13 Jun 2017

No, no has ganado dos billetes de avión

Noticias Seguridad

No hace mucho, llegó a Facebook una oleada de publicaciones que falsamente aseguraban estar regalando una sospechosa cantidad de billetes de avión por los aniversarios de las aerolíneas. Como condición de la promoción, los participantes tenían que dar me gusta y compartir la web que simulaba otorgar los premios.

Como de costumbre, los usuarios vieron la promesa de conseguir algo gratis y perdieron el norte, por lo que Facebook se inundó con estas publicaciones. Por supuesto, en realidad no existía ningún billete gratuito y las aerolíneas no tenían nada que ver con ello. Veamos que sucedió en realidad.

Como descubrieron nuestros analistas, los enlaces conducían a páginas web como deltagiveaway.com, emiratesnow.us, aeroflot-com.us y similares, según qué aerolínea apareciera para ofertar los billetes. Publicaciones diferentes que mencionaban aerolíneas diferentes y todas parecían estar celebrando su aniversario (una coincidencia demasiado grande).

A primera vista, los enlaces parecían ser legítimos: después de todo, contenían el nombre de una aerolínea. En segundo lugar, podían asaltar algunas dudas; pero ¿quién tiene tiempo de cerciorarse cuando hay billetes gratis en juego? (Alguien podría llevárselos primero).

Cada página web tenía una simple encuesta con tres preguntas: ¿ha sido cliente de la aerolínea?, ¿qué le gusta más de la aerolínea? y ¿quedó satisfecho con la calidad del servicio? Después de que el usuario respondiera las preguntas, se le decía que estaba cerca de conseguir los billetes. Lo único que faltaba era compartir el enlace de la web en una red social, agradecer a la aerolínea y hacer clic en “me gusta”.

Sin embargo, al hacer clic en “me gusta”, se conseguían una serie de resultados no deseados. Por ejemplo, el usuario podía terminar en una web que le solicitaba el número de teléfono. Si este no se daba cuenta de que había accedido a otra página web totalmente diferente, introducía el número y hacía clic en “confirmar”, se suscribía a un servicio de SMS Premium. Es más, si accedía a la web desde un teléfono móvil, no se requería ninguna confirmación para realizar la suscripción, lo que significa que el usuario no tenía por qué notar nada extraño. Finalmente, tras ello, el usuario se daba cuenta de que no había ganado ningún billete.

El ardid variaba según el país. Por ejemplo, un usuario podía no ser redirigido a un servicio de suscripción móvil, sino a páginas web con anuncios (meros intentos para incrementar el tráfico). El usuario también podía toparse con sugerencias para descargar aplicaciones (sin relación alguna con las aerolíneas). O los enlaces podían conducir a otra web de estafas. Pero en ninguno de los casos se ofertaban de verdad los billetes.

A pesar de la obviedad, resultó ser muy efectivo: miles de personas hicieron publicaciones similares con los enlaces en sus muros. Y mordieron el anzuelo al suscribirse a contenido o al descargar las aplicaciones. ¿Qué instalaban en realidad estos usuarios? Entre otras cosas, extensiones maliciosas para navegadores con permisos para leer toda la información de los mismos (incluidos los datos de inicio de sesión y los números de las tarjetas de crédito).

Así pues, los usuarios terminaron compartiendo en masa estafas para suscripciones de pago o malware en las redes sociales con la esperanza de conseguir unos billetes de avión gratuitos. Al final, nadie ganó nada y el número de personas estafadas e infectadas ha aumentado considerablemente. Este escándalo sigue en curso y seguramente veamos nuevas estafas que prometan más cosas gratis. ¿Cómo puedes evitar ser víctima y arrastrar a tus amigos contigo?

  1. Recuerda que son inexistentes al menos el 99 % de este tipo de ofertas. Hay excepciones, claro, en que los premios son razonables. Pero si te ofrecen un coche gratis así porque sí o te dicen que regalan miles de billetes de avión, no tienes razones para creértelo. El único modo de ganar es no participar.
  2. Presta particularmente atención a los enlaces de cualquier web en la que te pidan datos personales. ¿Es en realidad la página web en la que debías introducir tu página web o es una web de phishing? Para saber más sobre cómo reconocer el phishing y protegerte de él, lee el siguiente artículo del blog.
  3. No compartas indiscriminadamente. Ten en cuenta las normas de oro para un comportamiento responsable en redes sociales (tus amigos te lo agradecerán).

Instala soluciones antivirus de confianza en todos tus dispositivos. Una buena protección evitará que instales extensiones maliciosas de navegador en tu ordenador y te advertirá si vas a acceder a una página web de phishing.