Tecnología > SEGURIDAD INFORMÁTICA
Cómo los hackers atacan a usuarios a través de sorteos uruguayos en Instagram
Un sitio web de una marca de ropa decide realizar un sorteo. La intención forma parte de una movida de marketing en Instagram para aumentar el número de seguidores y, de esa manera, tener una mejor exposición de sus productos. Pero lo que parecía algo divertido y favorable se transforma en pocas horas en un verdadero dolor de cabeza para sus dueños por el acecho de ciberdelincuentes.
¿Qué hacen? Crean una cuenta falsa que simule al sitio oficial. Le sucedió a la marca de ropa Las Marías cuyo usuario oficial en Instagram es @lasmariasok. Tras un sorteo iniciado hace pocos días para celebrar los 44 mil seguidores, los estafadores aprovecharon la iniciativa. Por eso, inventaron la cuenta falsa “lasmariasok.oficial”. Utilizan el mismo logo y la misma descripción, de forma que el usuario se confunda sobre cuál es el verdadero. A veces le ponen un punto en el medio del nombre de la cuenta, o le añaden una letra, lo que hace confundir a los usuarios ya que la modificación es casi imperceptible para el usuario tradicional. En general, es una cuenta privada y suelen añadirle una fotografía.
Con esa cuenta empiezan a seguir a muchos usuarios que decidieron participar del sorteo y arrobaron en sus comentarios a otras personas. Tras lograr seguirlos, les mandan un mensaje privado que entusiasma a cualquiera que anhela con ganar un sorteo.
El cuento del tío empieza a ejecutarse: al usuario le llega un mensaje privado de la cuenta falsa que dice: “Hola... Felicidades. Tienes mucha suerte hoy. Serás seleccionado al azar como un ganador en función de los seguidores activos. Los premios se pueden reclamar de forma privada hoy y se anunciarán al público en la fecha que especifiquemos. Cómo obtener el premio es verificando el registro en el enlace patrocinado por la compañía cinematográfica a continuación”, dice el mensaje.
A continuación aparece el link a una página web que asegura que el sorteo es “100% real” y “sin cargo”. Los estafadores piden que se deje un comentario en esta conversación con la palabra “hecho” y una prueba de captura de pantalla cuando hayan terminado el registro.
Ese link es un sitio web de las plataformas Wix o Weebly, herramientas que permiten crear páginas a cualquier internauta del mundo. Allí aparece otro botón que lleva a otro sitio donde se concretará un formulario.
El clic en ese botón te traslada a un sitio web de la supuesta compañía cinematográfica que “patrocina el sorteo” y que ofrece “videojuegos, películas, libros y música y más gratis e ilimitado”. Allí se pide al usuario que ponga sus datos personales (nombre, apellido, correo electrónico y hasta datos de su tarjeta de crédito o débito).
Además de poner datos personales como nombre, ubicación y correo electrónico y la tarjeta de crédito, muchos ponen la misma contraseña que utilizan para su mail. Eso le permite a los hackers probar el acceso a su cuenta personal y a otros servicios que llevan su nombre.
Según pudo saber Cromo, hubo usuarios que cayeron en la trampa. Lo detectaron luego que algunas de estas cuentas afectadas advirtieran a sus seguidores que estaban siendo víctimas de una estafa.
En algunos casos, pusieron datos de su tarjeta de crédito. Una persona contó que fue hasta el cajero y sacó todo el dinero que tenía guardado por miedo a que le robaran el dinero. En la mayoría de los casos decidieron llamar al banco al que estaban afiliados para pedir que bloqueen esa tarjeta porque fueron víctimas de un ciberdelito.
El atacante no se hace demasiados problemas en interactuar con su presa. Un usuario le contó a Cromo que recibió este mensaje y, como le pareció muy confuso. decidió preguntarle: “Hola, disculpá, ¿gané?”. Del otro lado contestó: “Eres el ganador de mi evento, completa tu registro”.
Por su forma de expresarse, no parecía un atacante uruguayo, aunque nunca se supo su verdadera identidad.
Según pudo saber este medio, ha habido varias cuentas de Instagram afectadas. Entre ellas se detectaron de ropa, de turismo y hasta de páginas deportivas.
Una de ellas fue la de Pases Uruguay (@pases_uruguay). Esta cuenta, con más de 115 mil seguidores, suele hacer sorteos de camisetas de fútbol para premiar a sus fieles seguidores. Al igual que la mayoría, los requisitos que piden es seguir la cuenta de Instagram y mencionar amigos (y no pedir ningún dato adicional).
Hubo ciberatacantes que crearon una cuenta apócrifa, que tenía dos guiones en vez de uno y pedían llenar un registro en el que se invitaba a poner los datos de la tarjeta de crédito. Los hackers advertían de forma falaz: “No se cobrará a su tarjeta de crédito por validar su cuenta”. La palabra “no se cobrará” estaba en negrita. Todo falso.
¿Qué hacer?
Las cuentas que son víctimas de estos ciberataques se percatan a las pocas horas de que han inventado una cuenta falsa en su nombre y piden a los seguidores que las reporten en Instagram para que las den de baja. En algunos casos detienen el sorteo que venían llevando a cabo.
Para reportarlas, se debe apretar los tres puntitos, luego “reportar”, “es inapropiado”, “reportar cuenta”, “se hace pasar por otra persona”, “alguien que conozco”.
Según la experiencia de una cuenta afectada, Instagram demoró dos días en que dieran de baja la cuenta falsa y cuatro días en que eliminaran el sitio web de Wix.
Facebook, dueño de Instagram, posee un sitio web especial en el que pide llenar un formulario que acredite que la persona es dueña de la cuenta en cuestión y que hay alguien que se está haciendo pasar por él o ella. En general, si alguien reporta este tipo de situaciones al Centro Nacional de Respuesta e Incidentes de Seguridad Informática (CERTuy) lo auxilian en los pasos a seguir para lograr que a la cuenta apócrifa la den de baja.
En el caso de los usuarios, apenas se entere que fue víctima de este tipo de delitos, la Agencia de Gobierno Electrónico y Sociedad de la Información, el organismo del Poder Ejecutivo que trabaja en temas tecnológicos, aconseja cambiar “inmediatamente su contraseña”. “En determinadas ocasiones puede ser demasiado tarde, por lo que es necesario efectuar la denuncia ante el proveedor, ya sea de tarjeta de crédito, correo electrónico o el servicio que corresponda. Además, es recomendable realizar una denuncia en delitos complejos”.
Phishing o “cuento del tío”
Este tipo de delitos es lo que los expertos en seguridad informática llaman phishing. Según ESET, compañía que brinda soluciones en seguridad informática, este término fue acuñado por primera vez por Jerry Felix y Chris Hauck en una conferencia en 1987 titulada "Seguridad del sistema: la perspectiva de un hacker". Allí se explicó que la técnica de un atacante es imitar a una entidad o servicio con buena repetición.
Con el paso de los años, la palabra fue formalizándose más. Fishing, en inglés, significa pescar. La palabra "ph", del principio, es una referencia a "prheaks", un grupo de hackers que exploraba ilegalmente las telecomunicaciones en la década del 90. En definitiva, significa pescar a la víctima ganándose su confianza y aprovechándose de la reputación de una compañía y, en el caso de los sorteos de Instagram, también de una situación particular.
Fuentes del CERTuy dijeron que la mitad de los incidentes que reciben son por phishing.
La ansiedad por obtener el premio y la falta de conocimiento sobre posibles ciberataques son algunas de las causas que pueden provocar que la víctima muerda el anzuelo y se deje robar datos personales.
En Instagram hay sorteos a diario y, por lo tanto, estafadores que todos los días están al acecho.
“Alguno caerá”, piensa el hacker. “Es la forma de cazar a incautos y el que más resultados da. Hay un montón de métodos para engañar a alguien. Es lo más fácil de realizar y es lo más común que alguien caiga”, indicó a Cromo José Luis López, director de ESET en Uruguay.
Aseguró que la información que se comparte en las plataformas “es un punto vulnerable”. “Si compartimos permanentemente nuestra vida en las redes, alguien que tenga el tiempo ocioso para hacer el ataque enfocado puede hacerlo con facilidad a través de un mensaje, o enviarle un correo”, indicó.
Una de las formas para prevenir este tipo de delitos es instalar una solución de antivirus. Los expertos aseguran que estos programas son capaces de determinar cuando el usuario cliquea un sitio web malicioso, que tiene intenciones de robar credenciales de los usuarios. “La curiosidad nos lleva a hacer clic donde no debemos”, indicó el experto.
Además, advirtió sobre la instalación de aplicaciones que piden permisos para acceder a datos que no requieren para ofrecer el servicio que piden. Y dio el ejemplo de la app de la linterna, que en el crecimiento de los smartphones era instalada por decenas de usuarios. “Pedía datos de los contactos y otra información adicional que nada tenía que ver con encender la luz del teléfono”, comentó López. Hoy existen muchísimas apps que piden numerosos datos personales de los usuarios que no son necesarios para la función que tienen.
