Un análisis publicado en enero de 2017 por Lucas Paus, especialista en seguridad informática de ESET Latinoamérica, en el sitio WeLiveSecurity, denunciaba el crecimiento de la cantidad de estafas que circulaban en las redes sociales. «Las campañas engañosas continúan innovando con distintos señuelos para atraer la atención de víctimas distraídas», aseguraba entonces.
Han pasado cuatro años y todavía es un hecho el incremento sostenido de las falsas ofertas online, que prometen navegación en Internet o productos gratis a los ciberenautas, a cambio de «prácticamente» nada.
Basta tener Internet y un poco de ingenuidad para ser una víctima más. Los usuarios cubanos no están a salvo de estos fraudes online.
Principales estafas: ¿en qué consisten?
Estas campañas son compartidas fundamentalmente a través de las redes sociales y correos electrónicos. Los mensajes se caracterizan por ofrecer beneficios de navegación en Internet u otros productos a cambio de que el usuario responda algunas preguntas o propicie datos personales y, casi siempre, que comparta la promoción con sus contactos personales. Sin embargo, aunque el usuario complete los requerimientos, no recibe nunca lo ofrecido.
En las campañas más frecuentes y extendidas de este tipo de fraude, por lo general:
1) El mensaje puede suplantar la identidad y usar el nombre de una organización, empresa, plataforma comunicativa real (ejemplo, la propia plataforma de mensajería WhatsApp) o puede no hacer referencia ni mencionar el respaldo de ninguna compañía ni entidad oficial conocida.
2) El mensaje menciona la supuesta motivación de la oferta. Suelen referirse a:
-la celebración de un aniversario de las empresas o compañías cuya identidad se suplanta (cuando se refiere alguna).
-una fecha o conmeración del calendario mundial (como San Valentín).
-razones de impacto social de indiscutible relevancia (el apoyo a la cuarentena por la pandemia de COVID-19).
3) Para ganar lo que se promociona (navegación gratis o productos) se le solicita al usuario el cumplimiento de algunos de estos requerimientos:
-ingresar a un enlace que se incluye en el mensaje y cuya dirección está siempre acortada.
-completar las preguntas de una encuesta breve (la encuesta puede incluir preguntas de un tema específico o puede incluir preguntas sobre información personal).
-compartir con su grupo de contactos la promoción.
4) Una vez compartida la promoción con los enlaces, el usuario no recibe lo que se le ha prometido. En algunos casos, para que el usuario pueda compartir con sus contactos la promoción, se le exige una comprobación de que no es un robot, y se descarga e instala en el dispositivo una aplicación (adware) que luego permite el envío al usuario de publicidad no deseada.
Ejemplos de estas campañas que han circulado en las redes sociales
Esta campaña circuló en diciembre de 2020 a través de las redes sociales. En el mensaje se suplanta la identidad de la Empresa de Telecomunicaciones de Cuba S.A. (Etecsa) para la supuesta promoción de empleos dentro de la compañía. La convocatoria pide a los usuarios enviar un mensaje de inmediato a la empresa. La propia empresa en su cuenta oficial en Twitter desmintió esta promoción, y llamó a los usuarios a no acceder a ningún enlace no confiable, no brindar información personal, ni compartir este mensaje falso.
Otras desinformaciones también han involucrado a la empresa cubana. Un texto del periodico Granma se refiere a otra.
Esta campaña es un ejemplo de suplantación de identidad. Se refiere a la propia plataforma de mensajería WhatsApp como supuesta patrocinadora de una promoción que ofrece 1 000 GB de internet gratis. Como motivación de la oferta se menciona la celebración del aniversario de creación de esta plataforma. Para acceder a los megas que se prometen, se incluye un enlace acortado que direccionará al usuario a una web fraudulenta.
Esta promoción ha circulado en días recientes. Los usuarios han recibido a través de las redes sociales el mensaje: «Gratis 4G ¡Debido a COVID-19 le ofrecemos 500 GB de internet gratis, válido por 90 días para ayudarlo a quedarse en casa!* Obtén acceso gratuito a internet y quédate en casa. https://xmasth.me/Activar-4G».
