Las nuevas formas de engañarte que tienen los atacantes en Uruguay

El phishing, como se lo conoce, es el ataque mediante el cual una persona simula la identidad de otra para robar información. Antes, estos atacantes mandaban mensajes masivos haciéndose pasar por un banco. “Ahora los ataques son más dirigidos”, señaló a Cromo Reynaldo de la Fuente, director de Datasec, una empresa que brinda soluciones en seguridad informática. “Saben algo más de información de cada usuario en específico y busca que caigas en la trampa”, comentó.

De la Fuente aseguró que su empresa es contratada para hacer hackeos éticos para prevenir este tipo de incidentes. “Y mucha gente cae acá en Uruguay”, comentó.

El familiar muerto en un terremoto

El usuario uruguayo de Twitter Carlos Tapia reportó un mensaje que le llegó de un supuesto representante de un banco de Ghana. En el texto, el director de Barclays, que se hace llamar Charles Alexander Cofie, habla de un cliente que tiene el mismo apellido de su víctima y que falleció hace ocho años. Tras su muerte, quedó una cuenta bancaria “sin reclamar” cuya cifra es de US$ 9.750.000.

“El fondo ahora no tiene ningún reclamo porque Rauf Tapia murió en un mortal terremoto en Japón en 2011”, comenta. Y ofrece el dinero. “Esta transacción será de gran ayuda mutua para nosotros. Envíeme su respuesta de interés para que le dé todos los detalles”, comenta Charles, invitando a su presa a hacerse del dinero. Da su correo electrónico y agrega: “Al recibir su respuesta, le proporcionaré detalles de la transacción y copias de los certificados de la compañía que generó el fondo”.

La intención de los delincuentes es generar un vínculo de confianza y que envíe más datos para robar información personal y, tal vez, dinero.

El caso de FaceApp

Un grupo de investigadores de la empresa ESET, que brindan soluciones de seguridad informática, descubrieron un esquema de engaño que aprovecha la popularidad de FaceApp, la app que envejece el rostro, e intenta que los usuarios descarguen una falsa versión “Pro”.

 “Los estafadores utilizan una falsa versión ‘Pro’ -de forma gratuita- de la aplicación como señuelo”, señala la compañía en un comunicado.

En una de las estafas los atacantes utilizan un sitio web falso en el cual se ofrece la versión “Premium” de FaceApp de forma gratuita. La idea es que las víctimas hagan clic en una innumerable cantidad de ofertas para que instalen otras aplicaciones pagas, así como suscripciones, anuncios y encuestas. Las víctimas también reciben solicitudes de varios sitios web para permitir que se desplieguen notificaciones. Cuando las habilitan, estas notificaciones llevan a nuevas ofertas fraudulentas.

El segundo tipo de estafa incluye videos de YouTube, a través de los cuales también se promocionan enlaces de descarga para una versión gratuita “Pro” de FaceApp. Sin embargo, los enlaces de descarga acortados apuntan a aplicaciones cuya única funcionalidad es hacer que los usuarios instalen varias aplicaciones adicionales desde Google Play. Uno de los videos de YouTube tiene más de 150,000.

El engaño del iPhone robado

Un usuario, llamado Steffano Chilotte, esperaba el ómnibus en una parada de Malvín. De repente, cuatro jóvenes armados en dos motos lo abordaron y le robaron el celular. La víctima bloqueó el teléfono desde su iCloud y determinó que mostrara un mensaje cuando alguien intentara encenderlo, en el que escribió el número de su padre para poder recuperarlo.

Si hace esto, el teléfono queda inútil para los ladrones. Como si fuera un ladrillo. Días más tarde Apple le envió un correo electrónico notificándole que el dispositivo había sido encendido en Buenos Aires. Pero el miércoles le llegó al celular de su padre un SMS de un número de México diciendo: "Soporte Apple. Su iPhone XR 64GB Black ha sido encontrado hoy a la(s) 18:24 pm. Última ubicación: (aparecía un link)".

Al ingresar en esa URL, Steffano se encontró con una web "muy parecida" a la de iCloud original, el sitio web donde cualquier usuario puede ingresar cuando le sustraen su smartphone para intentar localizarlo a través de la función Find my iPhone. Pero si Steffano ponía sus credenciales, el correo electrónico y contraseña, no ingresaría en el sitio web oficial de Apple, sino que le entregaría su usuario y contraseña al ladrón. Así podría acceder a esos datos en el iCloud y hacerse del dominio del teléfono.

La idea de los delincuentes es jugar con la desesperación del usuario que desea saber el paradero de su dispositivo. Entonces, cliquea en ese link, no verifica si es verdadero o no y entrega sus datos a los ladrones. ¿Cómo verificar que lo es? Lo ideal es nunca ingresar a un sitio desde un SMS o mail; también hay que verificar que el link al que se ingresa sea el mismo al oficial.