{"id":20898,"date":"2020-01-16T14:47:57","date_gmt":"2020-01-16T12:47:57","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=20898"},"modified":"2020-01-16T14:47:57","modified_gmt":"2020-01-16T12:47:57","slug":"data-leak-compensation-scam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/data-leak-compensation-scam\/20898\/","title":{"rendered":"Indemnizaci\u00f3n por la filtraci\u00f3n de datos personales, \u00bfreal o estafa online?"},"content":{"rendered":"

Las noticias se hacen eco de todo tipo de filtraciones de datos<\/a> y, \u00faltimamente, tambi\u00e9n de las multas que se imponen a las empresas responsables, algunas de las cuales alcanzan miles de millones<\/a> . Si las empresas tienen que pagar por las filtraciones de datos, ese dinero se destinar\u00e1 a las v\u00edctimas, \u00bfno?<\/p>\n

Sorpresa de la Comisi\u00f3n de Comercio de EE. UU.<\/h3>\n

Un sitio web llam\u00f3 nuestra atenci\u00f3n hace poco. En apariencia propiedad del Fondo para la Protecci\u00f3n de Datos Personales, la p\u00e1gina web principal se\u00f1ala que la \u201cComisi\u00f3n de Comercio de los EE.UU.\u201d es la creadora de dicho fondo.<\/p>\n

A simple vista, el sitio parece leg\u00edtimo y, con un dise\u00f1o sobrio, muestra una gran suma de dinero a la derecha. Un banner<\/em> en la parte superior de la p\u00e1gina anuncia que el fondo indemniza a las v\u00edctimas de filtraciones de datos personales y que podr\u00e1n solicitarlo ciudadanos de todas las nacionalidades.<\/p>\n

\"\"

La Comisi\u00f3n de Comercio de los EE. UU. ofrece indemnizaciones por las filtraciones de datos<\/p><\/div>\n

Para los interesados, el sitio se ofrece a comprobar si alguna vez se ha producido una filtraci\u00f3n de tus datos personales. Para ello, tienes que indicar tu nombre, apellidos, n\u00famero de tel\u00e9fono y cuentas de redes sociales. Sobre el formulario, se advierte que introducir los datos de otra persona se castigar\u00e1 severamente.<\/p>\n

\"\"

Para conocer la cantidad de dinero a la que tienes derecho, primero debes proporcionar informaci\u00f3n personal<\/p><\/div>\n

No obstante, resulta que el sitio web acepta cualquier tipo de informaci\u00f3n, incluso jerga sin sentido. Por ejemplo, hemos buscado los datos personales de un ciudadano llamado fghfgh fghfgh. El sitio tardaba un poco en procesar, en apariencia conect\u00e1ndose con bases de datos sobre filtraciones\u2026<\/p>\n

\"\"

El sitio supuestamente busca informaci\u00f3n sobre las filtraciones.<\/p><\/div>\n

Y qui\u00e9n lo iba a decir: los datos de nuestro personaje ficticio con nombre impronunciable s\u00ed se hab\u00edan filtrado. Es m\u00e1s, alguien hab\u00eda usado sus fotos, v\u00eddeos e informaci\u00f3n de contacto, por lo que fghfgh ten\u00eda derecho a una indemnizaci\u00f3n superior a los 2.500 d\u00f3lares.<\/p>\n

\"\"

El sitio encontr\u00f3 informaci\u00f3n sobre la filtraci\u00f3n y calcul\u00f3 la cantidad de la indemnizaci\u00f3n<\/p><\/div>\n

La compra de un NSS temporal<\/h3>\n

Uno podr\u00eda pensar que basta con indicar el n\u00famero de tarjeta bancaria y esperar a que el pago se abone. Pero no es as\u00ed. El fondo de caridad no puede enviar el dinero sin el NSS (n\u00famero de seguridad social), un n\u00famero de nueve d\u00edgitos que se expide a los ciudadanos de EE.UU., as\u00ed como a residentes permanentes y trabajadores con visado temporal.<\/p>\n

Este n\u00famero \u00fanico se usa para casi todo en EE. UU.: pagar impuestos, solicitar un trabajo, alquilar una casa, etc.<\/p>\n

Pero si no tienes, no sufras: puedes marcar la casilla \u201cI\u2019m don\u2019t have SSN\u201d (\u201cNo tengo NSS\u201d, en un ingl\u00e9s incorrecto, por lo que la gram\u00e1tica inglesa no parece ser el punto fuerte de los estafadores).<\/p>\n

\"\"

Formulario para ingresar el n\u00famero de tarjeta y el NSS<\/p><\/div>\n

Para evitar el problema del NSS, el sitio se propone venderte uno temporal. En comparaci\u00f3n con la cantidad de la indemnizaci\u00f3n que aparece en la pantalla por la filtraci\u00f3n de datos personales, los 9 d\u00f3lares que cuesta no son nada.<\/p>\n

\"\"

Los estafadores ofrecen un NSS temporal por un m\u00f3dico precio<\/p><\/div>\n

Si intentas completar la transferencia sin comprar un NSS, el sitio dar\u00e1 error y exigir\u00e1 un n\u00famero temporal. Y si de causalidad introduces un NSS v\u00e1lido en el formulario fraudulento, aun as\u00ed, te pedir\u00e1n que adquieras un n\u00famero temporal.<\/p>\n

\"\"

El sitio da error si el usuario intenta completar la transferencia sin un NSS temporal<\/p><\/div>\n

Los que deciden adquirir un NSS temporal son redirigidos a un formulario de pago. Si lo haces desde una direcci\u00f3n IP rusa, el formulario de pago aparece en ruso y el precio de compra se indica en rublos. \u00a1Qu\u00e9 extra\u00f1o! \u00bfPor qu\u00e9 un organismo p\u00fablico de EE. UU. iba a exigir el pago en una moneda extranjera?<\/p>\n

\"\"

Formulario de pago del NSS temporal en ruso<\/p><\/div>\n

Es probable que los residentes de otros pa\u00edses se vean redirigidos a un formulario en ingl\u00e9s menos sospechoso y que solicita el pago en d\u00f3lares.<\/p>\n

\"\"

Formulario de pago del NSS temporal en ingl\u00e9s<\/p><\/div>\n

\u00bfSe est\u00e1n internacionalizando los cibercriminales rusos?<\/h3>\n

Evidentemente se trata de una estafa. El Fondo de Protecci\u00f3n de Datos Personales no existe, como tampoco la Comisi\u00f3n de Comercio de EE. UU., como ya habr\u00e1s supuesto. Al parecer, el nombre de la instituci\u00f3n real por la que los cibercriminales intentan hacerse pasar es la Comisi\u00f3n Federal de Comercio, pero la CFC no paga indemnizaciones por filtraciones de datos de forma indiscriminada.<\/p>\n

Es muy probable que los propios estafadores hablen ruso, como lo sugiere el formulario de pago en ese idioma, adem\u00e1s de la sospechosa similitud del fraude con otras ofertas de dinero f\u00e1cil que a menudo tientan a los habitantes de Rusia y la CEI.<\/p>\n

El cebo suele variar:\u00a0 regalos<\/a>, encuestas<\/a>, fondos de ahorro secretos<\/a> e incluso un empleo a jornada parcial como taxista<\/a>. Pero todos estos fraudes suelen estar en ruso (al igual que los enlaces anteriores); la estrategia siempre es la misma: la atractiva promesa de dinero f\u00e1cil, seguida de la petici\u00f3n de pago por un servicio barato, ya sea una comisi\u00f3n, una \u201cgarant\u00eda\u201d de pago o un NSS temporal.<\/p>\n

El esquema actual de esta estafa online<\/em> utiliza los mismos sistemas de pago que los anteriores. Tambi\u00e9n deja un rastro familiar que recuerda a los ciberdelincuentes rusos, la \u00fanica diferencia con la estafa de la indemnizaci\u00f3n es que se da una escala geogr\u00e1fica mucho mayor. Por ejemplo, las v\u00edctimas de esta ocasi\u00f3n no se localizaban solamente en Rusia y pa\u00edses vecinos, sino tambi\u00e9n en Argelia, Egipto, Emiratos \u00c1rabes Unidos, etc.<\/p>\n

C\u00f3mo evitar caer en la trampa<\/h3>\n

Estas estafas est\u00e1n dirigidas a v\u00edctimas esperanzadas que no encuentran sospechosa la oferta. Por tanto, nuestra recomendaci\u00f3n principal es que no bajes la guardia:<\/p>\n