fraude

Indemnización por la filtración de datos personales, ¿real o estafa online?

Bajo el pretexto de indemnizarte por la pérdida de tus datos, los estafadores te venden “números temporales de seguridad social de EE. UU.”

Tatyana Sidorina
16 Ene 2020

Las noticias se hacen eco de todo tipo de filtraciones de datos y, últimamente, también de las multas que se imponen a las empresas responsables, algunas de las cuales alcanzan miles de millones . Si las empresas tienen que pagar por las filtraciones de datos, ese dinero se destinará a las víctimas, ¿no?

Sorpresa de la Comisión de Comercio de EE. UU.

Un sitio web llamó nuestra atención hace poco. En apariencia propiedad del Fondo para la Protección de Datos Personales, la página web principal señala que la “Comisión de Comercio de los EE.UU.” es la creadora de dicho fondo.

A simple vista, el sitio parece legítimo y, con un diseño sobrio, muestra una gran suma de dinero a la derecha. Un banner en la parte superior de la página anuncia que el fondo indemniza a las víctimas de filtraciones de datos personales y que podrán solicitarlo ciudadanos de todas las nacionalidades.

La Comisión de Comercio de los EE. UU. ofrece indemnizaciones por las filtraciones de datos

Para los interesados, el sitio se ofrece a comprobar si alguna vez se ha producido una filtración de tus datos personales. Para ello, tienes que indicar tu nombre, apellidos, número de teléfono y cuentas de redes sociales. Sobre el formulario, se advierte que introducir los datos de otra persona se castigará severamente.

Para conocer la cantidad de dinero a la que tienes derecho, primero debes proporcionar información personal

No obstante, resulta que el sitio web acepta cualquier tipo de información, incluso jerga sin sentido. Por ejemplo, hemos buscado los datos personales de un ciudadano llamado fghfgh fghfgh. El sitio tardaba un poco en procesar, en apariencia conectándose con bases de datos sobre filtraciones…

El sitio supuestamente busca información sobre las filtraciones.

Y quién lo iba a decir: los datos de nuestro personaje ficticio con nombre impronunciable sí se habían filtrado. Es más, alguien había usado sus fotos, vídeos e información de contacto, por lo que fghfgh tenía derecho a una indemnización superior a los 2.500 dólares.

El sitio encontró información sobre la filtración y calculó la cantidad de la indemnización

La compra de un NSS temporal

Uno podría pensar que basta con indicar el número de tarjeta bancaria y esperar a que el pago se abone. Pero no es así. El fondo de caridad no puede enviar el dinero sin el NSS (número de seguridad social), un número de nueve dígitos que se expide a los ciudadanos de EE.UU., así como a residentes permanentes y trabajadores con visado temporal.

Este número único se usa para casi todo en EE. UU.: pagar impuestos, solicitar un trabajo, alquilar una casa, etc.

Pero si no tienes, no sufras: puedes marcar la casilla “I’m don’t have SSN” (“No tengo NSS”, en un inglés incorrecto, por lo que la gramática inglesa no parece ser el punto fuerte de los estafadores).

Formulario para ingresar el número de tarjeta y el NSS

Para evitar el problema del NSS, el sitio se propone venderte uno temporal. En comparación con la cantidad de la indemnización que aparece en la pantalla por la filtración de datos personales, los 9 dólares que cuesta no son nada.

Los estafadores ofrecen un NSS temporal por un módico precio

Si intentas completar la transferencia sin comprar un NSS, el sitio dará error y exigirá un número temporal. Y si de causalidad introduces un NSS válido en el formulario fraudulento, aun así, te pedirán que adquieras un número temporal.

El sitio da error si el usuario intenta completar la transferencia sin un NSS temporal

Los que deciden adquirir un NSS temporal son redirigidos a un formulario de pago. Si lo haces desde una dirección IP rusa, el formulario de pago aparece en ruso y el precio de compra se indica en rublos. ¡Qué extraño! ¿Por qué un organismo público de EE. UU. iba a exigir el pago en una moneda extranjera?

Formulario de pago del NSS temporal en ruso

Es probable que los residentes de otros países se vean redirigidos a un formulario en inglés menos sospechoso y que solicita el pago en dólares.

Formulario de pago del NSS temporal en inglés

¿Se están internacionalizando los cibercriminales rusos?

Evidentemente se trata de una estafa. El Fondo de Protección de Datos Personales no existe, como tampoco la Comisión de Comercio de EE. UU., como ya habrás supuesto. Al parecer, el nombre de la institución real por la que los cibercriminales intentan hacerse pasar es la Comisión Federal de Comercio, pero la CFC no paga indemnizaciones por filtraciones de datos de forma indiscriminada.

Es muy probable que los propios estafadores hablen ruso, como lo sugiere el formulario de pago en ese idioma, además de la sospechosa similitud del fraude con otras ofertas de dinero fácil que a menudo tientan a los habitantes de Rusia y la CEI.

El cebo suele variar: regalos, encuestas, fondos de ahorro secretos e incluso un empleo a jornada parcial como taxista. Pero todos estos fraudes suelen estar en ruso (al igual que los enlaces anteriores); la estrategia siempre es la misma: la atractiva promesa de dinero fácil, seguida de la petición de pago por un servicio barato, ya sea una comisión, una “garantía” de pago o un NSS temporal.

El esquema actual de esta estafa online utiliza los mismos sistemas de pago que los anteriores. También deja un rastro familiar que recuerda a los ciberdelincuentes rusos, la única diferencia con la estafa de la indemnización es que se da una escala geográfica mucho mayor. Por ejemplo, las víctimas de esta ocasión no se localizaban solamente en Rusia y países vecinos, sino también en Argelia, Egipto, Emiratos Árabes Unidos, etc.

Cómo evitar caer en la trampa

Estas estafas están dirigidas a víctimas esperanzadas que no encuentran sospechosa la oferta. Por tanto, nuestra recomendación principal es que no bajes la guardia:

No confíes. Si alguien te promete una indemnización cuantiosa por algo tan trivial como participar en una encuesta, seguro que se trata de una trampa. Y si te piden pagar a cambio de una transferencia, puedes estar doblemente seguro de que se trata de un timo.
Comprueba. Busca en Google la institución para ver si realmente existe; si aparece, comprueba con detenimiento su sitio web. Presta atención a la ortografía: una institución reputada no publicaría un texto plagado de faltas y errores.
Utiliza fuentes de confianza. Si te preocupa la seguridad de los datos, en particular las contraseñas, puedes verificar si se han visto comprometidas por una filtración en haveibeenpwned.com. El sitio es una creación de Troy Hunt, experto en seguridad informática; este recurso de búsqueda de vulnerabilidades de datos proporciona la información más actualizada acerca de filtraciones.
Protégete. Utiliza una solución de antivirus de confianza con protección contra el phishing y el fraude online, como Kaspersky Internet Security.

¿Son de fiar las firmas digitales de los archivos PDF?

Los investigadores intentan modificar los contenidos de un archivo PDF firmado sin anular la firma.

Privacidad y niños

Indemnización por la filtración de datos personales, ¿real o estafa online?

Sorpresa de la Comisión de Comercio de EE. UU.

La compra de un NSS temporal

¿Se están internacionalizando los cibercriminales rusos?

Cómo evitar caer en la trampa

¿Jefe o estafador? Estafa disfrazada como pedidos de tu jefe

Matanza de cerdos: fraude con criptomonedas a gran escala

¿Son de fiar las firmas digitales de los archivos PDF?

Consejos

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Nueve hábitos online que deberías cambiar

6 consejos para conseguir trabajo en la industria de la ciberseguridad (y tener éxito)

Suscríbete para recibir nuevas publicaciones en tu buzón

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia