Inicio Tecnología Ciberseguridad Fraude bancario: ciberdelincuentes toman el control total de tu celular con una...

Fraude bancario: ciberdelincuentes toman el control total de tu celular con una App legítima

Por

15/11/2025

281

Nueva estrategia de estafa en redes sociales: Suplantan a una entidad bancaria para inducir la instalación de una aplicación de control remoto, logrando acceder a información y fondos de las víctimas.

El panorama de las amenazas cibernéticas evoluciona constantemente, y la última alerta de la compañía de detección proactiva de amenazas ESET revela una nueva y sofisticada campaña de fraude que combina la suplantación de identidad en redes sociales con la manipulación psicológica, conocida como ingeniería social. El elemento más novedoso de esta estafa no es el robo de credenciales, sino la capacidad de los ciberdelincuentes para tomar el control total del dispositivo móvil de la víctima a través de una aplicación legítima.

Investigadores de ESET identificaron una nueva operación maliciosa en Argentina que suplantaba a una institución bancaria de renombre. El engaño se iniciaba en una página de Facebook (ya dada de baja) que utilizaba la imagen del banco y prometía descuentos en varios servicios, especialmente dirigidos a adultos mayores. Para supuestamente reclamar estos beneficios, se solicitaba a la víctima comunicarse a un número telefónico a través de una llamada de WhatsApp.

La clave: la ingeniería social

La efectividad de esta campaña radica en el uso intensivo de técnicas de ingeniería social. Los atacantes buscan convencer a las víctimas de su legitimidad, haciéndose pasar por empleados bancarios, y las tientan con la promesa del descuento si descargan una aplicación específica.

Una vez que la víctima contacta al atacante mediante WhatsApp, y tras la conversación, el delincuente le envía un enlace para descargar la primera aplicación directamente desde la tienda oficial de Android, en este caso, Google Play. Posteriormente, le proporciona un código de confirmación. La aplicación utilizada, llamada Supremo, es una herramienta legítima que permite la administración y el control remoto de dispositivos móviles.

Con esta aplicación instalada y el código activado, la víctima se conecta remotamente con el atacante. El ciberdelincuente obtiene así la capacidad de:

Ver la pantalla del celular.
Interactuar con las aplicaciones.
Transferir archivos.
Realizar acciones en nombre de la víctima.

Generalmente, las funciones de aplicaciones como Supremo están diseñadas para ofrecer soporte técnico o gestionar equipos propios a distancia. Sin embargo, como advierte ESET, estas mismas funcionalidades están siendo explotadas con fines maliciosos por los ciberdelincuentes.

¿Por qué un cambio de estrategia?

Martina Lopez, Investigadora de ESET Latinoamérica, comenta sobre el elemento novedoso de esta técnica en el contexto de las estafas bancarias: “Si bien inducir a las víctimas a instalar una aplicación de control remoto no es una técnica nueva, sí es importante destacar que resulta novedoso en el contexto de las estafas bancarias y suplantaciones, y que posiblemente responda a las campañas de concientización que están haciendo sobre no compartir información sensible”.

La investigadora de ESET concluye que, ante la dificultad de hacer que las víctimas entreguen directamente sus credenciales, la «innovación» de los atacantes es simplemente controlar el dispositivo donde se encuentra la aplicación del banco.

Los comentarios en la página de Supremo en Google Play reflejan la magnitud del problema, con numerosos usuarios reportando haber sido estafados desde al menos mayo de 2024, no solo con la excusa bancaria, sino también mediante la suplantación de identidad de empresas como Netflix, Starlink, Mercado Libre y Ypf. Las víctimas han reportado desde el robo de dinero hasta la toma de préstamos bancarios fraudulentos mediante el control de sus celulares por parte de los estafadores.

Cinco consejos esenciales para evitar el fraude de control remoto

Para protegerse de este tipo de estafas, ESET ha compartido una serie de recomendaciones prácticas:

Desconfíe de lo no verificado: Si un anuncio o perfil en redes sociales dice ser de un banco, gobierno, o marca reconocida, pero no está verificado, debe desconfiar.
Use canales oficiales: Comuníquese siempre y únicamente a través de los canales autorizados y verificados de la entidad.
Controle la emoción: Evite clics o mensajes impulsivos al ver ofertas irresistibles, grandes descuentos o alertas de problemas en sus cuentas. Los atacantes usan estas tácticas para manipular las emociones de las víctimas.
No descargue por orden de extraños: Bajo ninguna circunstancia debe descargar archivos o aplicaciones si se lo ordena un desconocido, especialmente si no son las aplicaciones oficiales del banco o la marca con la que desea interactuar.
Refuerce la seguridad del móvil: Asegúrese de tener un software antivirus instalado y actualizado en su dispositivo móvil para prevenir posibles infecciones.

Adicionalmente, se recomienda mantener actualizados tanto los dispositivos como las aplicaciones. En caso de sufrir una intrusión, debe modificar inmediatamente las contraseñas afectadas y monitorear con atención cualquier movimiento sospechoso en sus cuentas bancarias.

*En la creación de este texto se usaron herramientas de inteligencia artificial.

SELECCIÓN DEL EDITOR

Google impulsa el talento digital en Perú con becas para cursos de IA y certificaciones profesionales

Cáncer en Perú 2024: Proyecciones y estrategias de prevención

De Jorge Cuyubamba a investigadores bamba | Opinión

NO TE PIERDAS

Todo sobre MacBook Neo, la nueva Mac de entrada de Apple | VIDEOS

Claves para usar el aire acondicionado sin pagar de más en Lima

Día Mundial de la Obesidad: el 73% de adultos peruanos tiene exceso de peso

CATEGORÍAS POPULARES

¿QUIÉNES SOMOS?

SÍGUENOS EN: