El phishing llega a YouTube: cuidado con los mensajes directos

12 Feb 2019

Si estás suscrito a un canal de YouTube con muchos seguidores, es muy probable que te llegue un mensaje supuestamente de tu youtuber favorito.

A simple vista, todo pinta de maravilla. El youtuber te agradece que seas uno de sus seguidores o que dejes comentarios en sus vídeos y te informa de que has sido elegido al azar para participar en un sorteo o que directamente has ganado un valioso premio, un iPhone X o una tarjeta de regalo.

El problema es que el mensaje es falso. Todo forma parte de una nueva estafa que tiene como objetivo a los usuarios de YouTube y ante la cual este famoso sitio todavía no sabe cómo hacer frente.

¿Cómo funciona la estafa contra YouTube?

El esquema es relativamente simple. En primer lugar, los estafadores crean una cuenta en la plataforma y cambian el nombre y la imagen de perfil para asemejarse a un famoso youtuber. Se aprovechan de una de las funciones de YouTube que permite a los usuarios mostrar el nombre de cualquier canal, sin importar el nombre de la cuenta.

Después, los ciberdelincuentes envían solicitudes de amistad en masa, en YouTube se pueden enviar a cualquiera que se encuentre en la plataforma. Ni siquiera necesitan subir contenido a la cuenta falsa para que estas solicitudes parezcan legítimas, pues contienen muy poca información: solo la imagen de perfil y el nombre del canal. Por tanto, muchos aceptan la solicitud sin pensarlo.

El último paso es elaborar y enviar un mensaje directo que resulte convincente.

Muchos de los youtubers más importantes ya cuentan con su doble falso: Marques Brownlee, Philip DeFranco, James Charles, Jeffree Star, Lewis Hilsenteger from Unbox Therapy, Bhad Bhabie, Craig Thompson, Deji (ComedyShortsGamer), Ryland Adams y muchos más.

¿Cuál es el objetivo de esta estafa?

Los estafadores quieren matar dos pájaros de un tiro con un simple mensaje phishing: recopilar información personal y ganar dinero, ya que el mensaje directo incluye el enlace del premio que dirige a una página web fraudulenta en apariencia oficial.

Una vez allí, tienes que introducir tu información de contacto y datos personales (que recopilarán los delincuentes). Pero no queda ahí la cosa, también tendrás que demostrar que no eres un robot con un formulario, también falso, evidentemente.

Si decides rellenar el formulario, serás redirigido a un nuevo sitio, que te llevará a un tercer sitio y así sucesivamente. Así es cómo consiguen el dinero, con el tráfico. Acumulan clics en enlaces referidos a las páginas de destino de organizaciones que les pagan. El problema es que cada vez que haces clic en un enlace, no solo te arriesgas a acabar en un sitio que ofrezca servicios o productos de dudosa reputación, sino que también te expones a un ransomware o a un troyano bancario.

Según han descubierto los investigadores de seguridad, (aunque admiten que sus cifras no muestran el alcance total del problema), la estafa parece haber alcanzado a miles de usuarios de YouTube o puede que más, al menos hasta el punto de visitar una página web falsa.

Cómo protegerte contra el phishing en YouTube

  • Sospecha de las solicitudes de amistad o de los mensajes directos. Primero, verifica que realmente se trate del youtuber en cuestión y, después, comprueba si el canal es oficial. Por último, analiza el contenido con precaución.
  • No introduzcas información personal en los sitios a los que accedas desde enlaces en mensajes de YouTube. Y ten muy presente que, si algo suena demasiado bien para ser verdad, seguramente así lo sea.
  • Utiliza una solución antivirus de confianza para recibir alertas cuando intentes abrir un enlace que lleve a un sitio phishing o a otro tipo de página web maliciosa.