martes, 6 de agosto de 2024
jueves, 12 de octubre de 2023
Por su popularidad y gran cantidad de usuarios, esta red social está en la mira de los ciberatacantes. ESET, compañía de seguridad informática, indica a qué se le debe prestar atención para reconocer cuentas falsas y no ser víctima de engaños.
Ciudad de México, México - En octubre de 2010, Instagram se lanzó oficialmente y su impacto fue tal que hoy es una de las redes sociales más populares de todo el mundo. Algunas cifras son elocuentes y permiten dimensionar su evolución: durante 2018 alcanzó 1,000 millones de usuarios mensuales, en 2021 se ubicó sexto entre los sitios web más visitados del mundo y se estima que para 2026 contará con 1.5 mil millones de usuarios activos.
El notable crecimiento en las métricas hizo que la mira de los ciberatacantes se vaya enfocando cada vez más en la red social que actualmente es propiedad de Meta. Así fue como surgieron diversos modelos de estafas mediante los cuales los cibercriminales buscan víctimas para obtener algún tipo de rédito económico y/o acceso a su información confidencial. En este contexto, desde ESET, compañía líder en detección proactiva de amenazas, destacan que resulta prioritario que usuarios y usuarias sepan cómo reconocer si una cuenta de Instagram es falsa o no.
A continuación, desde el equipo de investigación de ESET repasan los puntos clave que permiten identificar su veracidad:
· Seguidores falsos (señal de bots): una de las principales alarmas que se suele encender ante una posible cuenta falsa es que sus propios seguidores sean falsos. ¿De qué se trata puntualmente? De bots (viene de "robot", es un programa informático cuya función es realizar tareas automatizadas a través de Internet, generalmente funciones simples que requieren de cierta repetición) creados para acrecentar el número de seguidores, pero que en definitiva no son personas reales.
De hecho, no se trata de usuarios activos ni participativos y la información que presentan es apócrifa. En la actualidad, miles de aplicaciones móviles y páginas ofrecen este servicio de seguidores falsos. Para checar la legitimidad de los seguidores de una cuenta, hay diversas herramientas disponibles como FakeCheck, HypeAuditor y también InBeat, entre tantas otras.
· Nombres similares a cuentas verificadas (logo incluido): otra práctica muy común de los cibercriminales es la creación de cuentas con nombres muy similares a cuentas verificadas, que hasta incluyen el logo de la marca elegida. Recientemente, diversas entidades bancarias vieron suplantada su identidad a través de perfiles de Instagram falsos y también de otras redes sociales. Y hasta personas particulares han visto sus cuentas clonadas.
Desde ESET advierten que una de las herramientas más utilizadas por el cibercrimen es el scrapping que permite monitorear los comentarios y otra actividad de un perfil seleccionado (oficial y real, por supuesto). El objetivo es contactar a la persona que dejó un comentario, haciéndose pasar por la cuenta verdadera mediante un mensaje directo y la solicitud de un número de WhatsApp para comunicarse y ayudarla con su consulta.
El propósito de este engaño es, muchas veces, obtener información confidencial de la víctima, para después llevar a cabo una estafa telefónica y sacar algún provecho económico. Recomiendan desde ESET estar alerta a este tipo de engaños. Es prioritario verificar que el mensaje recibido sea de una cuenta verificada (tilde azul) y, aunque sea la oficial, nunca brindar datos confidenciales como claves bancarias, tokens o códigos de seguridad de la tarjeta de crédito o débito,
· Pocos seguidores pero muchos seguidos: otro indicador de que una cuenta es falsa es la desproporción en la cantidad seguidores y de perfiles seguidos. Las cuentas falsas, muchas veces, presentan una cantidad muy baja de seguidores y siguen a un número muy considerable de cuentas. Este desequilibrio suele indicar que la cuenta compra seguidores o son cuentas creadas por bots.
No en todos los casos se trata de una cuenta falsa, sino que hay algunas cuentas reales que se valen de esta técnica para aumentar sus seguidores. De todas maneras, siempre es un buen punto a tener en cuenta.
