Viajes gratis, fincas que no existen y otros ciberengaños de temporada

Viajes gratis, fincas que no existen y otros ciberengaños de temporada

Cuidado con su información en línea. Estas son las modalidades más comunes por Navidad y Año Nuevo.

Estafa que se propaga en WhatsApp

Con invitaciones a otros usuarios, ciberdelincuentes buscan que usted se encargue de validar una promoción falsa ante sus contactos 

Foto:

Eset

Por: Linda Patiño - Redacción Tecnósfera
16 de diciembre 2019 , 12:46 p.m.

Promesas como 'tiquetes gratuitos a Aruba con Avianca', 'reciba 1 año gratis de Netflix', 'finca con piscina con el 80 % de descuento' o anuncios como 'es uno de los 10 ganadores de unas vacaciones con todo pago a EE. UU.' son algunas de las estrategias más comunes de los ciberdelincuentes en esta temporada.

También figuran las falsas facturas de compras que no hizo, las autorizaciones bancarias que puede cancelar con un clic o las promociones de regalos de moda que están agotados.

Las fiestas de Navidad y Año Nuevo, según expertos, son una oportunidad para atacantes que buscan mimetizar las transacciones fraudulentas entre el gran volumen de compras familiares. 

Los engaños

En estos tiempos, la 'ingeniería social', los correos engañosos y hasta las suplantaciones de directivos pueden engañar a cualquiera, pero no son una novedad.

El famoso mensaje falso de los 'viajes gratuitos' a nombre de Avianca fue reportado por laboratorios de investigación como Eset, los cuales señalan que el mismo mensaje se presenta una vez al año y ha estado activo en tres oportunidades. Eso quiere decir que, por tercer año, los usuarios se enfrentan a la misma campaña. 

Pero no es solo una cosa de Avianca. Mensajes similares suplantan otras marcas, como la firma de moda Zara, la marca de belleza Loreal y la cadena de restaurantes Mc Donalds.Otros nombres recurrentes son H&M, Ikea, KFC, Burguer King, Amazon, Ferrero Rocher, todos ellos mensajes falsos, algunos con links a páginas que buscan robar información como su correo y su número de teléfono, que luego pueden ser usados para campañas más sofisticadas. 

delincuentes envían imágenes y convencen a las víctimas de que depositen solo el 50 % del valor para realizar el envío. Al final, nunca llega el producto

En una investigación de Eset, el laboratorio de ciberseguridad indagó sobre este tipo de engaños y estafas a través de WhatsApp y analizó cómo suelen operar. Según los datos, las primeras grandes campañas fueron descubiertas en el año 2015, y a fines de agosto de 2016 tuvieron un pico importante de actividad.

Un 'señuelo' eficaz no requiere tanta elaboración. Puede tratarse de una pequeña imagen o logo de una empresa y una pocas líneas de texto. Aunque el enlace de la descripción adjunta parezca dirigir al sitio oficial de la entidad suplantada, el verdadero enlace puede tener letras de más, signos de puntuación y hasta errores de enlace que muestran algo que no guarda relación real.

Por su parte, David Pereira, consultor de ciberseguridad y director de la firma SecPro, señala que los engaños más recurrentes, además de las cadenas de WhatsApp, ocurren en correo electrónico y llamadas telefónicas. 

"En Navidad se ve mucho mensaje sobre bonos de descuento y tarjetas regalo, pero también están las llamadas telefónicas en las que se ofrecen supuestas tarjetas de crédito asignadas con un cupo preaprobado".

En el último caso, Pereira asegura que algunas campañas llegan a seguir el engaño al punto de enviar a una persona que luce como personal bancario, con una escarapela falsa. Una vez la víctima firma documentos y entrega una copia de su cédula, los delincuentes pueden hacer todo tipo de trámites a su nombre. 

Así mismo, señala que en este mes es común encontrar la famosa 'estafa CEO'. "Como muchos directores toman vacaciones y se van de viaje, los ciberatacantes falsifican el correo electrónico del directivo de una compañía y le envían un correo electrónico a una persona que trabaja allí. Le piden que se consigne un dinero a determinada cuenta o hablan de realizar un pago pendiente", asegura.

Dado que el empleado no tiene forma de validar la identidad del CEO, pues no está en la oficina, tiende a asumir que el correo es real y a hacer la transacción. 

Fredy Bautista, coronel retirado de la Policía y actual consultor de ciberseguridad, señala que estos correos no solo 'esperanzan' a sus víctimas sino que también pueden buscar llenarlas de miedo. Correos con asuntos como "Transacción aprobada: número 0002923" o "Bloqueo de cuenta por comportamiento sospechoso" tratan de engañar a sus víctimas y explotar su preocupación. 

"Los atacantes buscan que las víctimas hagan clic en las supuestas 'facturas', 'recibos', 'fotos' o evidencias de algún acto. Puede ser 'bloquee la transacción aquí' o 'revoque el acceso aquí' con mensajes que hacen creer al usuario que lo están protegiendo cuando en realidad desean que al abrir el enlace descargue algún código malicioso", dice.
 
Bautista añade que, entre otras modalidades populares de ciberdelitos, el primer lugar es para la ciberestafa. En esta temporada, las ofertas publicitarias de fincas para rentar pueden estar alimentadas de fotos falsas, pueden indicar una ubicación que no existe realmente o incluso poner en alquiler propiedades sin autorización de los dueños reales.

Así mismo, ocurre con los 'regalos de moda'. El experto señala que ropa de lujo, modelos de carteras, tenis de un diseño particular, accesorio y, sobre todo, artículos tecnológicos como celulares, relojes inteligentes y otros son ofrecidos en internet aunque estén agotados en las tiendas autorizadas reales. 

"Para aumentar la confianza, los delincuentes envían imágenes de los productos y convencen a las víctimas de que depositen solo el 50 por ciento del valor para realizar el envío y que después de que llegue paguen el resto. Al final, nunca llega el producto", narra. 

WhatsApp, el más viral, pero no el único

Según el informe de Eset, este tipo de ataques se conocen como 'comunicaciones sociales potencialmente inseguras' (o Pusc, por su sigla en inglés). De ellos alertan que "si bien no son códigos maliciosos, exponen al usuario a campañas publicitarias o a peligros mayores, como ser inducidos a la instalación de malware, la explotación de vulnerabilidades, o a ser utilizados a través de la minería de criptomonedas".

Pero ¿por qué WhatsApp y las redes sociales? Los expertos señalan que una de las razones es su gran popularidad. Dado que son un canal con miles de millones de usuarios, su disponibilidad aumenta la cantidad de posibles víctimas. Así mismo, su naturaleza gratuita, en la que enviar uno o diez mensajes no depende de un costo más allá de tener una conexión a internet, permite hacer envíos masivos, de gran alcance, con muy poca inversión. 

Para muchos, es misterioso el éxito de estas campañas. Además de aprovechar el señuelo del mensaje y la esperanza de la gente que lo comparte con sus contactos, los investigadores señalan que estas modalidades explotan una funcionalidad del protocolo HTTP, que convierte algunos datos de forma casi automática. 

Técnicamente, el protocolo tiene información básica del navegador del usuario, como su ubicación e idioma. Los servidores, que analizan la petición antes de cargar el enlace determinado, son capaces de analizar estos campos de información y para cambiar de forma automática el idioma o la moneda de un mensaje. Por ello, no despierta sospechas. 

Sin embargo, estas modalidades se aplican para todas las plataformas de mensajería intantáneas y para redes sociales. En ocasiones, algunas plantillas de mensaje incluyen una vista de supuestos comentarios en Facebook de usuarios que recomiendan un producto. En este sentido, es posible que un atacante llegue a usar la foto de su contacto en esa red social para supuestamente colocar un mensaje positivo entre otras 'opiniones' programadas. 

Recomendaciones

Antes de recibir la 'tarjeta de crédito de cupo preaprobado' o pagar el porcentaje de trámite administrativo de esa 'cena de 500.000 pesos para compartir con su pareja en un famoso restaurante', procure verificar la fuente de información de estos beneficios y reporte las anomalías a las autoridades.

En materia de seguridad digital, los usuarios suelen estar desprevenidos porque los mensajes engañosos les llegan de parte de contactos suyos, con quienes tienen vínculos de confianza. Dado que en algunos casos para supuestamente poder recibir el premio hay que compartirlo el primer usuario, con la esperanza de ser ganador, valida un mensaje que al final no es real, pero cumple con engañar a sus contactos. La primera recomendación es no reenviar información de la cual no tiene certeza. 

Otras frases como "solo quedan pocas unidades disponibles" o que la promoción "terminará en cuestión de unos minutos", buscan mantener un sentido de urgencia para que el usuario actúe con emoción e instinto y no medite demasiado sobre qué comparte.

En este sentido, recuerde que "si fue elegido", el premio no se irá "en cuestión de minutos". Aunque las ofertas de comercio electrónico pueden tener tiempos limitados, trate de encontrar información adicional sobre las condiciones, mirando en redes sociales, buscadores y medios de comunicación si el hecho o la oferta es real. 

La elección de las marcas busca eliminar tipo de sospecha sobre la veracidad de las ofertas. Grandes nombres, reputados y con influencia en el público, 
normalmente no están ligados a fraudes digitales. En una búsqueda inversa es posible que el nombre de la marca lleve a resultados positivos. Sin embargo, algunas entidades como aerolíneas y bancos suelen ser blanco de ataques de suplantación recurrentes.

Así mismo, en el caso de los objetos de deseo, recuerde que aunque existen jornadas de descuentos para aprovechar en internet, debe evitar hacer transacciones en sitios web desconocidos, sin códigos de seguridad (como el protocolo https, que encripta sus datos de pago) y no creer en descuentos irreales. Preferiblemente, revise varios sitios de diversas fuentes antes de realizar una transacción. 

Por último, si usted teme que realmente haya existido una compra a su nombre o teme por un mensaje de una supuesta citación de las autoridades, procure validar dicha información por otros canales. Revise los dominios de los correos electrónicos, los datos de contactos y hable directamente con las entidades para evitar caer en códigos maliciosos. 

LINDA PATIÑO
REDACCIÓN TECNÓSFERA @LinndaPC

Descarga la app El Tiempo

Con ella puedes escoger los temas de tu interés y recibir notificaciones de las últimas noticias.

Conócela acá
Sigue bajando para encontrar más contenido

CREA UNA CUENTA


¿Ya tienes cuenta? INGRESA

Llegaste al límite de contenidos del mes

Disfruta al máximo el contenido de EL TIEMPO DIGITAL de forma ilimitada. ¡Suscríbete ya!

Si ya eres suscriptor del impreso

actívate

* COP $900 / mes durante los dos primeros meses

Sabemos que te gusta estar siempre informado.

Crea una cuenta y podrás disfrutar de:

  • Acceso a boletines con las mejores noticias de actualidad.
  • Comentar las noticias que te interesan.
  • Guardar tus artículos favoritos.

Crea una cuenta y podrás disfrutar nuestro contenido desde cualquier dispositivo.