Una investigación de la firma Group-IB reveló una operación de phishing a gran escala que atrae a víctimas con aplicaciones de préstamos fraudulentos. El fraude, que comenzó en Perú, ya se ha extendido a otros países de Latinoamérica -entre ellos Chile y Colombia- y utiliza técnicas sofisticadas para capturar datos financieros.
Una compleja campaña de fraude digital ha sido descubierta por investigadores de la firma Group-IB en el Perú, donde cibercriminales utilizan solicitudes de préstamos fraudulentos para engañar a usuarios y robar información sensible de tarjetas bancarias, incluyendo números y PIN. Este esquema, activo desde 2024, se basa en ingeniería social avanzada y sitios web falsos que imitan entidades financieras legítimas para ganarse la confianza de las víctimas.
De acuerdo con la investigación, los atacantes promocionan ofertas de préstamos aparentemente atractivas mediante anuncios dirigidos en redes sociales. Entre 2024 y 2025, se identificaron aproximadamente 35 anuncios distintos que redirigían a formularios de solicitud de crédito falsos. Una vez que el usuario ingresa a uno de estos sitios, comienza un proceso de recolección de datos cuidadosamente diseñado para parecer legítimo.
En la fase inicial, los usuarios son invitados a introducir su número de identificación nacional (DNI), que pasa por validaciones superficiales y genera una sensación de credibilidad. A continuación, se muestra una serie de ofertas de préstamo “personalizadas”, tras lo cual se solicita información de contacto y datos más delicados.
El punto crítico de esta estafa se presenta cuando la plataforma ofrece dos métodos de verificación de identidad: reconocimiento facial o validación con tarjeta de banco. El primero siempre falla de forma intencionada, empujando al usuario hacia la opción de ingresar los detalles de su tarjeta. Aquí, el sistema utiliza el algoritmo de Luhn para verificar automáticamente la validez del número de tarjeta, asegurando que los datos robados sean utilizables y valiosos. Con una tarjeta validada, los estafadores solicitan luego la contraseña de banca en línea y el PIN de seis dígitos, que pueden venderse en el mercado negro o usarse para fraudes adicionales.
Según los investigadores, la infraestructura de este esquema involucra al menos 370 dominios únicos diseñados para imitar bancos y servicios financieros. Aunque el foco principal está en Perú, marcas y entidades en Chile, Colombia, El Salvador y Ecuador también han sido suplantadas como parte de la expansión de la estafa.
Este tipo de ataque combina la sofisticación técnica con tácticas de manipulación psicológica. Los estafadores aprovechan la necesidad de soluciones financieras rápidas y las vulnerabilidades de los usuarios para construir una relación de confianza falsa, a menudo redirigiendo al usuario incluso al sitio real del banco después de completar la captura de datos, lo que reduce las sospechas de la víctima de forman inmediata.
En una de sus conclusiones, el reporte señala que “al combinar ingeniería social eficaz con scripts dinámicos, verificación de bases de datos y código ofuscado, los estafadores logran maximizar la credibilidad de sus campañas y obtener únicamente credenciales de alta calidad”, lo que da cuenta de la madurez técnica de los cibercriminales.
El reporte concluye con una serie de recomendaciones para instituciones financieras, usuarios y reguladores. El reporte también incluye varios ejemplos e imágenes que grafican las campañas de phishing.