· Se contactan ofreciendo un beneficio demasiado bueno: es frecuente que las cuentas falsas se valgan de beneficios exclusivos o premios demasiado buenos para ser verdad para intentar encontrar nuevas víctimas. El modus operandi es sencillo: se etiqueta a la posible víctima en una publicación, solicitan luego que siga la cuenta para hacerse del premio/beneficio.
Para recibir el supuesto premio, la persona debe brindar sus datos personales y hasta, en algunos casos, entregar dinero. El engaño también puede incluir que el usuario reciba un link a una plataforma de pago falsa que permite al ciberdelincuente obtener los datos de la tarjeta de crédito de la víctima.
Otro alarma a tener en cuenta es la inmediatez: es decir, cuando el supuesto beneficio es “solo por tiempo limitado”. Los ciberatacantes tienen muy en cuenta que ante situaciones de presión, la atención a las señales de alerta suelen disminuir.
“Las estafas en Instagram son una realidad y, además de prestar atención a las cuentas falsas, es necesario poner el ojo a los intentos de phishing, vendedores de dudosa reputación, estafas amorosas. Si bien desde la propia red social están constantemente moderando su plataforma para mantenerla lo más limpias posible, sigue siendo muy complejo poder detener a los estafadores que a través de engaños buscan datos confidenciales y dinero de diversas víctimas. Es necesario estar alerta, prestar atención a aquellos indicios o alarmas que invitan a la duda, y también mantener la cuenta configurada correctamente.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
miércoles, 30 de agosto de 2023
ESET, compañía de seguridad informática, analiza un bot de Telegram que facilita la creación de contenido falso para plataformas de compraventa online y es usada por ciberdelincuentes organizados que salen a la caza de sus víctimas a las que llaman mamuts.
Ciudad de México – Cada vez más personas optan por las compras online dado su comodidad, que las entregas son al domicilio y a veces es posible incluso ahorrar dinero. Desgraciadamente, los estafadores abusan de ello y se dirigen a estos servicios y a sus clientes en beneficio propio. De esta manera, pueden crear un anuncio de productos que no existe y, una vez que la víctima paga, desaparecen en el éter. Recientemente ESET, compañía líder en detección proactiva de amenazas, identificó el código fuente de un conjunto de herramientas que hace que los estafadores no necesiten ser expertos en informática. Este kit de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones.
A este kit ESET lo nombró Telekopye como la combinación de Telegram y kopye (копье), que en ruso significa lanza, debido al uso de phishing altamente dirigido. Los estafadores llaman mamuts a las víctimas de esta operación y varias pistas apuntan a Rusia como país de origen de los autores y usuarios del kit de herramientas. Telekopye fue subido a VirusTotal en múltiples ocasiones, principalmente desde Rusia, Ucrania y Uzbekistán, desde donde suelen operar los Neanderthals de acuerdo al idioma que usan en los comentarios del código son quienes están detrás de los ataques.
“Hemos descubierto y analizado Telekopye, un conjunto de herramientas que ayuda a las personas menos técnicas a realizar estafas en línea con mayor facilidad. Estimamos que Telekopye estaba en uso desde al menos 2015. Nos centramos en una versión, analizando sus principales capacidades y descubriendo cómo funciona Telekopye internamente. Estas capacidades incluyen la creación de sitios web de phishing, el envío de SMS y correos electrónicos de phishing y la creación de capturas de pantalla falsas. También describimos la jerarquía de los grupos que utilizan Telekopye. Gracias a nuestra telemetría, también descubrimos que esta herramienta sigue en uso y en desarrollo activo”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Aunque los principales objetivos de Neanderthals son los mercados online populares en Rusia, como OLX y YULA, desde ESET se observó que sus objetivos son también mercados online que no son nativos de Rusia, como BlaBlaCar o eBay, e incluso otros como JOFOGAS y Sbazar. Solo para ilustrar lo grandes que son algunos de estos mercados, la plataforma OLX tuvo, según Fortune, 11.000 millones de páginas vistas y 8,5 millones de transacciones al mes en 2014.
Las versiones que se recopilaron desde ESET de Telekopye sugieren un desarrollo continuo. Las mismas se utilizan para crear páginas web de phishing y enviar mensajes de phishing por correo electrónico y SMS. Además, algunas versiones de Telekopye pueden almacenar datos de las víctimas (normalmente detalles de tarjetas o direcciones de correo electrónico) en el disco donde se ejecuta el bot. “Telekopye es muy versátil, pero no contiene ninguna funcionalidad de IA de chatbot. Por lo tanto, en realidad no realiza las estafas; sólo facilita la generación de contenidos utilizados en dichas estafas. En julio de 2023, detectamos nuevos dominios que encajan con el modus operandi de los operadores de Telekopye, por lo que siguen activos. La última versión de Telekopye que hemos podido recopilar es del 11 de abril de 2022. Evaluamos que Telekopye ha estado en uso desde al menos 2015 y, basándonos en fragmentos de conversaciones entre neandertales, que diferentes grupos de estafadores lo están utilizando”, agrega Gutiérrez Amaya de ESET.
En cuanto a la estafa Telekopye, en primer lugar, los Neandertales una vez que encuentran a sus víctimas (mamuts) intentan ganarse su confianza y persuadirles de que son confiables. Cuando los atacantes creen que un “mamut” confía lo suficiente en ellos, utilizan Telekopye para crear una página web de phishing a partir de una plantilla prefabricada y envían la URL a la posible víctima, incluso a través de mensajes SMS o correo electrónico. Después de que el mamut envía los datos de la tarjeta a través de esta página, los neandertales utilizan estos datos de la tarjeta para robar dinero de la tarjeta de crédito/débito del mamut, mientras ocultan el dinero utilizando varias técnicas diferentes, como blanquearlo a través de criptomonedas; desde ESET se identificaron algunos servicios de cryptocurrency mixing involucrados en estas operaciones.
Telekopye dispone de varias funcionalidades diferentes que los Neandertales pueden aprovechar al máximo. Estas funcionalidades incluyen el envío de correos electrónicos de phishing, la generación de páginas web de phishing, el envío de mensajes SMS, la creación de códigos QR y la creación de capturas de pantalla de phishing.
La característica principal de Telekopye es que crea páginas web de phishing a partir de plantillas HTML predefinidas bajo demanda. Un Neanderthal debe especificar en esta plantilla detalles como la cantidad de dinero, el nombre del producto, ubicación a la que se enviaría el producto, la foto, el peso, y el nombre del comprador. A continuación, Telekopye toma toda esta información y crea una página web de phishing para materializar el engaño. Estas páginas están diseñadas para imitar diferentes sitios de inicio de sesión de pagos/bancos, pasarelas de pago de tarjetas de crédito/débito, o simplemente páginas de pago de diferentes sitios web. Para facilitar el proceso de creación de páginas web de phishing, estas plantillas de páginas web están organizadas por países a los que se dirigen.
ESET comparte algunas recomendaciones para evitar ser estafado por este grupo:
- La forma más fácil de saber si se está en el radar de un Neanderthal es fijarse bien en el lenguaje utilizado en la conversación, sea en un correo electrónico o página web. Aunque, lamentablemente, esto no es infalible, ya que algunos de estos intentos de estafa corrigieron errores gramaticales y de vocabulario.
- Insistir en que el intercambio de dinero y bienes sea en persona, cuando sea posible, en el caso de artículos de segunda mano vendidos online. Ya que usualmente no están protegidos por instituciones o servicios conocidos y estas estafas son posibles porque los neandertales fingen que ya hicieron un pago online, o ya enviaron el producto que se pretendía comprar. Por supuesto que la entrega en persona no siempre es posible, y puede no ser segura por lo que hay que extremar las precauciones, cuando se utiliza un servicio de mercados online.
- Evitar enviar dinero a menos que se esté seguro; comprobar que la página web no tenga errores gramaticales o fallas de diseño gráfico. Si se tiene suerte, una plantilla puede tener algunas imprecisiones. Comprobar también el certificado de la página web y fijarse bien en la URL, que puede hacerse pasar por un enlace real.
- Tener cuidado con el ofrecimiento forzado de un medio de pago, si el engaño es de una compra falsa, con frases como "Te enviaré el dinero a través del servicio XYZ. ¿Sabes cómo funciona?". En su lugar, preguntar por otro tipo de plataforma de pago que sea familiar. Esto no es infalible porque los estafadores tienen múltiples plantillas que pueden imitar servicios de pagos online, pero es posible que se pueda reconocer una plantilla falsa más fácilmente si se utiliza un método de pago conocido.
- Extremar las precauciones si se reciben enlaces por mensajes SMS o correos electrónicos, aunque parezcan proceder de una fuente de confianza. Los neandertales no son ajenos a la suplantación de identidad por correo electrónico. Una buena regla general es visitar directamente la página web del supuesto servicio (no utilizar el enlace del correo electrónico/SMS), y por caso, consultar en atención al cliente.
domingo, 26 de marzo de 2023
ESET, compañía líder en detección proactiva de amenazas, advierte sobre las distintas estrategias que utilizan los cibercriminales para hacer creer a las personas que son representantes de atención al cliente de un servicio.
Ciudad de México - ESET, compañía líder en detección proactiva de amenazas, alerta sobre una modalidad de engaño cada vez más común en la que estafadores suelen hacerse pasar por falsos representantes de atención al cliente para robar datos financieros de víctimas y luego su dinero. Además, los delincuentes suelen intentar establecer comunicación telefónica, pero para llegar a este punto suelen recurrir a distintas alternativas.
ESET analiza los principales métodos que se utilizan para llevar adelante este tipo de estafas y así aprender a detectarlas a tiempo:
1. Sitios falsos en los resultados de búsqueda de Google: Generalmente los primeros resultados corresponden a sitios legítimos y las personas suelen hacer clic casi de forma automática. El problema es que los delincuentes saben esto e intentan aprovecharlo. Los sitios falsos pueden aparecer en los primeros resultados de Google a través de anuncios pagos o mediante técnicas de SEO fraudulentas (BlackHat SEO). Por lo tanto, es importante no confiar ciegamente en los primeros enlaces que ofrece Google u otro motor de búsqueda.
Recientemente, ESET identificó el caso de una persona que buscó en Google el número de atención al cliente de un servicio e hizo clic en uno de los primeros resultados de la búsqueda. Así accedió a un sitio que en el cual debía dejar su número de teléfono para ser contactada. Cuando el falso representante de atención al cliente se comunicó, explicó que necesitaba cargar al sistema los datos de cobro debido a un inconveniente que habían sufrido en su base de datos. La víctima, convencida de que estaba hablando con un agente oficial, compartió con el delincuente los números de su tarjeta de crédito y débito, además del código de seguridad de ambas tarjetas y la fecha de expiración. Por si fuera poco, le envío vía WhatsApp fotos del frente y dorso del documento de identidad, tal como habían solicitado el estafador.
2. Perfiles falsos en redes sociales y el uso de bots: En redes sociales como Twitter e Instagram, ESET observó casos que muestran cómo los estafadores monitorean los comentarios que hacen los usuarios con ciertas palabras clave o cuando etiquetan a un perfil verificado. Estos mensajes generalmente suelen ser reclamos o algún tipo de inconveniente que plantean los usuarios que necesitan resolver. Cuando esto sucede, desde estos perfiles falsos (sin la marca de verificación) envían mensajes directos haciéndole creer a las víctimas que se comunican desde la cuenta oficial (utilizan el mismo logo y una variación del nombre oficial) y ofrecen el contacto del servicio de atención al cliente. Para esto utilizan bots que monitorear los comentarios de las personas y los perfiles legítimos.
