Por eso, Nequi decidió abordar el problema desde un ángulo poco usual: la música. La plataforma financiera se alió con Discos Fuentes para lanzar los “Papayazos bailables”, una campaña que convierte tres himnos decembrinos en tutoriales musicales sobre autocuidado digital. La idea es simple y contundente: enseñar a proteger la plata usando el mismo lenguaje que mueve las fiestas colombianas.

La iniciativa adapta Adonay, El hijo ausente y La plata, clásicos que ahora incluyen mensajes sobre cómo identificar estafas, evitar caer en trampas y reconocer señales de alerta en llamadas, correos y mensajes sospechosos. Las nuevas versiones están interpretadas por Los Cumbia Star, nominados al Grammy, y por el grupo vallenato Veba, lo que le da a la campaña un estilo festivo sin perder su trasfondo educativo.

Nequi explica que la estrategia busca ampliar la conversación alrededor del autocuidado financiero, especialmente en una época donde una llamada falsa o un enlace malicioso pueden volverse un dolor de cabeza. En las letras, cada canción aterriza un tipo de fraude habitual: el vishing en llamadas donde piden códigos o contraseñas; el smishing, con mensajes que prometen premios o trámites urgentes; y el phishing, correos que simulan ser de bancos o empresas para robar información.

Te puede interesar: ¿Qué es Black Friday Week de Amazon en Colombia y cómo aprovechar los 12 días de descuentos?

La empresa insiste en que jamás solicitará datos sensibles por teléfono, correo o enlaces externos. Si algo genera duda, el camino es siempre verificar por los canales oficiales. Incluso recomiendan reportar cualquier mensaje extraño al correo correosospechoso@nequi.com
.

La campaña también pone el foco en otros engaños frecuentes durante la temporada, como las transferencias “por error” que usan algunos estafadores para contactar a sus víctimas y solicitar devoluciones fuera de la App. Nequi recuerda que estos procesos solo deben gestionarse a través de la plataforma, que actúa como intermediaria.

Y frente a los comprobantes falsos, la recomendación es revisar siempre los Movimientos de la App o verificar el QR validador, disponible incluso para personas que no son usuarias.

Para Nequi, la seguridad es un trabajo conjunto: tecnología, pedagogía y hábitos de autocuidado. Por eso, mientras suena “La plata” o “Adonay” en cualquier fiesta de barrio, la plataforma espera que los colombianos también recuerden mantener la guardia en alto. Bailar sí, pero sin dar papaya.

La diferencia esta vez, según los analistas de Eset, es que estas campañas están aprovechando técnicas conocidas hace un tiempo para alcanzar a cada vez más usuarios. Aquí les presentamos algunos de los casos estudiados.

Casos de estudio

Desde el laboratorio de investigación de Eset Latinoamérica se analizaron dos casos recientes. En cada uno se repasó cómo funcionan estas viejas técnicas, combinadas ahora con novedosos engaños que tienen como objetivo convertirse en señuelos más atractivos para sus víctimas.

Caso 1: ‘Smishing’

El smishing es una técnica que se presenta cuando una víctima recibe un mensaje de texto (SMS) en el cual es inducida a ingresar a un enlace malicioso. Los pretextos pueden ser una cuenta suspendida, el restablecimiento de una contraseña o un acceso indebido a una cuenta. El estafador se hace pasar por una entidad conocida, como un banco o una empresa. Así como un ciberdelincuente puede enviar un correo apócrifo, que aparentemente proviene desde una dirección conocida, también puede falsificar el número telefónico que aparece como origen de los mensajes.

Este tipo de técnica suele ligarse a la ingeniería social, ya que busca obtener contraseñas o información crítica del usuario, pero no suele propagar códigos maliciosos.

Caso 1: Banamex

Uno de los casos de smishing que se propagó recientemente entre usuarios de Latinoamérica fue el de Banamex, el cual tenía como pretexto desbloquear una cuenta de este banco.

En el cuerpo del mensaje se advierte al receptor que podrá confirmar su identidad haciendo clic en el enlace proporcionado. Cuando Eset analizó la actividad que tuvo la página de destino, se evidenció que alcanzó más de mil clics en solo un día y luego permaneció inactiva en las siguientes semanas.

“Quienes ingresaran sus datos personales y/o su contraseña de home banking las estaban enviando en realidad a los cibercriminales. Esto nos recuerda nuevamente la importancia de utilizar el doble factor de autenticación”, aseguró Lucas Paus, especialista en seguridad informática de Eset Latinoamérica.

De estar activa, esta medida evita que el estafador pueda acceder a la cuenta, porque por mas de que tenga la contraseña, le hará falta el segundo factor para iniciar sesión, el cual se envía al usuario por otro medio (SMS, notificación o token) y es de uso único.

Caso 2: Phishing redirect con archivos adjuntos

Este es un ataque que se comete con el objetivo de adquirir fraudulentamente información personal y/o confidencial de la víctima. El estafador se hace pasar por una persona o empresa de confianza, utilizando una aparente comunicación oficial como correos electrónicos, sistemas de mensajería instantánea o incluso llamadas telefónicas.

Aunque la estafa se propaga por correo electrónico los teléfonos celulares intervienen como canal secundario. El siguiente ejemplo, relacionado con PayPal y el cual ocurrió hace unos meses, dejar ver cómo funciona esta clase de ataque:

El correo simula ser una comunicación proveniente de PayPal, y si bien la dirección de origen parece ser pago@paypal.com.ar, es fácil distinguir que es en realidad un alias de otra dirección con un dominio desconocido. El pretexto del engaño es un clásico problema con la información de la cuenta, en este caso un cambio en el número de teléfono asociado. Curiosamente, el mensaje no contiene un enlace, sino un archivo adjunto. En su interior, se induce al usuario a visitar un sitio web. El mismo es malicioso y lo llevará a un sitio web que imita al original de PayPal, en el cual se solicitaran las credenciales de acceso.

“De nuevo, utilizar el teléfono móvil como un segundo factor de autenticación es una gran medida de seguridad”, concluyó Paus.

Recomendaciones

Si recibes mensajes extraños y tienes dudas sobre su veracidad, Eset acerca estos tres consejos para estar más alerta y reconocer una estafa:

– Tener especial cuidado con mensajes que dicen provenir de entidades financieras o promociones que incluyan un enlace web, una petición urgente o que induzcan a compartir ese enlace. La mayoría de las veces son estafas, y la mejor manera de comprobarlo es comunicarse con la entidad para confirmarlo.

– Prestar atención al comportamiento anómalo en el teléfono, como llamadas o SMS a números desconocidos en el historial, un bajo rendimiento del equipo y alto consumo de la batería, o incluso reinicios inesperados.

– Revisar las cuentas periódicamente, tanto de factura telefónica, que puede incrementarse rápidamente por suscripción a servicios de SMS Premium, como los gastos de la tarjeta, que pueden aumentar si lograron robarte tus credenciales mediante un software espía.

Imagen: Pexels