Cuidado con las estafas que circulan por estos días en Whatsapp
Supuestos bonos en tiendas por cuenta del Black Friday, subsidios gubernamentales, descuentos en aerolíneas para viajar en año nuevo y regalos de ciertas marcas de tenis, hacen parte de los señuelos con los que los ciberdelincuentes estafan a la gente por estas fechas.
Diego Ojeda
Puede que en algún momento haya recibido un mensaje en Whatsapp, de algún familiar o amigo, en el que se le ofrece participar en la entrega de bonos de descuentos, premios o regalos. Entre los más populares se encuentran los supuestos obsequios de tiquetes de Avianca por cuenta de su aniversario, o los tenis y camisetas que están dando marcas como Adidas y Nike.
Lo cierto es que, como dicen, ‘de esto tan bueno no dan tanto’, y usted mismo lo haya experimentado al intentar beneficiarse de estas supuestas ofertas, percatándose al final de que se trata de un engaño y, probablemente, sin saber qué provecho le sacaron los estafadores que consiguieron que mordiera su señuelo.
A esta técnica de estafa se le conoce como Comunicaciones Sociales Potencialmente Inseguras, y utilizan plataformas de mensajería instantánea como Whatsapp para difundir campañas que, a simple vista, pueden considerarse atractivas. El truco es que utilizan tácticas de ingeniería social, suplantando la identidad de reconocidas marcas u organizaciones para cautivar la atención de sus víctimas y conseguir que entren a sitios web, también fraudulentos, para allí sacar provechos económicos.
Sobre esta modalidad abundan los ejemplos, ya que desde el año 2015 ha venido cobrando popularidad. En 2020, por ejemplo, circuló una cadena en Whatsapp en la que se invitaba llenar un registro para participar de un programa de subsidios gubernamentales llamado “Quédate en Casa”. Su impacto fue tal que la misma administración Distrital de Bogotá tuvo que desmentir esta supuesta ayuda.
A lo anterior súmele los huevos de pascua que, supuestamente, regala Ferrero Rocher por llenar una encuesta, los bonos de US$50 para comer en McDonalds o Burguer King, y los obsequios de suscripciones de Netflix hasta por un año. No se le haga raro que aparezcan nuevas variantes, aprovechando estrenos como el de Disney+, el black friday y las festividades de fin de año.
¿Cómo operan?
Un estudio adelantado por la firma de seguridad informática ESET analizó el comportamiento que ha tenido esta modalidad de estafa durante los últimos años. Mediante este encontró que se presenta un patrón que podría ayudar a identificar a la amenaza.
Todo comienza con un mensaje en Whatsapp, el cual es enviado por uno de los contactos de la víctima. En este, mediante suplantación de identidad, los estafadores (que no son los amigos, conocidos o familiares de la víctima; más adelante se explicará el por qué) emplean el logo de una reconocida marca u organización para llamar su atención y brindar confianza.
Por lo general estos mensajes vienen acompañados con una oferta en la cual se prometen bonos, regalos y demás beneficios. La persona, con la esperanza de recibirlo accede al link y se encuentra con un formulario en el que le hacen varias preguntas como su sexo, la frecuencia con la que consume los productos de la marca y la edad, entre otros aspectos.
Otra característica, que se configura en un patrón en esta modalidad, es que en alguna parte de la pantalla hay un contador regresivo, en el que se le indica a la persona supuestamente cuántos regalos, bonos o beneficios quedan disponibles. Esta, evidentemente, es otra táctica de ingeniería social para apurar a la víctima en el diligenciamiento de la información, consiguiendo con esto que, en su mente, se plante la idea de llenar el formulario, y no de sospechar de que se trata de una estafa.
Posteriormente se le pide que reenvíe la promoción a diez de sus contactos en Whatsapp, de allí es que se dice que quienes circulan esta estafa no necesariamente son los estafadores, sino cómplices involuntarios que ingenuamente ayudan a la propagación de su mal.
Una vez completado este paso, la página felicita a la persona por su participación y le invita a presionar un botón para acceder al beneficio. Aquí es cuando los estafadores obtienen el rédito económico que buscan.
¿Cómo generan ganancias?
Tras varios minutos perdidos, la víctima se da cuenta que todo fue engaño, pues al pulsar el botón que supuestamente lo llevaría a su premio, se da cuenta que la página lo redirecciona a otra en la que puede darle dinero a los estafadores de diversas formas.
Una es mediante la visualización de imágenes o videos publicitarios. Aquí los estafadores ganan dinero por cada vista que consigan, algo parecido al pago que le da Google Adsense a los creadores de contenido de YouTube o de páginas web. También pueden tener ganancias al redirigir a sus víctimas a páginas con contenido publicitario.
