Ojo con aplicaciones que ofrecen préstamos atractivos en Colombia; esconden oscuro peligro

El problema está documentado por el laboratorio de ciberseguridad ESET Latinoamérica y lo confirma Fabiana Ramírez, especialista en seguridad informática, que explica cómo operan estas apps y qué hacer para reducir el riesgo.

(Lea también: Llaves de Bre-B puede ser bloqueadas por estas dos razones; evite problemas al enviar plata)

ESET detectó, entre 2021 y 2024, más de 1.000 aplicaciones de préstamo fraudulentas en países de la región. Según su investigación, los criminales usan anuncios por SMS y redes sociales para atraer usuarios a instalar apps que aparentan ser bancos o prestamistas serios.

“Las aplicaciones fraudulentas circulan a través de anuncios por mensajes SMS y en redes sociales como WhatsApp, TikTok, Facebook, YouTube e Instagram”, comentan desde ESET.

Así funcionan aplicaciones fraudulentas de préstamos

Fabiana Ramírez identifica dos tácticas centrales que facilitan la entrada de estas apps en tiendas oficiales. Primero, los delincuentes suben una versión “limpia” que pasa la revisión inicial de Google Play o App Store. Luego, a través de actualizaciones o desde servidores externos, descargan y activan código malicioso en los dispositivos de quienes la instalaron.

“Las funcionalidades maliciosas en realidad están en las actualizaciones de la App”, dice Ramírez en entrevista con El Colombiano. Segundo, cuando una versión es detectada y retirada, los grupos simplemente la vuelven a subir con cambios de nombre, desarrollador o cuenta, dificultando su erradicación.

¿Pero qué riesgos reales enfrenta una persona que instaló una app de préstamo fraudulenta y concedió permisos de acceso? El primer efecto visible suele ser la aparición de spam o un rendimiento más lento del celular.

Pero hay consecuencias menos evidentes y más peligrosas. Según Ramírez, el acceso a contactos, fotos y archivos permite a los atacantes “mapear las redes sociales de la víctima, comunicarse con ella, extraer fotos o documentos y eventualmente usarlos para extorsión, fraudes financieros o suplantación de identidad”.

ESET describe escenarios concretos: suplantación de identidad para abrir cuentas o pedir préstamos reales, cobros por adelantado que no se reembolsan y la instalación de malware tipo SpyLoan que exfiltra listas de cuentas, registros de llamadas, eventos de calendario y datos de la red Wi-Fi local.

Muchas de estas acciones no se perciben de inmediato. El daño puede manifestarse semanas después en cargos inexistentes, llamadas de cobro o amenazas con información íntima.

Para usuarios no expertos, las señales de alerta son prácticas y detectables. La especialista propone un checklist sencillo que conviene revisar antes de descargar o usar una app de préstamo:

1. Descargue solo desde tiendas oficiales. Si el enlace llegó por WhatsApp, SMS o redes sociales, desconfiar.

2.Desconfíe de ofertas “demasiado buenas”: tasas muy bajas o aprobación instantánea.

3. Nunca pague anticipos. Un préstamo legítimo no requiere transferencias previas como “garantía”.

4. Revise los permisos solicitados. Accesos a contactos, almacenamiento o micrófono suelen ser innecesarios.

5. Verifique reseñas: opiniones genéricas o muy recientes pueden ser fabricadas.

6.Confirme si la app tiene sitio web oficial, atención al cliente y registro ante entes reguladores locales.

7. Observe cambios frecuentes de nombre, logo o desarrollador; puede indicar versiones alternativas de la misma estafa.

Si la aplicación ya está instalada y concedió permisos, Ramírez recomienda pasos inmediatos y concretos:

Primero, revocar permisos desde la configuración del teléfono y desinstalar la app.

Segundo, cambiar contraseñas de cuentas sensibles y activar la verificación en dos pasos cuando esté disponible.

Tercero, revisar movimientos bancarios y reportar cargos sospechosos al banco.

Finalmente, en caso de extorsión o suplantación, radicar la denuncia ante las autoridades competentes y conservar evidencia: capturas de pantalla, mensajes, comprobantes de pago y los datos de la app.

En Colombia la legislación contempla conductas como fraude y suplantación, pero, como dice la experta, hay limitaciones prácticas para perseguir estos delitos digitales: “No aplicaría el término vacío legal, porque en realidad hay normativa que condena este tipo de actividades. Pero muchas veces no regulan específicamente cómo abordar cuando esto se hace por medios digitales y además en formas tan específicas. Tampoco hay mecanismos robustos para perseguir este tipo de delito”.

¿A quién recurrir? Además de entidades bancarias y la Policía, ESET recomienda informarse en fuentes oficiales y evitar redes de apoyo improvisadas en redes sociales. En caso de dudas sobre la legitimidad de una oferta, lo más prudente es consultar directamente con la entidad financiera que supuestamente ofrece el préstamo, usando teléfonos y canales oficiales.

Para personas mayores o con menos experiencia digital, la medida más efectiva es combinar precaución técnica con hábitos simples: no abrir enlaces desconocidos, pedir ayuda de confianza para instalar apps y revisar permisos antes de aceptar.