Se ha identificado una modalidad activa de fraude cuyo vector principal no es técnico, sino conductual: mediante manipulación psicológica, el atacante logra que la propia víctima active el desvío incondicional de llamadas en su dispositivo móvil, comprometiendo los canales de autenticación bancaria sin necesidad de intrusión tecnológica.
Mecanismo de ataque — Tres fases
- Legitimación
El atacante podría utilizar datos reales o parcialmente correctos (nombre, institución, últimos dígitos de producto) para construir credibilidad inicial. La víctima interpreta esta información como prueba de identidad legítima. - Inducción de estado emocional
Se instala un escenario de riesgo inminente: cuenta intervenida, transferencia en curso, bloqueo inminente. El objetivo no es informar, es comprimir el tiempo de decisión hasta eliminar el pensamiento analítico. Esto tiene base neurocientífica: bajo activación emocional aguda, la corteza prefrontal cede frente a la amígdala. La víctima actúa antes de razonar. - Ejecución del código USSD
El atacante solicita marcar una secuencia como *21*[número]#, envuelta en lenguaje institucional: "para redirigir sus llamadas a nuestra línea de monitoreo de seguridad." La víctima ejecuta la instrucción desde su propio dispositivo. El operador móvil la procesa como legítima, porque lo es técnicamente. No hay intrusión, no hay alerta.
¿Qué queda comprometido una vez activo el desvío incondicional?:
- Llamadas de verificación bancaria entrantes → interceptadas por el atacante
- Códigos OTP dictados por voz en llamadas automatizadas → interceptados
- En redes 2G/3G y según configuración del operador: SMS con códigos de autenticación → potencialmente interceptados en LTE, menos probable pero no descartable
- La ventana de explotación es corta y concentrada. Los atacantes actúan mientras la víctima aún no sospecha. En casos más elaborados, el propio desvío permite que intercepten la llamada que la víctima intenta hacer al banco.
¿Por qué esta modalidad es especialmente efectiva?
No depende de vulnerabilidades técnicas, explota tres sesgos cognitivos bien documentados:
- Autoridad institucional: tendencia a obedecer sin cuestionar a quien se presenta como representante legítimo de una institución con poder
- Aversión a la pérdida: La amenaza de perder activa una respuesta emocional más intensa que cualquier incentivo equivalente
- Presión temporal: compresión artificial del tiempo de decisión que inhibe el pensamiento crítico
No hay malware que detectar, no hay enlace que bloquear, no hay alerta que el banco pueda emitir en tiempo real. El único punto de intervención es la pausa cognitiva antes de actuar, es decir: Detente -> Verifica-> Decide con calma.
Recomendaciones:
✔ Nunca marcar códigos indicados por terceros durante llamadas entrantes, independientemente de la identidad declarada.
✔ Ante cualquier llamada que genere urgencia vinculada a productos financieros: cortar y llamar directamente al número oficial de la institución.
✔ Verificar periódicamente el estado de desvíos activos: Configuración → SIM y red → Desvío de llamadas.
La prevención efectiva de esta modalidad depende de una sola variable que ningún sistema puede controlar en lugar de la persona: la capacidad de detenerse antes de actuar.
No hackean tu teléfono.
Hackean tu reacción.
Detente-> Verifica->Decide con calma.
Y siempre recuerda: Coopeuch nunca solicitará claves, códigos de seguridad, datos personales, acciones URGENTES por teléfono o mensaje. Coopeuch NO enviará links para que ingresen datos por SMS, WhatsApp o correo. Y no solicitará que ingreses el código de desvío *21*[número]#