3. Números de WhatsApp falsos: En estos casos, los estafadores suelen aprovechar esto y se contactan vía WhatsApp desde perfiles que contienen el logo y una descripción para hacer creer que es una cuenta legítima. En algunos casos, incluso utilizan cuentas de WhatsApp robadas de empresas o que tienen la marca de verificación. Una vez que se comunican con la víctima utilizan un amplio abanico de posibles excusas para convencerla de que comparta los datos de su cuenta bancaria, que compartan información personal o que realice alguna otra acción.
4. Vishing, llamadas telefónicas directas: El vishing es un ataque de ingeniería social que se da a través de llamadas telefónicas o mensajes de voz. Esta forma de engaño existe desde hace varios años y sigue siendo utilizada por estafadores que se hacen pasar por representantes oficiales de empresas, servicios u organismos públicos. Una de las tantas modalidades que utilizan consiste en llamar a los clientes de entidades financieras con la excusa de proporcionar los nuevos números de contacto de la entidad y luego tratan de persuadir a las víctimas para que compartan los números de su tarjeta.
Los delincuentes muchas veces acceden a bases de datos que se comercializan en foros clandestinos y que contienen números de teléfono, nombre completo, y en algunos casos hasta los números de las tarjetas. Esta información puede llegar a estos sitios por diversas vías, ya sea por filtraciones de datos que sufrió una compañía, por el robo de datos mediante malware o incluso por el compromiso de sitios web mediante skimmers o algún otro tipo de código malicioso.
“Las estafas de atención al cliente son muy comunes, los delincuentes utilizan diversos métodos, que van desde sitios falsos que aparecen en los primeros resultados de Google, perfiles falsos en redes sociales o llamadas telefónicas. Teniendo esto en cuenta, es importante que las personas estén atentas y nunca compartan información personal, ya que generalmente las empresa no solicitan datos personales telefónicamente, a través del correo electrónico o vía redes sociales. Mucho menos compartir esta información si fuimos contactados de forma inesperada”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Como medida de seguridad desde ESET recomiendan, en el caso de WhatsApp y las redes sociales, verificar que la cuenta con la que se está comunicando tenga la marca de verificación que asegura que es una cuenta oficial. Ante la duda, buscar siempre el número de contacto a través de los canales oficiales y verificar que todo sea legítimo.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/
sábado, 8 de octubre de 2022
ESET Latinoamérica, compañía líder en detección proactiva de amenazas, explica las distintas modalidades de estafa que existen en TikTok y advierte cómo mantenerse seguro.
Ciudad de México – En solo seis años TikTok se convirtió en la red social dominante para compartir y ver videos cortos y ahora se jacta de que las personas en Reino Unido y Estados Unidos pasan más tiempo en TikTok que en YouTube. ESET, compañía líder en detección proactiva de amenazas, advierte que los ciberdelincuentes son muy creativos y siempre siguen de cerca las tendencias, incluso haciendo predicciones antes que las masas, lo que les permite maximizar el resultado de sus técnicas.
Hace no muchos años eran pocas las plataformas que se podían utilizar para atacar a nuevas víctimas sin dejar mucha evidencia. Los estafadores han visto venir el crecimiento de las redes sociales y pronto comenzaron a usar varias plataformas para realizar estafas de todo tipo. TikTok tiene más de 1.200 millones de usuarios diarios. Además, en una aplicación en la que las personas están escroleando minuto tras minuto, incluso hora tras hora, las estafas pueden atrapar fácilmente a personas que están con la guardia baja y, a menudo, hacer que pierdan dinero, su cuenta o incluso afectar su reputación.
ESET comparte 5 estafas de TikTok a tener en cuenta:
- Estafas relacionadas a criptomonedas y a la oportunidad de hacerse rico rápidamente: A los estafadores les encanta atraer a la gente con promesas de grandes recompensas a cambio de poco esfuerzo. Las criptomonedas han crecido (y se han desplomado) en los últimos tiempos, por lo que tienden a generar mucho ruido en el mundo en línea y TikTok sigue siendo una de las plataformas favoritas para intentar defraudar a las personas. Estas ofertas siempre suenan demasiado buenas para ser verdad. Es importante detenerse a pensar unos segundos antes de dar click, o avanzar. ¿Elon Musk realmente va a regalar un millón de dólares a extraños al azar?
- Mensajes de phishing en TikTok: Un correo electrónico o mensaje fraudulento de TikTok es un mensaje que se envía al azar, como un mensaje de phishing típico, pero con la esperanza de que llegue a la bandeja de entrada de un/a usuario/a de TikTok. Estos mensajes o correos podrían intentar ofrecer la marca de cuenta verificada, más seguidores o incluso un patrocinio. Una vez que la persona que recibe el mensaje hace clic en el enlace proporcionado será redirigida a un sitio que solicita las credenciales de inicio de sesión de TikTok. Si la víctima no tiene habilitada la autenticación en dos pasos (2FA) (que las cuentas de TikTok no tienen de forma predeterminada), una vez que se hayan ingresado estos datos, los cibercriminales tendrán el control de la cuenta e incluso podrían bloquear al usuario genuino.
- Cuentas de bots en TikTok: Todavía existen muchas cuentas de TikTok que son bots programados para interactuar con usuarios específicos y con la intención de hacerles creer que se están comunicando con una persona real. En última instancia, estos bots pueden pedir a las víctimas información confidencial o incluso sugerir que las víctimas sean redirigidas a un sitio que, de hecho, es un sitio fraudulento que intenta robarles información o instalar malware en sus teléfonos.
- Falsas apps promocionadas en TikTok: Las cuentas falsas en TikTok a veces promocionan aplicaciones que están disponibles para descargar. El problema es que estas aplicaciones también son falsas. Algunas de estas cuentas afirmarán que algunas apps pagas específicas pueden ser descargadas de forma gratuita en ciertas tiendas de aplicaciones de terceros. Sin embargo, en un intento por robar su información, estas aplicaciones instalarán malware o adware en su dispositivo.
- Falsas celebridades: Algunas cuentas pueden intentar hacerse pasar por celebridades reales. Esto se consigue simplemente duplicando el contenido de la cuenta de una celebridad. La intención es obtener tantos seguidores como sea posible y, antes de que sean descubiertos y denunciados, usar la plataforma para promover más estafas, como las estafas de inversión en criptomonedas.
“Si bien robar la cuenta de TikiTok de una persona sigue siendo complicado sin estar cerca de su teléfono para poder espiar la pantalla de la víctima por encima de su hombro, siempre es bueno recordar lo importante que es activar la autenticación en dos pasos para proteger nuestras cuentas. Activar esta protección adicional ayuda a mantener al margen a los ciberdelincuentes en caso de que alguna vez puedan robar el código de reinicio enviado a su teléfono móvil, ya que para acceder a una cuenta también necesitarán el código enviado a su dirección de correo electrónico.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Al igual que otras plataformas, señalan desde ESET, TikTok nunca se comunicará para solicitar detalles de la cuenta, contraseña, código de acceso único o cualquier otro método de verificación. Debido a la magnitud de la plataforma, es de vital importancia estar atento a los estafadores, ya que probablemente en algún momento puede haber un intento de engaño para compartir información personal, generalmente por correo electrónico o mediante un mensaje dentro de la aplicación. Finalmente, si se cree estar frente a un video spam o que busca robar información a las personas, es importante reportarlos a TikTok de inmediato y mantenerse alejado de cualquier enlace asociado.
miércoles, 24 de agosto de 2022
ESET Latinoamérica, compañía líder en detección proactiva de amenazas, advierte sobre los falsos perfiles y las distintas modalidades de engaño que intentan aprovechar los estafadores que utilizan las plataformas de citas.
Ciudad de México – “Hice ‘match’ se ha convertido en una expresión común en el mundo de las citas, y decir “Estoy en Tinder” es sinónimo de “citas y disponible”. Con 75 millones de usuarios activos mensuales y 10,6 millones de suscriptores, en 10 años Tinder registró más de 70 mil millones de usuarios que hicieron “match” y que dieron lugar a 1,5 millones de citas por semana. ESET, compañía líder en detección proactiva de amenazas, explica que a medida que los usuarios se sienten más cómodos buscando pareja en el mundo digital, cualquiera sea la plataforma, es probable que también estén menos alertas y puedan ser víctimas de gente con malas intenciones.
El documental de Netflix, Tinder Swindler, popularizó la historia de distintas mujeres que han sido estafadas por el mismo hombre: una persona real, un perfil con varias fotos, cuentas de redes sociales vinculadas e incluso verificación de fotos, que logró robar 10 millones de dólares después de engañar a sus víctimas y atraerlas para que financien su lujoso estilo de vida. Al igual que él, hay muchas otras personas que buscan aprovecharse de las personas que anhelan conocer a alguien, ya sea para enamorarse y establecer una relación o solo por una noche.
Según ESET los tipos de estafas más comunes tanto en Tinder como otras plataformas de citas, son:
- Estafa del código de verificación en Tinder: En este caso un contacto con el que se hace match, contacta y pide si lo puedes ayudar recibiendo un código a tu teléfono. Este código suele ser la clave de verificación para acceder a tu cuenta de Facebook, Snapchat, WhatsApp o de tu cuenta bancaria.
También sucede que utilizando bots los estafadores se contactan con la persona que hicieron match con el perfil falso y de manera automatizada envían enlaces para verificar la cuenta. Los estafadores intentan sacar provecho de la posibilidad de verificar un perfil que ofrece Tinder para demostrar que las fotos son de una persona real y no de un perfil falso.
- Perfiles falsos: Esta es la estafa básica. Delincuentes crean perfiles falsos, ya sea utilizando imágenes de bancos que parecen extraídas del catálogo de una agencia de modelos o, por el contrario, utilizando imágenes super amateur, borrosas y sexualmente sugerentes. En ambos casos, lo más probable es que se trate de estafadores que intentan que el usuario deslice el dedo hacia la derecha.Una vez en contacto, con la excusa de que “no pasan mucho tiempo en Tinder”, solicitan el número de teléfono para conversar a través de WhatsApp y “conocerse mejor”. En esta etapa, ya se está entregando información personal y es más fácil para el estafador encontrar los perfiles de redes sociales, robar imágenes y recopilar otros datos.
- “Catfishing“: A veces, los estafadores no quieren dinero; en cambio, es posible que quieran atención o compañía. Existen muchas personas que crean perfiles falsos utilizando información personal, fotos y videos robados de otras personas, generalmente de alguien a quien estafaron previamente. Puede sonar inofensivo, pero este tipo de fraude puede causar mucha angustia y puede durar meses o años. Estos usuarios están listos para llevar sus mentiras tan lejos como sea necesario para que logren que se enamoren de ellos. Es importante tener cuidado con el “catfishing” ya que puede involucrar dinero y regalos, y pueden usarse para robar información personal, enviar software malicioso o incluso puede usarse como estrategia para llevar a cabo actividades de espionaje. Tinder permite conectar las cuentas de Instagram y Spotify al perfil como una forma de asegurar que la persona con la que se está hablando es real. Pero también es una gran fuente de información para cualquiera que cree una identidad falsa. Cuantos más detalles reales sobre alguien, más verosímil se siente todo.
- Sextorsión: “Enviar desnudos” y hacer “sexting”, dos actividades que son tan populares como profundamente riesgosas, convierten a las personas en un objetivo fácil para que los estafadores se aprovechen. A pesar de que es cada vez más común compartir fotos al desnudo, esto sigue siendo algo que la sociedad espera que sea privado. La sextorsión es un delito muy serio que puede generar mucho dolor y angustia e incluso ha provocado que algunas víctimas se quiten la vida. Los estafadores son muy conscientes del impacto que la exposición puede tener sobre las personas y buscan aprovecharse de ello. Como característica de seguridad, Tinder no permite que los usuarios compartan imágenes, pero una vez que fuera de su ecosistema en una aplicación diferente, los usuarios pueden convertirse en una presa fácil. Quienes extorsionan pedirán un dinero a cambio de mantener las fotos en privado. Muchas víctimas pagarán por miedo a la vergüenza o incluso a la posibilidad de perder su trabajo. Una vez que algún actor malicioso se apodera de las fotos es probable que la imágenes permanezcan en la web para siempre e incluso podrían venderse a otros sitios web sin conocimiento o consentimiento. También es importante tener en cuenta que si bien existe una modalidad de estafa en la que desconocidos envían correos electrónicos de forma inesperados afirmando que tienen imágenes o videos desnudos, la sextorsión involucra a alguien a un tercero a quien realmente se envió imágenes y es un delito.
