La compañía de detección proactiva de amenazas, ESET Lationamerica aseguró que que la mayoría de los engaños que circulan a través de Whatsapp o en su nombre, utilizan la manipulación al usuario para hacerle creer algo que no es y así convencerlo de que realice una acción que le interesa al delincuente.
ESET destacó algunas de las formas más comunes en que se cometen delitos como el robo de cuentas, suplantación de identidad o incluso distribuir malware vía la App social.
Si bien muchas modalidades comparten características, la compañía señaló el engaño del falso aniversario de una marca como una rutina que comienza con un mensaje que llega a la potencial víctima e indica que una marca o servicio conocido está celebrando su aniversario y que por ello está ofreciendo algún tipo de regalo o beneficio. El mensaje incluye un enlace para acceder al premio, sin embargo, nunca se concreta y el usuario es redirigido a sitios, los cuales generalmente terminan en la instalación de algún tipo de adware que despliega publicidad invasiva y recolecta información del usuario.
Otra forma común de engañar a quienes usan la aplicación es por medio de los mensajes de falsas ayudas económica. En ellos lo estafadores buscan aprovechar las necesidades económicas de los ciudadanos para engañarlos y robar sus datos personales. Los datos personales, como nombre, fecha de nacimiento, número de documento, nacionalidad, entre otros, además de ser comercializados en foros, son utilizados por los delincuentes para realizar otros fraudes.
Resaltan que este tipo suele comenzar con mensajes de un programa de ayuda solidaria para determinados sectores de la población e invitan a quienes cumplan con los requisitos a inscribirse y completar un formulario, para recibir la ayuda, pero esta información es la que recolectan quienes están detrás de este tipo de engaño.
La compañía enfatizó que sus estudios arrojaron que muchas de estas campañas utilizan la imagen y el nombre de algún organismo gubernamental o de algún programa legítimo de alguna fundación o incluso una compañía.
Además ESET Latinoamérica mencionó otras formas como:
Engaños al azar para obtener datos personales: El mismo comienza con un mensaje de un número desconocido, de alguien que juega a la incógnita e intenta hacer creer al usuario desprevenido que es alguien que conoce y que está en otro país. La intención es ver si la víctima le da pie al estafador de continuar con el plan. El objetivo es pedirle una ayuda por un pequeño percance. Entonces el supuesto conocido le cuenta que está regresando al país y que tuvo un problema con su pasaporte y no pudo abordar el avión, pero que las maletas sí salieron. Engonces le pregunta si podría recibirlas y en caso de que acceda, le solicita fotos de su documento de ambos lados para hacer el trámite correspondiente y que pueda recibir las maletas.
Herramientas para espiar WhatsApp: En las tendencias de búsqueda de Google“espiar whatsapp” es un término muy buscado, existe un interés de usuarios que buscan la forma de espiar las conversaciones de la cuenta de un tercero. Y los estafadores lo saben, por eso existe una gran cantidad de sitios de dudosa reputación que prometen una solución para espiar. El objetivo verdadero suele ser mostrar anuncios y recolectar información de quienes deciden probar estas aplicaciones, extensiones o servicios online.
Secuestro de cuenta de WhatsApp: Cuando se instala la app de WhatsApp en un equipo nuevo se debe ingresar el número de teléfono asociado a nuestra cuenta. Luego, un mensaje vía SMS llegará con un código de verificación de seis dígitos para validar la identidad del usuario. Este proceso es aprovechado por los atacantes que buscan tomar el control de las cuentas, tanto de usuarios como de empresas.
La víctima recibe en su teléfono un mensaje de texto o vía WhatsApp solicitando si por favor puede reenviar el código de seis dígitos que por error se envió a su teléfono. El mensaje puede ser de un contacto que perdió el acceso a su cuenta o de un número desconocido. Si la víctima desprevenida accede y reenvía el código que llegó inesperadamente, es probable que pierda el control de su cuenta de WhatsApp si no tenía habilitada la autenticación en dos pasos.
ESET también identificó ciberdelincuentes se hacen pasar por la cuenta oficial de WhatsApp de organismos públicos o del sector de la salud, para distintos tipos de engaño, y uno de ellos es robar el código de verificación. Por ejemplo, en Argentina estafadores se hicieron por el Gobierno y se contactaron con usuarios para asignar turnos para la vacuna contra el COVID-19 con el verdadero objetivo de robar el código de verificación de WhatsApp para luego estafar a sus contactos y descargar su información.
Estafas de suplantación de identidad en WhatsApp: Una vez que obtienen acceso, los delincuentes utilizan las cuentas de diferentes formas. Por ejemplo, suplantando la identidad de las víctimas. Para ello suelen descargar la lista de contactos, la imagen de perfil de la cuenta y otra información relevante en caso de que quieran crear un perfil falso con otro número, pero también se comunican directamente desde la cuenta robada con familiares y amigos para solicitar dinero por una supuesta emergencia o convencerlos para realizar alguna otra acción.
Hay casos en los que se utilizan perfiles falsos de WhatsApp haciéndose pasar por organismos gubernamentales. Los delincuentes se comunican a través del chat o llamadas de voz desde cuentas de empresa que incluyen el logo del organismo. Entonces, un falso representante intenta hacer creer a la víctima que es elegible para recibir una ayuda económica del estado o un bono. Sin embargo, para poder acreditar la ayuda económica en su cuenta los delincuentes solicitan un código y en realidad lo que entrega la víctima confundida son las claves para acceder a la cuenta bancaria.
Falsas actualizaciones con nuevas funcionalidades para WhatsApp: Estas campañas fraudulentas que hacen referencia al lanzamiento de una versión de la aplicación con funciones nuevas. ESET observó ejemplos de estos engaños invitando a descargar WhatsApp rosa y de otros colores, como azul o nombres como WhatsApp Plus. La de WhatsApp Rosa, por ejemplo, lejos de ser una campaña inofensiva lo que hacía era descargar un troyano en el teléfono de la víctima.
Distribución de malware vía WhatsApp: Se han detectado campañas para distribuir malware a través de WhatsApp. El año pasado, por ejemplo, ESET analizó un malware que se propagaba a través de la aplicacióny que intentaba engañar a las víctimas para que descarguen una aplicación de un sitio web que simula ser Google Play. Una vez instalada la app maliciosa, cualquier mensaje que llegaba al dispositivo de la víctima era respondido automáticamente con un mensaje personalizado que incluía un enlace para descargar la falsa app.
Si bien la amenaza aparentemente buscaba desplegar publicidad invasiva en el teléfono de la víctima, según explicó el investigador Lukas Stefanko, este malware posiblemente podría distribuir amenazas más peligrosas ya que el texto del mensaje y el enlace a la aplicación maliciosa se reciben del servidor del atacante. Simplemente podría distribuir troyanos bancarios, ransomware o spyware.
El jefe del laboratorio de Investigación de ESET Latinoamérica, Camilo Gutiérrez Amaya, recomendó que lo mejor es aprender a desconfiar y no hacer clic en cualquier enlace recibido, ni completar con información personal cualquier formulario. Lo segundo es habilitar la autenticación en dos pasos en WhatsApp, y en lo posible utilizando una app de autenticación y no el SMS. De esta manera evitamos el secuestro de cuentas.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/05/04/estafas-por-whatsapp-modalidades-engano-comunes/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
Nota de Prensa
