Las llamadas recovery scams o estafas de recuperación de fondos representan una modalidad de fraude que agrupa diversas tácticas depredadoras, todas orientadas a un mismo objetivo: engañar nuevamente a víctimas que ya han sido afectadas.
Especialistas en ciberseguridad de ESET advierten que comprender cómo operan estos esquemas aumenta significativamente las probabilidades de evitar un segundo fraude en caso de ser contactado.
“A los estafadores solo les importa hacer dinero y aprovechan cada oportunidad para conseguirlo. Si se cayó en un fraude, no se debe bajar la guardia ya que no dudan en revictimizarlas ni en explotar la desesperación por recuperar los fondos robados”, advierte Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
Estos engaños comienzan cuando los estafadores compran a otros criminales las listas de víctimas que ya han caído en un fraude, o apuntan directamente a víctimas de fraudes que ellos mismos cometieron. Una vez identificadas, las contactan y se hacen pasar por proveedores de servicios de recuperación, agencias de protección al consumidor, funcionarios gubernamentales, fuerzas del orden, reguladores, etc.
Cuando intercambian información sobre el caso, prometen intentar recuperar los fondos a cambio de un pago adelantado, o también pueden afirmar que ya tienen el dinero y que lo están redistribuyendo a clientes afectados. Otra alternativa es que mencionen que solo necesitan completar papeleo para liberar un reembolso supuestamente gestionado por una agencia o entidad gubernamental.
“Esto es básicamente una forma de estafa de pago por adelantado (advance fee scam), que en los Estados Unidos durante 2024 hubo más de 7.000 reportes que generaron más de 102 millones de dólares en pérdidas. Incluso así, probablemente estos números representan solo la punta del iceberg”, agrega López.
ESET muestra que hay señales de alerta para evitar un recovery scam:
· Afirmaciones exageradas: dicen que ya tienen fondos o que “garantizan” recuperarlos.
· Contacto no solicitado: llegan sin que se los busque, por email, redes sociales, SMS o llamada.
· Pago por adelantado: piden un cargo inicial, quizá llamado retainer fee, processing fee, administrative charge o incluso un cobro relacionado con impuestos.
· Ingeniería social: presionan para que se tomen decisiones apresuradas.
· Suplantación: afirman ser de un organismo oficial, un banco o un equipo de fraude.
· Medios de pago no rastreables: solicitan crypto, gift cards o apps de pago difíciles de revertir.
· Correos poco profesionales: usan cuentas de Gmail u otros webmails en lugar de direcciones corporativas legítimas.
Para evitar volver a ser víctima, desde ESET comparten algunas recomendaciones para tener en cuenta: nunca pagar tarifas por adelantado a quien hizo un contacto de la nada; verificar siempre la identidad de la persona que te contacte buscando sus datos en sitios oficiales; y evitar publicar en línea historias sobre cómo se fue estafado, ya que los delincuentes monitorean la web en busca de víctimas para volver a atacar.
En caso de haber sido víctima de una estafa de recupero de fondos, según ESET, las opciones son limitadas. Aconsejan el reportar el incidente a la autoridad oficial que corresponda a cada país.
Esto ayuda a las autoridades a mapear el panorama del fraude y proteger a futuras víctimas. Si se pagó a través del banco, notificarles lo antes posible.
Monitorear las cuentas y congelar tarjetas afectadas. Si se entregó información personal, cambiar contraseñas, activar MFA y prepararse para recibir phishing más convincente en el futuro.