- Suplantación de identidad: Estar en Tinder también implica que se está expuesto a un posible ataque de malware y/o de phishing. Es fácil que engañen para que se abra un enlace que no deberías o para que se comparta con un delincuente un código que le dará al atacante acceso a otras cuentas. Ya que una vez que se accede a una cita puede que el riesgo este en enlaces en los que no se chequea la seguridad, pueden ser de supuestas entradas a una obra o si se pide que comprar las entradas porque la tarjeta no funciona y, sin pestañear, se colocan los datos de la tarjeta de crédito y se presiona “comprar”. Quizás, sin notarlo se ingresaron los datos bancarios en un sitio web falso, creado con el único propósito de robar información y dinero. Mientras tanto, la cita de repente quitó el match y desapareció.
- Estafas románticas financieras: Esta estafa es la más difícil de detectar y también de realizar. Las estafas románticas existen desde siempre, pero con la digitalización los estafadores han logrado llegar mucho más lejos que nunca gracias a las apps y sitios de citas. Lo que hacen estos delincuentes es preparar a la víctima durante el tiempo que sea necesario para obtener algo a cambio. Son personas reales, con perfiles reales, pero con intenciones profundamente malas que no solo buscan a personas con altos ingresos: hacen que se paguen almuerzos y cenas caras, algo que muchos harán para impresionar, es suficiente para muchos. Además del impacto financiero obvio de esta estafa, también hay una angustia emocional importante que es difícil de evitar cuando uno comprende lo que acaba de pasar.
- Tinder y estafas criptomonedas: Existen diferentes modalidades de estafas con criptomonedas que comienzan en Tinder, pero que también están presentes en otras plataformas y apps de citas. Lo cierto es que los delincuentes han aprovechado la ingeniería social de las estafas románticas para llevar adelante engaños con el objetivo de robar criptomonedas. Interpol hace un tiempo publicó una alerta al respecto en la que advierte sobre posibles contactos que conocemos a través de estas apps que invitan a invertir en criptomonedas y buscan convencer a las personas de que descarguen una aplicación de trading y comiencen a hacer lo mismo. Sin embargo, el objetivo verdadero es robar el dinero.
Es fundamental saber cómo evitar situaciones de riesgo. A continuación, ESET comparte algunos pasos fáciles a seguir para mantenerse protegido:
- No salir de Tinder para continuar la conversación en otras aplicaciones de mensajería. Esto mantendrá el entorno más seguro donde se puede denunciar fácilmente a un estafador y de esta manera protegerse uno y también a otros usuarios.
- No abrir enlaces enviados a través de Tinder, especialmente si se tiene una URL corta.
- Si se decide continuar la conversación en otra aplicación, como WhatsApp, no enviar fotos tuyas que puedan ser utilizadas por un tercero para extorsionarte.
- Confiar en tu instinto. Si un perfil parece demasiado bueno para ser verdad o está demasiado incompleto, es preferible deslizar el dedo hacia la izquierda y protegerse de una posible estafa.
“Siempre tener en cuenta que el riesgo no solo está online, sino también en la vida real, por lo que es muy importante que consideres tu seguridad cuando te reúnas con alguien que conoces a través de la app. Por ejemplo, compartiendo tu ubicación con un amigo y eligiendo como punto de encuentro espacios públicos concurridos.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: