Ofrecen en WhatsApp premios por un falso aniversario de YPF y roban datos: cuatro tips para evitar caer en estos engaños

Un nuevo engaño de ingeniería social circula por WhatsApp con el fin de robar datos. El mismo consiste en suplantar la identidad de YPF y hacerle creer a los usuarios que la petrolera celebra su aniversario con sorteos y premios de hasta $ 30.000.

En diálogo con Infobae, fuentes de YPF comentaron este martes que en cuanto detectaron la campaña rápidamente utilizaron todos los medios de comunicación (redes sociales y mailing) y canales de la empresa para difundir y alertar sobre la falsa campaña.

“Esa información también la compartimos con los periodistas, para que nos ayuden a difundir que es una campaña falsa. Y obviamente pusimos a disposición todos los canales que tenemos para atender la demanda y reclamos. Pero hasta ahora no tuvimos ningún reclamo puntual hacia la compañía por haber sido víctimas”, indicaron desde la petrolera de mayoría accionaria estatal.

Desde ESET, compañía de seguridad informática, el último lunes advirtieron sobre esta campaña, explicaron cómo es el operativo paso a paso y a su vez compartieron cuatro recomendaciones para evitar caer en estos engaños.

En el primer contacto con el engaño, el usuario recibe un mensaje sobre el supuesto aniversario número 100 de la empresa. Pese a que en algunas ocasiones el idioma del mensaje no se corresponde con el del usuario, la notificación puede provenir de algún contacto de la víctima, lo cual genera una falsa sensación de confianza.

Además del mensaje en inglés, se pueden observar otros indicadores de un clásico engaño de ingeniería social como la promesa de regalos y una página web que no está relacionada con el sitio oficial de la compañía.

“En el sitio fraudulento se hace referencia a la compañía con imágenes, logos y colores, así como comentarios de falsos ganadores, para hacerlo más creíble a ojos de las víctimas”, subrayó la firma líder en detección proactiva de amenazas.

“Para participar por el supuesto premio -continuó-, la víctima debe responder un cuestionario con preguntas de poca relevancia, como su edad o su opinión sobre la compañía suplantada”. Al finalizar el cuestionario, el sitio nuevamente redirige al usuario para descubrir su premio con un falso juego de azar que, sin importar qué se seleccione, hará que la víctima siempre gane el premio final de $ 30.000.

Para recibir el premio, el usuario necesariamente tiene que enviar el mensaje por WhatsApp a contactos o grupos. Sin embargo, este no es más que la propagación del engaño.

Por último, y una vez propagada la campaña maliciosa, la página redirige a la víctima a sitios de publicidad. “Estos no solo no tienen referencia al falso premio supuestamente ganado, sino que publicitan aplicaciones o sitios de dudosa procedencia, lo cual puede desencadenar otro ataque de aún mayor calibre, como una infección por software malicioso”, alertaron desde ESET.

A través de sus redes sociales, YPF advirtió que estaba circulando este engaño e hicieron hincapié en que los concursos que llevan adelante desde la compañía siempre los anuncian por sus canales oficiales.

“Se está realizando un concurso falso con motivo de los 100 años a través de un link y una serie de preguntas. Si te llega, no brindes ningún dato y denunciá. Podés avisarnos al 0800 1222 YPF (973). Los concursos que realizamos son publicados siempre en los canales oficiales”, indicó la petrolera mediante su cuenta de Twitter el pasado 19 de enero.

A la semana siguiente la firma volvió a resaltar que el concurso falso sigue circulando y recordó nunca brindar datos a páginas y canales no oficiales o verificados, y denunciar.

“El mismo día que salió la campaña nosotros lanzamos la advertencia, por el monitoreo que tenemos esas campañas se detectan en el momento”, explicaron fuentes de YPF en declaraciones a este medio. Y en esa línea, señalaron: “Nunca solicitamos ese tipo de información para realizar sorteos ni realizamos ese tipo de sorteos. Y las campañas son siempre nacionales, no exclusivamente en Capital Federal”.

No es la primera vez que este tipo de engaños circula -y menos de forma masiva-, suplantando a compañías reconocidas. “Campañas similares recorren el mundo, utilizando todo tipo de excusas y aprovechando situaciones como la crisis económica provocada por la pandemia”, puntualizó la investigadora de Seguridad Informática de ESET Latinoamérica, Martina López.

Cuatro recomendaciones para evitar caer en estos engaños, según ESET:

1) Ante la recepción de este tipo de mensajes, estar alerta por la posibilidad de que se trate de un engaño incluso si proviene de un contacto o conocido ya que puede haber sido engañado también.

2) Siempre sospechar de una oferta o un regalo demasiado buena para ser verdad. Ganancias en dinero, viajes, descuentos increíbles, electrónicos y más. Esta es una estrategia que utilizan los cibercriminales para captar más aún la atención de futuras víctimas.

3) Se debe considerar el medio de recepción del mensaje y su masividad; y como usuarios cuestionarse: “¿esta compañía tiene registro de mi número de celular (o usuario) como cliente, para ofrecerme un regalo? ¿El medio por el cual recibí el mensaje, es una vía por la cual la compañía se suele comunicar? ¿Es redituable para la compañía hacer este tipo de regalos masivos?”. Si alguna de estas respuestas genera dudas sobre la veracidad de la campaña, es mejor no acceder a la misma.

4) Tener una solución de seguridad instalada en los dispositivos móviles advertirá de sitios maliciosos y descargas fraudulentas, así como también protegerá frente a piezas de software malicioso, en el caso de haber caído en el engaño.

SEGUIR LEYENDO