacantes utilizan marcas confiables para crear urgencia y engañar a los usuarios para que hagan clic, inicien sesión o descarguen actualizaciones maliciosas».
Además, Recorded Future ha llamado la atención sobre las estafas de compra en las que los actores de amenazas utilizan tiendas de comercio electrónico falsas para robar los datos de las víctimas y autorizar pagos fraudulentos por bienes y servicios inexistentes. Describió las estafas como una «importante amenaza emergente de fraude».
«Un sofisticado ecosistema de la web oscura permite a los actores de amenazas establecer rápidamente una nueva infraestructura de estafas de compras y amplificar su impacto», dijo la empresa dijo . «Las actividades promocionales que reflejan el marketing tradicional, incluida una oferta para vender datos de tarjetas robadas en la oscura tienda de tarjetas PP24, están muy extendidas en este mundo clandestino».
«Los actores de amenazas financian campañas publicitarias con tarjetas de pago robadas para propagar estafas de compra, lo que a su vez compromete más datos de tarjetas de pago, lo que alimenta un ciclo continuo de fraude.