WhatsApp, el hogar de las estafas

Los ciberdelincuentes engañan a los usuarios de la red de mensajería con falsos beneficios
Si alguna vez se preguntó por qué WhatsApp aumentó sus medidas de seguridad en los últimos tiempos, hasta llegar al extremo de cifrar las conversaciones de sus usuarios en abril de este año, debe saber que no es mera coincidencia. Las causas pueden ser varias pero en particular fue una la que determinó el desarrollo de un sistema de alta seguridad: las estafas que cada vez abundan más dentro de la aplicación.

La popular red de mensajería fue, sobre todo durante el año previo al cifrado, el principal blanco de los hackers que elegían apps para estafar a millones de personas. Como WhatsApp no tenía un muy buen nivel de protección, para los ciberdelincuentes era más fácil aprovechar la vulnerabilidad de sus usuarios.

Fue así como WhatsApp ganaba adeptos por un lado –actualmente tiene más de 1.000 millones de usuarios– pero recibía fuertes críticas por el otro. Hace un año, cuando la aplicación de mensajería aún no había activado el cifrado en las conversaciones, Electronic Frontier Foundation (EFF), una organización que defiende los derechos de libertad de expresión en internet, clasificó a la aplicación como una de las peores empresas a la hora de proteger la privacidad de sus usuarios.

Lucas Paus, especialista en la empresa de seguridad informática ESET, y Pablo Giordano, director de la empresa de seguridad informática uruguaya Arcanus, sostienen que la popularidad de WhatsApp es el principal factor que la convierte en blanco principal de hackers. "Las aplicaciones de mensajería instantáneas lideran el mercado y que sean gratuitas las hacen bastante tentadoras para los ciberdelincuentes", explicó Paus.

Dos modelos de estafas

El Laboratorio de Investigación de ESET detectó en los últimos tiempos un patrón en las estafas más populares y, si bien su variedad es amplia, hay dos tipos que son los más usuales: cupones con descuentos o sorteos. El primer tipo es más común y consiste en una maniobra sin muchas vueltas. El usuario recibe mensajes de parte de un contacto previamente agendado, en los que se le informa que ciertas marcas de renombre le ofrecen un descuento en sus productos.

"La persona no desconfía mucho, porque son empresas serias y no relacionadas con el manejo de datos. Por eso se usan, generalmente, marcas de cadenas de comida rápida en lugar de bancos", contó Paus. Así es como empresas mundialmente conocidas, tales como KFC, Burger King, McDonald's y Starbucks se han visto involucradas en estos casos.

Por lo general, los usuarios de WhatsApp reciben un mensaje con un voucher de 500 unidades de descuento en su moneda local y, para acceder a él, deben responder cuarto preguntas y compartir el enlace con 10 personas. "Lo más curioso es que las estafas varían dependiendo de la zona geográfica en la que viva el usuario. Esto es algo que realmente nos sorprendió ya que incluso algunas llegan a traducirse hasta en 10 idiomas", aclaró Paus.

Estafa McDonalds


Hay tres tipos de estafas que son usuales a partir de los cupones o vouchers. Una de ellas se da cuando en el mensaje se le solicita al usuario que se subscriba a un servicio de SMS Premium, lo cual termina generando una cascada de mensajes de texto privados sin fin (por fuera de Whatsapp) que se acreditan a la cuenta de la víctima.

A pesar de que el usuario intenta solucionar el problema, el daño ya está hecho. "Es necesario que sean precavidos porque no hay vuelta atrás. Cuando el gasto está efectuado, hay que pagar", dijo Giordano. El director de Arcanus explicó además que las compañías telefónicas no se hacen cargo porque cumplen con su servicio más allá de si fue ejecutado por un hacker o un cliente.

Otro método es que el usuario sea redirigido a sitios de publicidad o de citas donde se subscribe; luego se le lleva otros sitios de compleja reputación. De esta forma, el ciberdelincuente roba más dinero mientras se efectúan más clics.

Otras de las víctimas preferidas de los tramposos son los desarrolladores de aplicaciones, quienes son engañados al decirles que si contratan un servicio promocionado en un voucher obtendrán más descargas. No es más que un simple truco para estafarlos.

El segundo modelo que fue muy utilizado por los hackers, pero que ahora tiende a disminuir, es la promoción de sorteos en aerolíneas. Esta estafa comprometió a las empresas Aerolíneas Argentinas, Aeroméxico, Latam y Southwest Airlines de Europa. Se propagó por Facebook y WhatsApp con el titular de que estas empresas estaban festejando su aniversario y que, a través de un concurso, el ganador obtendría dos pasajes en primera clase.

Estafa latam


El anuncio le solicitaba a la víctima compartir la publicación, pero el fin era descargar una app o recibir mensajes privados de texto. "Se propagó de una forma más tranquila, debido a que el viajar por avión es un servicio mucho más caro que una cena en un restaurante", sostuvo Paus. Sin embargo, fueron miles de personas las que fueron estafadas.

Por su parte, el director de Arcanus contó a Cromo que han detectado otro tipo de estafas además de las mencionadas por ESET. Una de ellas es la repetida y falsa alarma de que WhatsApp dejará de ser gratis y para que la cuenta no sea bloqueada el usuario debe compartir el enlace.

El engaño se propaga porque los usuarios, en vez de informarse y verificar la veracidad del enlace, lo comparten por temor a no poder seguir usando la aplicación. Aquí es donde Giordano hace énfasis en que la responsabilidad no corre solo por cuenta de las aplicaciones, sino que una cuota corresponde a los usuarios, quienes, según dijo, son bastante descuidados.