Otra forma de monetizar esta actividad es conseguir que las víctimas se suscriban a servicios de mensajería SMS premium, como de horóscopos, tips para ser un galán y actualizaciones del mundo deportivo, entre otras variantes. Las personas pueden terminar en una de estas suscripciones al diligenciar el número de su celular en uno de esos formularios.
Hay otras más peligrosas que piden a la persona descargar ciertas aplicaciones que pueden disfrazarse como antivirus o liberadores de memoria del teléfono, pero que en realidad son malware (conocidos popularmente como virus) que podrían espiar los datos bancarios de las personas (como los números de sus tarjetas de crédito, fechas de vencimiento y códigos de seguridad) para venderlos en la Dark Web; bloquear el equipo o secuestrar su información para pedir un rescate económico (los famosos ransomware), o instalar coinminers que son programas que minan criptomonedas utilizando los recursos del teléfono o computador (aquí la gente empieza a notar que la batería de sus dispositivos se agotan más rápido, o que los recibos de energía comienzan a llegar más costosos).
¿Cómo evitarlas?
Expertos en seguridad informática recomiendan sospechar de toda oferta que llegue por Whatsapp, de allí que se considera una buena práctica revisar la dirección web del link que llega. Por ejemplo, si hace referencia a un beneficio que está dando Nike, lo normal es que salga el website de la marca, es decir nike.com, y no algo como promo.online.nike.tenis.com.
Sin embargo, no hay que confiar del todo en lo anterior, pues se ha demostrado que los delincuentes pueden emplear ataques homográficos, es decir, direcciones web que lucen parecidas a las legítimas, pero que no lo son. Por ejemplo, la “i” del Nike, podría tener dos puntos, una línea, o escrita de cualquier otra forma que la haga muy similar.
Otra recomendación es visitar las redes sociales de las empresas que supuestamente están organizando esas promociones, ya que estas suelen publicar todas sus ofertas por medio de esos canales. Sumado a esto también se sugiere estar pendiente de todos eso patrones descritos en este artículo (las encuestas, el contador regresivo y el tener que reenviar la promoción a otros contactos de Whatsapp).
Que no lo estafen. El Espectador estará realizando una entrega con diversas modalidades de estafa que podrían presentarse en estas fechas. Si ha sido víctima de alguna y le gustaría contar su caso lo invitamos a escribirnos a bogota@elespectador.com.
Puede que en algún momento haya recibido un mensaje en Whatsapp, de algún familiar o amigo, en el que se le ofrece participar en la entrega de bonos de descuentos, premios o regalos. Entre los más populares se encuentran los supuestos obsequios de tiquetes de Avianca por cuenta de su aniversario, o los tenis y camisetas que están dando marcas como Adidas y Nike.
Lo cierto es que, como dicen, ‘de esto tan bueno no dan tanto’, y usted mismo lo haya experimentado al intentar beneficiarse de estas supuestas ofertas, percatándose al final de que se trata de un engaño y, probablemente, sin saber qué provecho le sacaron los estafadores que consiguieron que mordiera su señuelo.
A esta técnica de estafa se le conoce como Comunicaciones Sociales Potencialmente Inseguras, y utilizan plataformas de mensajería instantánea como Whatsapp para difundir campañas que, a simple vista, pueden considerarse atractivas. El truco es que utilizan tácticas de ingeniería social, suplantando la identidad de reconocidas marcas u organizaciones para cautivar la atención de sus víctimas y conseguir que entren a sitios web, también fraudulentos, para allí sacar provechos económicos.
Sobre esta modalidad abundan los ejemplos, ya que desde el año 2015 ha venido cobrando popularidad. En 2020, por ejemplo, circuló una cadena en Whatsapp en la que se invitaba llenar un registro para participar de un programa de subsidios gubernamentales llamado “Quédate en Casa”. Su impacto fue tal que la misma administración Distrital de Bogotá tuvo que desmentir esta supuesta ayuda.
A lo anterior súmele los huevos de pascua que, supuestamente, regala Ferrero Rocher por llenar una encuesta, los bonos de US$50 para comer en McDonalds o Burguer King, y los obsequios de suscripciones de Netflix hasta por un año. No se le haga raro que aparezcan nuevas variantes, aprovechando estrenos como el de Disney+, el black friday y las festividades de fin de año.
¿Cómo operan?
Un estudio adelantado por la firma de seguridad informática ESET analizó el comportamiento que ha tenido esta modalidad de estafa durante los últimos años. Mediante este encontró que se presenta un patrón que podría ayudar a identificar a la amenaza.
Todo comienza con un mensaje en Whatsapp, el cual es enviado por uno de los contactos de la víctima. En este, mediante suplantación de identidad, los estafadores (que no son los amigos, conocidos o familiares de la víctima; más adelante se explicará el por qué) emplean el logo de una reconocida marca u organización para llamar su atención y brindar confianza.
Por lo general estos mensajes vienen acompañados con una oferta en la cual se prometen bonos, regalos y demás beneficios. La persona, con la esperanza de recibirlo accede al link y se encuentra con un formulario en el que le hacen varias preguntas como su sexo, la frecuencia con la que consume los productos de la marca y la edad, entre otros aspectos.
Otra característica, que se configura en un patrón en esta modalidad, es que en alguna parte de la pantalla hay un contador regresivo, en el que se le indica a la persona supuestamente cuántos regalos, bonos o beneficios quedan disponibles. Esta, evidentemente, es otra táctica de ingeniería social para apurar a la víctima en el diligenciamiento de la información, consiguiendo con esto que, en su mente, se plante la idea de llenar el formulario, y no de sospechar de que se trata de una estafa.
Posteriormente se le pide que reenvíe la promoción a diez de sus contactos en Whatsapp, de allí es que se dice que quienes circulan esta estafa no necesariamente son los estafadores, sino cómplices involuntarios que ingenuamente ayudan a la propagación de su mal.
Una vez completado este paso, la página felicita a la persona por su participación y le invita a presionar un botón para acceder al beneficio. Aquí es cuando los estafadores obtienen el rédito económico que buscan.
¿Cómo generan ganancias?
Tras varios minutos perdidos, la víctima se da cuenta que todo fue engaño, pues al pulsar el botón que supuestamente lo llevaría a su premio, se da cuenta que la página lo redirecciona a otra en la que puede darle dinero a los estafadores de diversas formas.
Una es mediante la visualización de imágenes o videos publicitarios. Aquí los estafadores ganan dinero por cada vista que consigan, algo parecido al pago que le da Google Adsense a los creadores de contenido de YouTube o de páginas web. También pueden tener ganancias al redirigir a sus víctimas a páginas con contenido publicitario.
Otra forma de monetizar esta actividad es conseguir que las víctimas se suscriban a servicios de mensajería SMS premium, como de horóscopos, tips para ser un galán y actualizaciones del mundo deportivo, entre otras variantes. Las personas pueden terminar en una de estas suscripciones al diligenciar el número de su celular en uno de esos formularios.
Hay otras más peligrosas que piden a la persona descargar ciertas aplicaciones que pueden disfrazarse como antivirus o liberadores de memoria del teléfono, pero que en realidad son malware (conocidos popularmente como virus) que podrían espiar los datos bancarios de las personas (como los números de sus tarjetas de crédito, fechas de vencimiento y códigos de seguridad) para venderlos en la Dark Web; bloquear el equipo o secuestrar su información para pedir un rescate económico (los famosos ransomware), o instalar coinminers que son programas que minan criptomonedas utilizando los recursos del teléfono o computador (aquí la gente empieza a notar que la batería de sus dispositivos se agotan más rápido, o que los recibos de energía comienzan a llegar más costosos).
¿Cómo evitarlas?
Expertos en seguridad informática recomiendan sospechar de toda oferta que llegue por Whatsapp, de allí que se considera una buena práctica revisar la dirección web del link que llega. Por ejemplo, si hace referencia a un beneficio que está dando Nike, lo normal es que salga el website de la marca, es decir nike.com, y no algo como promo.online.nike.tenis.com.
Sin embargo, no hay que confiar del todo en lo anterior, pues se ha demostrado que los delincuentes pueden emplear ataques homográficos, es decir, direcciones web que lucen parecidas a las legítimas, pero que no lo son. Por ejemplo, la “i” del Nike, podría tener dos puntos, una línea, o escrita de cualquier otra forma que la haga muy similar.
Otra recomendación es visitar las redes sociales de las empresas que supuestamente están organizando esas promociones, ya que estas suelen publicar todas sus ofertas por medio de esos canales. Sumado a esto también se sugiere estar pendiente de todos eso patrones descritos en este artículo (las encuestas, el contador regresivo y el tener que reenviar la promoción a otros contactos de Whatsapp).
Que no lo estafen. El Espectador estará realizando una entrega con diversas modalidades de estafa que podrían presentarse en estas fechas. Si ha sido víctima de alguna y le gustaría contar su caso lo invitamos a escribirnos a bogota@elespectador.com.