Al abrir el enlace, no se refiere ninguna empresa o entidad que respalde la oferta, pero sí se declara que la motivación es ayudar al usuario a mantener el distanciamiento social. Luego, se le pide completar una encuesta breve de preguntas muy simples relacionadas con la COVID-19 y, finalmente, compartir la promoción con veinte de sus contactos personales en WhatsApp para luego «recibir» el paquete de megas prometido.
Esta campaña es también un ejemplo de suplantación de identidad, donde se emplea engañosamente el nombre de Amazon. En este caso, se promueve la obtención de un dispositivo móvil (producto gratuito). La motivación es la celebración del aniversario 30 de Amazon. Para ganar el producto, el usuario solo debe completar las preguntas de una breve encuesta.
Un tipo de phishing en redes sociales
En junio de 2020, en la web oficial de la Fundación UNAM, el maestro Cuauhtémoc Vélez Martínez, del Instituto de Ingeniería de la UNAM, explicó que «el phishing es un método que los ciberdelincuentes utilizan para engañar y conseguir que se revele información personal». De acuerdo con el experto, «el engaño que más se presenta en la actualidad es por correo electrónico. Sin embargo, la obtención de la información también puede ser a través de las redes sociales».
Por su parte, Luis Lubeck, especialista de ESET Latinoamérica, denominaba en 2019 una de estas cadenas de mensajes como «campaña de phishing», y explicaba que algunas buscaban instalar segundos programas maliciosos o intentaban robar información adicional. Otras, sencillamente, intentan «mostrar publicidad a lo largo de todo el proceso» y, con ello, la monetización, «ligada directamente a la entrega de avisos publicitarios de manera masiva y sin autorización de los usuarios».
El reenvío de los mensajes expone a los contactos de los usuarios a ser contados como visualizaciones de publicidad, que probablemente fue adquirida por un tercero que espera algún tipo de resultados en línea, según un análisis publicado por El Comercio de Perú.
El ciberactivista Mario Durán Chuquimia ha declarado que «este tipo de mensajes o cadenas son estafas cibernéticas, que pretenden maximizar la distribución del enlace entre todos los contactos y grupos de la persona que recibe el enlace. Asimismo, buscan la obtención de datos personales, con el riesgo de suplantación en el mundo virtual, incluso para las transacciones digitales».
Lucas Paus afirmaba en su análisis de 2017: «La concientización acerca de estas estafas debería viralizarse más que estos engaños, aunque seguimos viendo una propagación alarmante de engaños como este».
¿Qué recomiendan los especialistas?
Las principales recomendaciones de los especialistas para evitar ser víctima de este tipo de campañas son:
– No dar clic en enlaces desconocidos.
– Verificar la validez de una oferta online mediante la búsqueda de información en los canales de comunicación oficiales de la empresa, organización o asociación referida.
– Instalación de antivirus o herramientas de seguridad (en dispositivos móviles y escritorio) como primera barrera de protección.
– Instalación de una aplicación de seguridad que detecte el acceso a sitios de dudosa reputación y bloqueen la instalación de aplicaciones maliciosas en los dispositivos.
– Revisar el candado que se encuentra en la parte superior izquierda de los navegadores para verificar que la página es segura.
– Tener actualizados los navegadores y dispositivos móviles.
– No utilizar las contraseñas en múltiples cuentas.
– Verificar los hipervínculos antes de hacer clic.
– Sospechar de cualquier correo o mensaje que solicite información confidencial o transacciones financieras.
– Mantenerse informado de las amenazas y técnicas que existen y mediante las cuales se lanzan constantemente campañas a la red.
– Cortar la cadena de distribución de estas estafas, al dejar de compartir el mensaje elaborado.
En caso de haber accedido a este tipo de campañas, los especialistas recomiendan:
-Verificar en la configuración del dispositivo las aplicaciones instaladas.
-Desinstalar cualquier app que no haya sido instalada por el usuario de forma consciente, para evitar el uso de los recursos del dispositivo por parte de terceros.
Si has recibido alguna de estas ofertas, cuéntanos en los comentarios.
comentarios
En este sitio moderamos los comentarios. Si quiere conocer más detalles, lea nuestra Política de Privacidad.
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *