WhatsApp, el hogar de las estafas

Si alguna vez se preguntó por qué WhatsApp aumentó sus medidas de seguridad en los últimos tiempos, hasta llegar al extremo de cifrar las conversaciones de sus usuarios en abril de este año, debe saber que no es mera coincidencia. Las causas pueden ser varias pero en particular fue una la que determinó el desarrollo de un sistema de alta seguridad: las estafas que cada vez abundan más dentro de la aplicación.

La popular red de mensajería fue, sobre todo durante el año previo al cifrado, el principal blanco de los hackers que elegían apps para estafar a millones de personas. Como WhatsApp no tenía un muy buen nivel de protección, para los ciberdelincuentes era más fácil aprovechar la vulnerabilidad de sus usuarios.

Fue así como WhatsApp ganaba adeptos por un lado –actualmente tiene más de 1.000 millones de usuarios– pero recibía fuertes críticas por el otro. Hace un año, cuando la aplicación de mensajería aún no había activado el cifrado en las conversaciones, Electronic Frontier Foundation (EFF), una organización que defiende los derechos de libertad de expresión en internet, clasificó a la aplicación como una de las peores empresas a la hora de proteger la privacidad de sus usuarios.

Lucas Paus, especialista en la empresa de seguridad informática ESET, y Pablo Giordano, director de la empresa de seguridad informática uruguaya Arcanus, sostienen que la popularidad de WhatsApp es el principal factor que la convierte en blanco principal de hackers. "Las aplicaciones de mensajería instantáneas lideran el mercado y que sean gratuitas las hacen bastante tentadoras para los ciberdelincuentes", explicó Paus.

El Laboratorio de Investigación de ESET detectó en los últimos tiempos un patrón en las estafas más populares y, si bien su variedad es amplia, hay dos tipos que son los más usuales: cupones con descuentos o sorteos. El primer tipo es más común y consiste en una maniobra sin muchas vueltas. El usuario recibe mensajes de parte de un contacto previamente agendado, en los que se le informa que ciertas marcas de renombre le ofrecen un descuento en sus productos.

"La persona no desconfía mucho, porque son empresas serias y no relacionadas con el manejo de datos. Por eso se usan, generalmente, marcas de cadenas de comida rápida en lugar de bancos", contó Paus. Así es como empresas mundialmente conocidas, tales como KFC, Burger King, McDonald's y Starbucks se han visto involucradas en estos casos.

Por lo general, los usuarios de WhatsApp reciben un mensaje con un voucher de 500 unidades de descuento en su moneda local y, para acceder a él, deben responder cuarto preguntas y compartir el enlace con 10 personas. "Lo más curioso es que las estafas varían dependiendo de la zona geográfica en la que viva el usuario. Esto es algo que realmente nos sorprendió ya que incluso algunas llegan a traducirse hasta en 10 idiomas", aclaró Paus.

Hay tres tipos de estafas que son usuales a partir de los cupones o vouchers. Una de ellas se da cuando en el mensaje se le solicita al usuario que se subscriba a un servicio de SMS Premium, lo cual termina generando una cascada de mensajes de texto privados sin fin (por fuera de Whatsapp) que se acreditan a la cuenta de la víctima.

A pesar de que el usuario intenta solucionar el problema, el daño ya está hecho. "Es necesario que sean precavidos porque no hay vuelta atrás. Cuando el gasto está efectuado, hay que pagar", dijo Giordano. El director de Arcanus explicó además que las compañías telefónicas no se hacen cargo porque cumplen con su servicio más allá de si fue ejecutado por un hacker o un cliente.

Otro método es que el usuario sea redirigido a sitios de publicidad o de citas donde se subscribe; luego se le lleva otros sitios de compleja reputación. De esta forma, el ciberdelincuente roba más dinero mientras se efectúan más clics.

Otras de las víctimas preferidas de los tramposos son los desarrolladores de aplicaciones, quienes son engañados al decirles que si contratan un servicio promocionado en un voucher obtendrán más descargas. No es más que un simple truco para estafarlos.

El segundo modelo que fue muy utilizado por los hackers, pero que ahora tiende a disminuir, es la promoción de sorteos en aerolíneas. Esta estafa comprometió a las empresas Aerolíneas Argentinas, Aeroméxico, Latam y Southwest Airlines de Europa. Se propagó por Facebook y WhatsApp con el titular de que estas empresas estaban festejando su aniversario y que, a través de un concurso, el ganador obtendría dos pasajes en primera clase.

El anuncio le solicitaba a la víctima compartir la publicación, pero el fin era descargar una app o recibir mensajes privados de texto. "Se propagó de una forma más tranquila, debido a que el viajar por avión es un servicio mucho más caro que una cena en un restaurante", sostuvo Paus. Sin embargo, fueron miles de personas las que fueron estafadas.

Por su parte, el director de Arcanus contó a Cromo que han detectado otro tipo de estafas además de las mencionadas por ESET. Una de ellas es la repetida y falsa alarma de que WhatsApp dejará de ser gratis y para que la cuenta no sea bloqueada el usuario debe compartir el enlace.

El engaño se propaga porque los usuarios, en vez de informarse y verificar la veracidad del enlace, lo comparten por temor a no poder seguir usando la aplicación. Aquí es donde Giordano hace énfasis en que la responsabilidad no corre solo por cuenta de las aplicaciones, sino que una cuota corresponde a los usuarios, quienes, según dijo, son bastante descuidados.

Una de las mayores preocupaciones que tiene Paus es el auge de estas estafas. El experto explicó a Cromo que a pesar de que WhatsApp cifró las conversaciones de sus clientes, sigue siendo el blanco número uno de los ciberdelincuentes. "El cifrado impide que un hacker siga los movimientos básicos de los usuarios pero no evita que aparezcan otros tipos de estafas", aclaró.

Los engaños por internet siempre existieron pero, según detectaron en los laboratorios de ESET, en los últimos dos años se duplicaron los casos en WhatsApp en particular. A su vez, las estimaciones sobre la cantidad de personas afectadas por año también crecen. Si bien no es un número exacto, Paus estima que diez millones de usuarios de la app caen en esta clase de trucos. Estas cifras se extrapolan en base a casos conocidos de afectados, pero si se tuviera en cuenta el número de personas que reciben este tipo de mensaje engañoso, la cifra sería mucho más grande.

A la hora de buscar soluciones, quienes se ven afectados por los ciberdelincuentes pueden acudir a la compañía telefónica que contrataron, para que el dispositivo sea formateado. Otra opción aconsejada por los expertos es descargar apps de seguridad que bloqueen y desvíen este tipo de estafas.

En caso de caer en el engaño que deriva en los SMS premium, para darse de baja del servicio hay que ingresar nuevamente al sitio web al que se accedió a través del mensaje engañoso para anular la suscripción. Pero esto no impide que el servicio se quede con la información de mail y número de celular del usuario, con lo cual es posible que vuelva a mandarle mensajes de este tipo; en ese caso no hay más remedio que redoblar la atención.

Por otra parte, las personas deben de tener más cuidado con las ofertas que reciben, porque a los delincuentes les queda registrado y saben qué es lo que ven. "Dado que las estafas son una tendencia que irá en aumento, la mejor defensa es la educación y la capacitación. Estar informado es la primera y mejor barrera ante estos delitos", agregó Paus.

Aunque WhatsApp es una de las aplicaciones más utilizadas en el mundo, existen unas cuantas más de su rubro que también atraen a los estafadores. En el momento en que una persona crea una cuenta de Gmail, automáticamente tiene acceso a Hangouts, la plataforma de mensajería instantánea de Google, que puede utilizarse tanto en un navegador como en aplicaciones móviles. Giordano explicó a Cromo que Google ha ido mejorando paulatinamente los factores de autenticación del usuario a raíz de brechas de seguridad que se producen desde hace más de 15 años.

Otros servicios, como Viber, Facebook Messenger, Snapchat y Skype, tampoco cumplen todos los criterios señalados por la EFF, pero sí cifran los mensajes. iMessage, de Apple, sale mejor parado al ofrecer, además de cifrado de punto a punto, la protección de conversaciones pasadas. No obstante, la EFF se pronunció al respecto: "Ninguna de ellas provee seguridad completa frente a formas sofisticadas y dirigidas de vigilancia".