ESET advierte sobre las estafas más comunes en Facebook y cómo evitarlas

La compañía de seguridad informática, ESET Latinoamérica, analiza algunas de las estafas más comunes en Facebook que debes tener en cuenta.

Buenos Aires, julio de 2021 – Facebook sigue siendo una de las más populares con más de 2.850 millones de usuarios activos mensuales. Lo que también atrae a todo tipo de estafadores que buscan obtener algún redito a costa de usuarios desprevenidos. A pesar de las medidas defensivas que implementa Facebook para evitar que las estafas lleguen a los usuarios, algunas, inevitablemente, logran hacerlo. En este sentido, ESET, compañía líder en detección proactiva de amenazas, advierte sobre las formas más comunes en las que los estafadores intentan engañar a los usuarios de Facebook tanto para obtener datos personales como dinero.

Dentro de las mismas se encuentran las estafas de phishing, los falsos préstamos a través de Facebook, las cuentas clonadas, estafas relacionadas a concursos, criptomonedas, falsas donaciones o advertencias. ESET las describe a continuación:

Estafas de phishing: El objetivo principal de los ciberdelincuentes en estas estafas es robar información personal para poder utilizarla en otras actividades delictivas, que van desde el robo de identidad hasta la venta de datos en los mercados de la dark web.

En este caso, el ciberdelincuente suplanta la identidad de Facebook, pidiendo el inicio de sesión con la excusa de reestablecer la contraseña, u otra similar, intentando transmitir un sentido de urgencia, e incluirá un enlace para iniciar la sesión de la cuenta. Sin embargo, el enlace dirigirá a una copia falsa de la página de inicio de sesión de Facebook, que luego recopilará las credenciales de acceso y dará a los estafadores acceso a la cuenta.

ESET 20210706 ima01a ESET 20210706 ima01b

Figura 1. Página de inicio de sesión de Facebook falsa (L) versus legítima (R)

Hay varias señales que podrían advertir al usuario que está ante un caso de phishing. Por ejemplo, si el correo electrónico que llega a la bandeja de entrada comienza con un saludo genérico o usa su identificador de correo electrónico asociado, en lugar de estar personalizado con el nombre del usuario. También si la dirección de correo electrónico del remitente parece incorrecta o no está asociada con un correo electrónico oficial de Facebook. Otro signo revelador es si el correo electrónico contiene errores ortográficos. ESET comparte consejos para evitar caer en este engañe en: Phishing al descubierto: a qué debes prestarle atención.

Falsos préstamos a través de Facebook: Este comienza con un estafador compartiendo publicaciones o directamente enviando mensajes directos (luego de enviar solicitud de amistad) a las potenciales víctimas, en los que afirman ofrecer préstamos instantáneos a tasas de interés muy bajas; todo lo que necesitan es una pequeña tarifa por adelantado. El texto generalmente incluye algún tipo de historia de fondo que intenta inspirar confianza, como que el prestamista es un hombre de negocios exitoso con un historial “probado” de préstamos otorgados a cientos de clientes satisfechos. Sin embargo, uno de los signos reveladores de la estafa es que generalmente el texto de los mensajes presenta múltiples errores gramaticales y de sintaxis. Más allá de eso, es difícil probar cualquiera de las afirmaciones, ya que esas son solo las palabras del estafador, que intenta convencer a las víctimas potenciales de que no se beneficien de su dinero. Existen tanto en inglés como en español. Ante estos casos, se recomienda ignorar estas publicaciones y reportarlas.

Cuentas clonadas en Facebook: En este escenario, el ciberdelincuente clona todo un perfil de redes sociales en una cuenta aparte para hacerse pasar por un usuario. Otra opción puede ser que clonen la cuenta de alguien conocido e intenten contactar a los usuarios haciéndose pasar por su amigo o pariente.

El propósito suele ser llevar adelante alguna forma de fraude conocida, como el pago de una tarifa anticipada por algún servicio o beneficio, o afirmar que están en problemas y necesitarán que les envíen dinero para ayudarlos. Los estafadores también pueden intentar afectar al usuario a través de un ataque de phishing o enviando un enlace que lleva a un contenido supuestamente divertido o emocionante, pero que en realidad puede infectar su dispositivo con malware.

Para verificar si una cuenta fue clonada es posible buscar el propio nombre en la barra de búsqueda de Facebook. En caso de ser contactado por algún supuesto contacto conocido con un mensaje sospechoso se recomienda verificar contactando a esa persona por otro medio, como un mensaje de texto o una llamada telefónica.

Estafas a través de Facebook Live: Involucra lo que a primera vista parece ser un video en vivo que tiene como supuesto protagonista a una celebridad, que es quien realiza el video. El estafador creará una cuenta falsa en la red social en la que suplanta la identidad de la celebridad, copiando la información del perfil oficial, y utilizará alguna grabación de una sesión en vivo que la celebridad realizó en algún momento y la edita para los fines de la estafa. La misma puede incluir la invitación a participar de un juego donde el primero en responder gana un premio.

Si los fanáticos participan, el estafador se comunicará con ellos directamente, con el objetivo de convencerlos de que compartan información confidencial o envíen dinero desde sus cuentas; esto se puede hacer compartiendo un enlace a un sitio web malicioso. Si en algún “Live” aparecen páginas y grupos de Facebook que no son los oficiales, se recomienda no ingresar.

Estafas de los concursos en Facebook: Los mismos atraen a los usuarios con el pretexto de que podrían ganar algo grande con poco o ningún esfuerzo de su parte. Se crea una falsa página o cuenta en la que se hacen pasar por una marca, una celebridad, una banda, y luego se crea un sorteo o concurso. Usualmente emulan competencias legítimas, pidiendo a los usuarios que pongan me gusta, comenten, etiqueten, se registren y compartan la competencia para ampliar su alcance. Una vez que hayan completado estas tareas, se contacta a las potenciales víctimas para que envíen sus datos personales, completen una encuesta, visiten un sitio web malicioso o realicen una acción similar que los haría compartir su información personal. Como suele ocurrir, la víctima no ganará nada, pero habrá perdido información confidencial o habrá hecho que los estafadores ganen dinero al completar una encuesta.

Estafas relacionadas a las criptomonedas: El objetivo de estas estafas es engañar al usuario para que comparta información confidencial, información de pago o el acceso a una billetera de criptomonedas, o para que transfiera criptomonedas al estafador. La estafa generalmente contiene un enlace, que probablemente redireccionará a un sitio web donde tendrá que completar con datos personales e incluso acceder a las credenciales de las billeteras de criptomonedas. Una vez que los ciberdelincuentes obtienen los datos que necesitan, pueden usarlos para cometer fraude de identidad, retirar dinero de su billetera o incluso usar los datos para presionarlo para que invierta en varios esquemas de criptomonedas fraudulentos.

Alternativamente, existe una estafa en la que publican un mensaje en perfiles generalmente comprometidos, en los cuales se promete a las personas que envíen su dinero digital a una dirección válida de criptomonedas y que por hacer esto le retornarán el doble de la suma que envió; sin embargo, no ocurre nada por el estilo.

Anuncios fraudulentos y estafas de compras: El estafador intenta persuadir al usuario para que hagan clic en un anuncio que los redirigirá a un mercado fraudulento al ofrecer productos con grandes descuentos. Esto a menudo incluye artículos de lujo, como anteojos Ray-Ban u otro tipo de beneficios. Cualquiera que sea el caso, una vez que llegue a la instancia de compra, la “tienda falsa” podría recopilar la información personal y datos de pago, lo que podría conducir a fraude de identidad y cargos acumulados en la tarjeta de crédito. En caso de que el anuncio no a un sitio que solicita información, el objetivo probablemente sea el ingresar información sensible, como los datos de la tarjeta de crédito.

ESET aconseja investigar sobre el proveedor al que se le está comprando, ver sus términos de servicio, envío y políticas de devolución.

Estafas de falsas donaciones: En este caso, los estafadores intentan abusar de la empatía y la voluntad de las personas para ayudar a otros, y lo hacen creando organizaciones benéficas falsas o haciéndose pasar por personas reales. A veces, los estafadores intentan sacar provecho de una tragedia reciente, como desastres naturales, accidentes u otros eventos trágicos que aumentan las posibilidades de que las personas estén dispuestas a donar. Por otra parte, también hay varias causas que reciben donaciones durante todo el año, como son organizaciones benéficas que involucran enfermedades específicas o que luchan contra la crisis climática. Para sacar dinero de las personas empáticas, los ciberdelincuentes crearán una página o grupo en Facebook que afirme ser una organización benéfica solicitando donaciones para cualquiera de las diversas causas y tratarán de presionar a los usuarios para que donen publicando fotos sensibles o videos impactantes y usando la emoción para empujarlo a donar.

Falsas advertencias: En este caso, los estafadores se hacen pasar por el Soporte de Facebook y luego envían mensajes a los propietarios de una página (apuntando a empresas) alegando que infringieron la política de contenido y son acusados ​​de “Violaciones de derechos de autor”. El mensaje contendrá un enlace para contactar “oficialmente” al Soporte de Facebook con un apéndice que señala que los propietarios de la página tienen 24-48 horas para responder o la página/cuenta será suspendida. Esto es un engaño para obtener las credenciales de inicio de sesión y así acceder a la página. Si se hace clic en el enlace incluido, será redirigido a un formulario que se deberá completar, para luego ser redirigido a una falsa página de inicio de sesión de Facebook.

ESET 20210706 ima02a ESET 20210706 ima02b

Imagen 2: Falsa notificación de violación de derechos de autor

Si se recibe un mensaje directo hay que evitar hacer clic en los enlaces y comunicarse directamente con el soporte de Facebook, que se ocupará del problema y probablemente prohibirá el acceso al estafador.

“Si bien Facebook es relativamente estricto cuando se trata de vigilar el contenido que aparece en su plataforma, los ciberdelincuentes siguen siendo creativos e ingeniosos. Intentan encontrar y aprovechar cualquier oportunidad en su sistema de moderación de contenidos de Facebook para poder difundir sus estafas y engañar a tantos usuarios como sea posible para quedarse con el dinero que tanto les costó ganar. Como siempre, el mejor consejo sigue siendo estar atento y revisar todo, especialmente porque las redes sociales se han visto inundadas de publicaciones de trolls promoviendo desde noticias falsas de fuentes no verificadas hasta estafas relacionadas con las vacunas para el COVID-19. Además, se recomienda tener una solución de seguridad instalada en todos los dispositivos y actualizar los sistemas.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/06/30/estafas-mas-comunes-facebook-como-evitarlas/