La Oficina Federal de Investigaciones (FBI) de EE. UU. ha advertido que los ciberdelincuentes se están haciendo pasar por instituciones financieras con el objetivo de robar dinero o información confidencial para facilitar esquemas de fraude de apropiación de cuentas (ATO).
La actividad está dirigida a individuos, empresas y organizaciones de diversos tamaños y sectores, dijo la agencia, y agregó que los esquemas fraudulentos han provocado pérdidas por más de 262 millones de dólares desde principios de año. El FBI dijo que ha recibido más de 5.100 quejas.
El fraude ATO generalmente se refiere a ataques que permiten a los actores de amenazas obtener acceso no autorizado a una institución financiera en línea, un sistema de nómina o una cuenta de ahorros para la salud para desviar datos y fondos para beneficio personal. El acceso a menudo se obtiene acercándose a los objetivos mediante técnicas de ingeniería social, como mensajes de texto, llamadas y correos electrónicos que se aprovechan de los temores de los usuarios, o mediante sitios web falsos.
Estos métodos hacen posible que los atacantes engañen a los usuarios para que proporcionen sus credenciales de inicio de sesión en un sitio de phishing, en algunos casos, instándolos a hacer clic en un enlace para informar supuestas transacciones fraudulentas registradas en sus cuentas.
«Un cibercriminal manipula al propietario de la cuenta para que proporcione sus credenciales de inicio de sesión, incluido el código de autenticación multifactor (MFA) o el código de acceso de un solo uso (OTP), haciéndose pasar por un empleado de una institución financiera, personal de atención al cliente o personal de soporte técnico», dijo el FBI.
«El ciberdelincuente luego utiliza las credenciales de inicio de sesión para iniciar sesión en el sitio web legítimo de la institución financiera e iniciar un restablecimiento de contraseña, obteniendo finalmente el control total de las cuentas».
Otros casos involucran a actores de amenazas que se hacen pasar por instituciones financieras que se comunican con propietarios de cuentas, afirmando que su información se utilizó para realizar compras fraudulentas, incluidas armas de fuego, y luego los convencen de que proporcionen la información de su cuenta a un segundo ciberdelincuente que se hace pasar por agentes de la ley.
El FBI dijo que el fraude ATO también puede implicar el uso de envenenamiento por optimización de motores de búsqueda (SEO) para engañar a los usuarios que buscan empresas en los motores de búsqueda para que hagan clic en enlaces falsos que redirigen a un sitio similar mediante anuncios maliciosos en los motores de búsqueda.
Independientemente del método utilizado, los ataques tienen un objetivo: tomar el control de las cuentas y transferir rápidamente fondos a otras cuentas bajo su control, y cambiar las contraseñas, bloqueando efectivamente al propietario de la cuenta. Las cuentas a las que se transfiere el dinero están además vinculadas a carteras de criptomonedas para convertirlas en activos digitales y oscurecer el rastro del dinero.
Para mantenerse protegidos contra la amenaza, se recomienda a los usuarios que tengan cuidado al compartir información sobre ellos mismos en línea o en las redes sociales, que controlen periódicamente las cuentas para detectar irregularidades financieras, que utilicen contraseñas únicas y complejas, que aseguren la URL de los sitios web bancarios antes de iniciar sesión y que se mantengan atentos a los ataques de phishing o a las personas que llaman sospechosas.
«Al compartir abiertamente información como el nombre de una mascota, las escuelas a las que ha asistido, su fecha de nacimiento o información sobre los miembros de su familia, puede darles a los estafadores la información que necesitan para adivinar su contraseña o responder sus preguntas de seguridad», dijo el FBI.
«La gran mayoría de las cuentas ATO a las que se hace referencia en el anuncio del FBI se producen a través de credenciales comprometidas utilizadas por actores de amenazas íntimamente familiarizados con los procesos internos y flujos de trabajo para el movimiento de dinero dentro de las instituciones financieras», dijo Jim Routh, director de confianza de Saviynt, en un comunicado.
