México y Brasil son los países de América Latina donde han tenido mayor éxito las campañas engañosas a través de WhatsApp en los últimos dos años, de acuerdo con un estudio elaborado por ESET Latinoamérica.
El informe “Engaños millonarios desde tu bolsillo”, indica que las estafas por medio de este servicio de mensajería se pueden dividir en dos clases:
1.- Las que ofrecen una nueva funcionalidad (videollamadas, espionaje de contactos, nuevos emoticones, modificación de las características del diseño).
2.- Las que ofrecen un premio (voucher de descuento, cupones de tiendas, viajes de aniversario y vuelos gratis, súperbonos, encontrar un empleo). Éstas son las más explotadas.
Durante 2016, entre las entidades utilizadas para generar los señuelos de falsos cupones, se hallaron nombres como McDonalds, Burguer King, Zara, Carrefour, COTO, Wallmart, Mercadona, Ikea y Amazon entre otros. A lo largo de 2017, ESET reconoció campañas que afectaban a Coca-Cola, Budweiser, Nike y Lancôme, entre otras. Todas estas fueron utilizadas para engañar usuarios, ya que se tomaban los nombres y logos de compañías reconocidas pero las mismas no tenías ningún vínculo con las estafas.
Para dimensionar este tipo de engaño, ESET comprobó que a partir de una sola campaña engañosa se generaron al menos 22 millones de víctimas. En términos geográficos, los países más afectados a nivel mundial fueron India, México y Brasil en el podio. Dentro de Latinoamérica, se sumaron Argentina, Perú y Ecuador como los países más afectados.
El sistema para monetizar la estafa comprende un conjunto de redirecciones que, dependiendo de la posición geográfica, llevará a cabo distintas acciones, como son la suscripción a números de SMS Premium, la visualización de contenidos diversos, la inscripción a otros servicios o webs de citas, o la descarga de aplicaciones. Más allá de la acción, siempre se tratará de publicidad engañosa para llevar a cabo el robo de información.
“Si bien WhatsApp ha implementado medidas de seguridad, esto no ha evitado eliminar la existencia de estafas. Es por eso que la educación en materia de seguridad cobra un papel clave, además del uso por parte de los usuarios de soluciones de seguridad en sus dispositivos”, mencionó Lucas Paus, Especialista en seguridad informática de ESET Latinoamérica, empresa desarrolladora de soluciones de seguridad en el uso de la tecnología.
El método
De modo general, el engaño se inicia con la llegada de un mensaje dentro de un grupo de WhatsApp o de algún contacto que asegura ya haber obtenido el premio.
Una pequeña imagen o ícono acompañado de pocas líneas de texto suele ser un señuelo eficaz a la hora de atraer víctimas. Aunque el enlace que aparece en la pequeña descripción adjunta del mensaje pareciera dirigir al sitio oficial de la entidad afectada, el verdadero enlace dentro del texto del mensaje delata la estafa, redirigiendo a los usuarios a una página que no guarda relación alguna con las compañías en cuestión. Las siguientes imágenes, son solo algunos ejemplos de engaños que afectaron a empresas multinacionales:
La ingeniería social, es decir el arte de disuadir a las personas con algún fin, es uno de los puntos fuertes en este tipo de fraudes. Si se lo complementa con técnicas de geolocalización, los ciberdelincuentes lograrán una amplia propagación, convirtiendo a un usuario distraído no solo en víctima, sino también en cómplice de la difusión de la estafa.
Adicionalmente, el usuario que recibe el mensaje suele ser advertido de que su contacto de confianza ha recibido el premio, que solo quedan algunos pocos disponibles, y que la promoción terminará en solo unos minutos. Demás está decir que el fin de estas premisas es erradicar cualquier tipo de sospecha que pueda tener un usuario respecto a la veracidad de las ofertas presentadas.
Cabe aclarar también que aquí se utiliza el nombre de reconocidas tiendas o marcas de confianza, que normalmente no están ligadas a fraudes digitales ni manejan información sensible, como es el caso de entidades financieras, que históricamente se han visto afectadas por códigos maliciosos y sitios de phishing. Así, los ciberdelincuentes intentan despistar a los usuarios hogareños, explotando la relación de confianza hacia esas marcas que nunca antes fueron afectadas ni se vieron vinculadas con incidentes de seguridad.
El informe completo se puede consultar en https://www.welivesecurity.com/wp-content/uploads/2018/04/Estafas_WhatsApp.pdf