Números y soluciones

Una de las mayores preocupaciones que tiene Paus es el auge de estas estafas. El experto explicó a Cromo que a pesar de que WhatsApp cifró las conversaciones de sus clientes, sigue siendo el blanco número uno de los ciberdelincuentes. "El cifrado impide que un hacker siga los movimientos básicos de los usuarios pero no evita que aparezcan otros tipos de estafas", aclaró.

Los engaños por internet siempre existieron pero, según detectaron en los laboratorios de ESET, en los últimos dos años se duplicaron los casos en WhatsApp en particular. A su vez, las estimaciones sobre la cantidad de personas afectadas por año también crecen. Si bien no es un número exacto, Paus estima que diez millones de usuarios de la app caen en esta clase de trucos. Estas cifras se extrapolan en base a casos conocidos de afectados, pero si se tuviera en cuenta el número de personas que reciben este tipo de mensaje engañoso, la cifra sería mucho más grande.

estafas cibernéticas.JPG


A la hora de buscar soluciones, quienes se ven afectados por los ciberdelincuentes pueden acudir a la compañía telefónica que contrataron, para que el dispositivo sea formateado. Otra opción aconsejada por los expertos es descargar apps de seguridad que bloqueen y desvíen este tipo de estafas.

En caso de caer en el engaño que deriva en los SMS premium, para darse de baja del servicio hay que ingresar nuevamente al sitio web al que se accedió a través del mensaje engañoso para anular la suscripción. Pero esto no impide que el servicio se quede con la información de mail y número de celular del usuario, con lo cual es posible que vuelva a mandarle mensajes de este tipo; en ese caso no hay más remedio que redoblar la atención.

Por otra parte, las personas deben de tener más cuidado con las ofertas que reciben, porque a los delincuentes les queda registrado y saben qué es lo que ven. "Dado que las estafas son una tendencia que irá en aumento, la mejor defensa es la educación y la capacitación. Estar informado es la primera y mejor barrera ante estos delitos", agregó Paus.

Apps en riesgo

Aunque WhatsApp es una de las aplicaciones más utilizadas en el mundo, existen unas cuantas más de su rubro que también atraen a los estafadores. En el momento en que una persona crea una cuenta de Gmail, automáticamente tiene acceso a Hangouts, la plataforma de mensajería instantánea de Google, que puede utilizarse tanto en un navegador como en aplicaciones móviles. Giordano explicó a Cromo que Google ha ido mejorando paulatinamente los factores de autenticación del usuario a raíz de brechas de seguridad que se producen desde hace más de 15 años.

Otros servicios, como Viber, Facebook Messenger, Snapchat y Skype, tampoco cumplen todos los criterios señalados por la EFF, pero sí cifran los mensajes. iMessage, de Apple, sale mejor parado al ofrecer, además de cifrado de punto a punto, la protección de conversaciones pasadas. No obstante, la EFF se pronunció al respecto: "Ninguna de ellas provee seguridad completa frente a formas sofisticadas y dirigidas de vigilancia".

Paso a paso

1) La propuesta

Un mensaje invita a quienes quieran participar de la supuesta encuesta a cliquear un link desde el celular. Al acceder a ese sitio los hackers extraen la dirección de IP del dispositivo para saber dónde se encuentra el usuario geográficamente y enviarle un mensaje diciendo que abrirán una nueva sucursal cerca de donde se encuentra, además de adaptar las opciones al lenguaje y la moneda local.

2) El premio

Se le solicita al usuario que responda cuatro preguntas para tener una chance de ganar una suma de dinero. La página avisa al usuario que calificó para recibir el premio, pero para hacerlo antes tiene que completar otros pasos previos, como compartir la invitación al menos con 10 contactos diferentes.

3) La estafa

Por último se pide que el usuario ingrese una serie de datos de contacto para recibir el premio. Este engaño culmina con la suscripción (advertida previamente solo en letras muy pequeñas) a un servicio de mensajería de texto premium, que podría generar sobrecargos en la factura del usuario. Esta es solo una de las posibles estafas que se reciben cada día en WhatsApp. El usuario siempre debe estar atento a nuevas modalidades. No basta con confiar en los contactos conocidos, porque ellos muchas veces caen en la trampa y la comparten.

Las estafas más conocidas

Starbucks

"La campaña con mayor alcance hasta el momento". Así titularon los Laboratorios de ESET a esta estafa que consiste en un descuento para utilizar en la popular compañía de café. El usuario debe realizar una encuesta con la promesa de que accederá a un cupón. Más de cinco millones de personas cayeron en esta trampa. El mayor números de víctimas se concentró en México (66%), Perú (20%) y Estados Unidos (6%).

McDonald's

A pesar de que no tuvo el alcance de propagación que la campaña de Starbucks, la estafa del voucher que ofrecía descuentos en la cadena de comida rápida más extendida del mundo superó el millón de afectados. A diferencia de la anterior, su público objetivo se ubicó en Latinoamérica, principalmente en Guatemala, Paraguay y Argentina, donde superó las 300 mil solicitudes por el canje de cupón.

Zara

Otro ejemplo es el de la marca española de ropa. Zara tiene un gran éxito en el Cono Sur y la prueba de ellos son las víctimas de esta estafa. Argentina concentró el 47% de los afectados mientras que Chile alcanzó el segundo puesto (43%) y Perú el tercero (3%). En tan solo dos días, el enlace con voucher de descuento superó los 330 mil clics, llegando al punto de tener 11 mil entradas por hora.

Burger King

Uno de los competidores directos de McDonald's es otra de las empresas afectadas por las estafas de ciberdelincuentes. A diferencia de las casos mencionados, esta oferta era de US$ 50 y lo inusual es que el usuario disponía de 225 segundos para aceptar o rechazar la propuesta. Si bien no se tiene un registro de cuantas personas se vieron afectadas, se estima que fueron cientos de miles.

Populares de la sección

Acerca del autor

Maximiliano Latorre