«Los controles más efectivos para prevenir estos ataques son manuales (llamadas telefónicas para verificación) y mensajes SMS para aprobación. La causa principal sigue siendo el uso aceptado de credenciales para cuentas en la nube a pesar de tener opciones sin contraseña disponibles».
El desarrollo se produce cuando Darktrace, Flashpoint, Forcepoint, Fortinet y Zimperium han destacado las principales amenazas a la ciberseguridad antes de la temporada navideña, incluidas las estafas del Black Friday, el fraude con códigos QR, el robo de tarjetas de regalo y las campañas de phishing de gran volumen que imitan a marcas populares como Amazon y Temu.
Muchas de estas actividades aprovechan herramientas de inteligencia artificial (IA) para producir correos electrónicos de phishing, sitios web falsos y anuncios en redes sociales altamente persuasivos, lo que permite que incluso los atacantes poco capacitados realicen ataques que parezcan confiables y aumenten la tasa de éxito de sus campañas.
Fortinet FortiGuard Labs dijo que detectó al menos 750 dominios maliciosos con temas navideños registrados en los últimos tres meses, y muchos de ellos usaban términos clave como «Navidad», «Viernes Negro» y «Venta Flash». «Durante los últimos tres meses, se recopilaron en mercados clandestinos más de 1,57 millones de cuentas de inicio de sesión vinculadas a los principales sitios de comercio electrónico, disponibles a través de registros de ladrones», dijo la compañía.
También se ha descubierto que los atacantes explotan activamente las vulnerabilidades de seguridad en Adobe/Magento, Oracle E-Business Suite, WooCommerce, Bagisto y otras plataformas comunes de comercio electrónico. Algunas de las vulnerabilidades explotadas incluyen CVE-2025-54236, CVE-2025-61882 y CVE-2025-47569.
Según Zimperium zLabs, se ha cuadruplicado el número de sitios de phishing móvil (también conocido como mishing), en el que los atacantes aprovechan marcas confiables para crear urgencia y engañar a los usuarios para que hagan clic, inicien sesión o descarguen actualizaciones maliciosas».
Es más, Recorded Future ha llamado la atención sobre estafas de compra en las que los actores de amenazas utilizan tiendas de comercio electrónico falsas para robar datos de las víctimas y autorizar pagos fraudulentos por bienes y servicios inexistentes. Describió las estafas como una «importante amenaza de fraude emergente».
Las operaciones de estafa, según la empresa de ciberseguridad, funcionan en embudos de ataque de varias etapas dirigidos a víctimas específicas utilizando un sistema de distribución de tráfico (TDS) para determinar si se consideran apropiados e iniciar una cadena de redireccionamiento para conducirlas a la etapa final, donde se lleva a cabo la transacción autorizada por la víctima.
La principal ventaja de esta estafa es que los pagos son autorizados por las propias víctimas, ofreciendo a los operadores pagos económicos inmediatos. Por el contrario, otros vectores de ataque de fraude requieren una inversión considerable de tiempo y recursos para retirar los datos robados. También se ha descubierto que algunas estafas de compras utilizan servicios de recuperación de transacciones para intentar dos transacciones fraudulentas secuenciales, monetizando así dos veces la información de la tarjeta.
«Un sofisticado ecosistema de la web oscura permite a los actores de amenazas establecer rápidamente una nueva infraestructura de compras fraudulentas y amplificar su impacto», dijo la compañía. «Las actividades promocionales que reflejan el marketing tradicional, incluida una oferta para vender datos de tarjetas robadas en la tienda de tarjetas de la web oscura PP24, están muy extendidas en este underground».
«Los actores de amenazas financian campañas publicitarias con tarjetas de pago robadas para difundir estafas de compras, que a su vez comprometen más datos de tarjetas de pago, alimentando un ciclo continuo de fraude.