En 2023, el equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, analizó el crecimiento de las aplicaciones de préstamos maliciosas en muchos países de Latinoamérica, como México, Colombia y Chile, cuyo objetivo era recopilar y exfiltrar datos confidenciales de sus víctimas, o chantajearlas para obtener dinero. Con esta tendencia en ascenso, ESET comparte cómo saber si una aplicación de préstamo es segura o no, de qué manera pueden afectar a los usuarios, qué pasos seguir si ya se descargó una en un dispositivo y cómo se puede realizar un reclamo si se fue víctima de este tipo de engaño.
Las aplicaciones fraudulentas, circulan a través de anuncios por mensajes SMS y en redes sociales como WhatsApp, TikTok, Facebook, YouTube e Instagram, y buscan que las víctimas descarguen la aplicación. Para ganar la confianza de las personas, muchas simulan ser un banco, o un proveedor de préstamos y servicios financieros de buena reputación.
Solo entre 2021 y 2024 se registraron más de 1.000 apps de préstamo fraudulentas, según informó el Consejo Ciudadano para la Seguridad y Justicia de la Ciudad de México. Por otro lado, según una encuesta de Kardmatch, 3 de cada 10 personas que solicitaron un préstamo vía app en México, fueron víctima de fraude, ya sea con acreditación de préstamos no solicitados o pagos anticipados sin recibir depósito de supuesto empréstito. Esta situación llevó a la Secretaría de Seguridad y Protección Ciudadana a alertar a los habitantes mexicanos sobre los riesgos de las apps de préstamos “montadeudas” y a la Policía de Investigaciones de Chile a difundir un video de prevención en su cuenta oficial de TikTok.
En un contexto en el cual conviven aplicaciones oficiales y seguras con otras fraudulentas y maliciosas, desde ESET comentan que es importante saber identificarlas, para no ser una víctima más de este tipo de engaño. Para eso, comparten este checklist práctico de señales y alarmas concretas a prestarle atención:
Se descarga de repositorios no oficiales: Si la aplicación se descarga desde un link de WhatsApp, redes sociales o una página de dudosa reputación, debe llamar la atención. Lo correcto es realizar descargas desde repositorios oficiales, como Google Play, App Store o la tienda del banco.
Es demasiado bueno para ser verdad: Este tipo de estafas ofrecen dinero sin ningún tipo de requisito, con tasas muy bajas y aprobación inmediata. Estos son claros señuelos que utilizan los cibercriminales para aprovechar la urgencia de las víctimas.
Solicita dinero de antemano: Si pide transferir dinero a título de “garantía” o “comisión”, es un fraude. En un préstamo legítimo nunca se solicita un pago antes de desembolsar el crédito.
Cuenta con reseñas muy buenas o malas: Las reseñas y opiniones son otro factor para tener en cuenta ya que si son repetitivas y exageradamente positivas; o si existen quejas y reclamos por robo de datos o estafa, claramente es una señal de fraude.
Términos y condiciones poco claros o nulos: Es importante que la app explique detalladamente sus tasas de interés, plazos, comisiones y tenga términos, condiciones y políticas de privacidad claras. Si eso no existe, es mejor desconfiar.
Sin presencia en redes ni registro legal: Una aplicación que no cuenta con página web oficial, atención al cliente, redes sociales activas y registro ante un ente regulador local, debe levantar sospecha.
Pide permisos innecesarios: Si solicita acceder a los contactos, fotos, micrófono o hasta ubicación, entonces, lo que busca esa app es robar datos para luego extorsionar al usuario.
“Otro punto para tener en cuenta es que la supuesta página oficial desde donde se descarga la aplicación puede ser falsa. El cibercrimen crea webs que lucen como las reales, utilizando el mismo diseño, logos e imágenes. El consejo es verificar que la empresa esté avalada por el organismo regulador de tu país. Por último, que no existan denuncias a través de los medios de comunicación y las redes sociales, tampoco garantiza nada. De hecho, puede tratarse de un fraude incipiente, que todavía no fue descubierto ni denunciado”, advierte Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
El instalar una aplicación de préstamo fraudulenta puede tener diversas consecuencias. Por ejemplo:
Suplantación de identidad: Este tipo de apps fraudulentas suelen ir en busca de los datos personales de sus víctimas (nombre, apellido, documento de identidad, domicilio, información bancaria, entre tantos otros). Una vez obtenida esa información, pueden emplearla para suplantar la identidad y, por ejemplo, sacar un préstamo real a su nombre, abrir cuentas en un banco u otro tipo de actividades maliciosas.
Pérdida de dinero: Como señuelo, muchas veces estas apps incitan a la víctima a pagar un monto inicial, como parte de un supuesto estudio de crédito, comisiones, fianza o garantía. Luego, no sólo que el préstamo nunca sucede, sino que también se quedan con ese pago inicial.
Infección con malware: En el caso analizado por el equipo de ESET, se confirma que las aplicaciones SpyLoan suponen una importante amenaza, ya que gracias a su código malicioso pueden extraer sigilosamente una amplia gama de información personal de usuarios desprevenidos: lista de cuentas, registros de llamadas, eventos del calendario, información del dispositivo, listas de aplicaciones instaladas, información de la red Wi-Fi local, entre otras.
Extorsión: También es común que estas apps fraudulentas soliciten el acceso a contactos, fotos y mensajes. Lo que sucede luego es que los cibercriminales usan toda esa información íntima y personal para extorsionar a la víctima, amenazando que harán públicos los datos o avisarán a familiares y amigos de esta morosidad, pidiendo a cambio altas suma de dinero.
En caso de que ya haber instalado una app de préstamos fraudulenta en el dispositivo, desde ESET comentan que se pueden realizar diversas acciones concretas para no correr riesgos innecesarios. En primer lugar, no interactuar más con la app, no ingresar más a la aplicación, ni responder ningún tipo de mensaje o aviso relacionado a ella. El segundo paso es desinstalar la aplicación del dispositivo. Lo ideal, luego, es reiniciar el teléfono y volver a revisar apps y permisos para confirmar la acción. Además, realizar un análisis del dispositivo con una solución de seguridad ya que estas apps pueden contener componentes maliciosos ocultos, que, incluso desinstalándola, pueden dejar restos. Finalmente, actualizar las claves de las cuentas desde dispositivo seguro: homebanking, correo electrónico, redes sociales y otros servicios vinculados. En casos en los que el dispositivo haya sido comprometido profundamente, la opción es restauración de fábrica. Se recomienda antes realiza un backup consciente de los archivos e información imprescindible.
Para iniciar un reclamo en caso de que se haya sido víctima de una estafa relacionada a préstamos fraudulentos, ESET acerca los siguientes pasos:
Reunir toda la información posible: Para iniciar un reclamo, es ideal contar con toda la información disponible, para que las entidades pertinentes puedan iniciar la investigación: Nombre y detalles de la aplicación (desarrollador y versión), capturas de pantalla, permisos, mensajes, comprobantes de pagos, datos bancarios, correos, fechas, montos.
Denunciar el delito informático ante la autoridad judicial o policial: Esto es clave, ya que cada denuncia suma a un patrón de casos, que le permite a las autoridades pertinentes a bloquear estas apps en las tiendas o emitir alertas. A su vez, si los datos fueron usados para abrir cuentas o pedir créditos, tener una denuncia es una prueba de que se es víctima y no cómplice.
Lo ideal es recurrir a las Fuerzas de Seguridad de cada país: Por ejemplo, en México se debe contactar a la Guardia Nacional, Chile cuenta con la Policía de Investigación, mientras que en Colombia se realiza a través de la Policía Nacional.
Reclamar ante el organismo regulador del sistema financiero: La figura del Banco Central (o su equivalente según cada país) es la que puede instar a una entidad financiera a responder un reclamo. Por ejemplo, si se realizó una transferencia a una cuenta de una app fraudulenta, el banco receptor podría bloquear esa cuenta, pero solo si existe la instrucción del ente regulador.
Reportar en las plataformas oficiales (si aplica): En caso de que la app haya sido descargada de repositorios oficiales como Google Play o App Store, es importante reportarlo. Esto ayudará a que otras personas no sean estafadas por esa misma aplicación.
Para saber más sobre seguridad informática visite el portal corporativo de ESET: https://www.welivesecurity.com/es/consejos-seguridad/como-saber-si-app-prestamo-es-confiable-o-segura/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
