Un nuevo tipo de estafa piramidal pide a usuarios que se suscriban a una plataforma para trabajar en nombre de Amazon, Mercado Libre y Shopify, entre otros. Bajo la promesa de ganar “dinero fácil dedicando unos pocos minutos al día”, la empresa de ciberseguridad ESET detectó una campaña con métodos ya conocidos, pero nuevo ropaje.
“Durante 2022, y también en lo que va de 2023, el equipo de investigación de ESET recibió varios reportes de usuarios en América Latina que fueron estafados bajo una app de empleo fraudulenta llamada JobGuy, que incluso llegó a estar disponible en Google Play”, explicó la compañía de seguridad informática en un comunicado. La aplicación ya fue retirada de la tienda de Google por fraudulenta.
Las estafas piramidales tuvieron un crecimiento exponencial durante los últimos años, con el caso de Generación Zoe como la más conocida a la cabeza. Sin embargo, hay una gran cantidad de campañas que apuntan a robar datos personales de usuarios, o bien de convencerlos de gastar su dinero en presuntas inversiones que no son tales, sino que operan bajo el esquema ponzi: el dinero no sale de ganancias legítimas sino de las propias inversiones de los engañados.
Acá, cómo opera esta nueva campaña detectada por ESET y qué prevenciones tomar para estar atentos.
Dinero fácil, un oxímoron
La puerta de entrada para “baitear”, esto es, atraer usuarios, suelen ser las redes sociales Instagram y TikTok, o incluso vía mensajes SMS. Estos anuncios suelen derivar a cuentas de WhatsApp o Telegram, donde las potenciales víctimas establecen contacto con un representante que explica en qué consiste el trabajo y cómo comenzar a ganar dinero.
El elemento central de este tipo de estafas es casi siempre el mismo: aunque inverosímil, la idea de hacer dinero con poco esfuerzo siempre está presente. “La lógica fraudulenta se basa principalmente en la ingeniería social tratando de ofrecer un servicio o empleo lo suficientemente atractivo para la víctima prometiendo dinero fácil con poco esfuerzo”, explica a Clarín Ernesto Bernal, analista de ciberseguridad.
Esto se debe a un refinamiento en las técnicas de engaño: “Hace unos años el phishing era ‘asíncrono’: en una primera etapa, se enviaban en forma indiscriminada correos phishing a miles de víctimas simulando una web conocida, donde luego víctima ponía sus datos, en una segunda etapa los datos eran cargados o probados por el defraudador, para luego en otra etapa pasar a defraudar al cliente de un banco o tienda online”, explica.
“Ahora los ataques de phishing son ‘sincrónicos con el defraudador online’: una vez que la víctima cae en el sitio de phishing automáticamente el defraudador opera sobre la cuenta de la víctima”, advierte el experto.
Eso es precisamente lo que sucede con esta estafa detectada por ESET: primero, piden registrarse en una plataforma online. “Luego, los supuestos representantes envían un enlace junto con un código de acceso. Una vez registrados, se encontrarán con un saldo positivo que les permite comenzar a trabajar o ‘enviar pedidos’ y de esta manera empezar a ganar comisiones”, explica ESET en su análisis de la mecánica.
“Al hacer clic en ‘más información’ la víctima abrió un chat de WhatsApp asociado a un número de Marruecos (+212). Tras consultar de qué se trataba el empleo, los estafadores respondieron que eran socios de Amazon y se trata de un programa de afiliados cuyo objetivo es mejorar la clasificación de las ventas y la reputación de productos que se ofrecen en tiendas virtuales”, explica la empresa de seguridad online. Esto mismo fue detectado con Mercado Libre.
El supuesto trabajo consistía en completar tareas como ‘aceptar pedidos’ de productos en distintas plataformas de compras para supuestamente “ayudar a las tiendas online a aumentar las ventas”.
“En este otro caso, se derivó a la víctima a otra cuenta de WhatsApp de código +63, perteneciente a Filipinas. Desde esta segunda cuenta se le envía un enlace a una plataforma junto con un código de registro. Una vez registrada, ingresa su número de teléfono y ‘otros datos personales’ y encuentra un repositorio de productos que debe comprar y luego enviar para comenzar a ganar dinero en forma de comisiones”, cuentan.
El engaño ocurre cuando aparece la parte activa de los estafadores, como advierte Bernal en su descripción sobre cómo están ocurriendo estas estafas en la actualidad.
“Al hacer clic en ‘empiece a ganar dinero’ se accede a un inventario de productos que se pueden ‘comprar’ con el detalle del costo y la comisión (del 20%) que se obtiene por hacer el ‘envío’ del mismo. Gracias al saldo a favor con el que se abre la cuenta, la persona puede comenzar a comprar y enviar productos, pero luego de hacer un par de envíos el saldo se agota y aquí comienza el engaño: el usuario debe realizar un depósito para seguir trabajando”, detalla ESET.
“Si bien al principio los delincuentes permiten retirar las ganancias acumuladas para crear confianza, luego esto cambia. De hecho, la víctima de Argentina nos confirmó que logró retirar el dinero acumulado dos o tres veces para que no desconfíe”, agregan.
“El fraude se basa en hacer creer a las personas que a medida que van cumpliendo con distintas tareas pueden ir escalando de nivel, lo que significa que las comisiones serán mayores, pero también los depósitos.La víctima nos contó que en su caso hizo los depósitos a través de Mercado Pago y envió el comprobante vía WhatsApp al ‘asesor’ que lo estaba guiando en el proceso. Luego se encargan de ingresar el dinero a la plataforma”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
“Así va transcurriendo y a medida que la persona completa las tareas y acumula ganancias la plataforma va solicitando hacer depósitos por sumas de dinero cada vez mayores. Hasta que en un momento dado le indican que subió de categoría y la derivan con otro asesor con otro número de teléfono, pero en Telegram, que solicita datos personales. En un momento el monto de los depósitos aumentó considerablemente y pasó de ser 4.000 a 35.000 pesos. Ya en esta etapa si la víctima no accedía a depositar el dinero no podía retirar las ganancias acumuladas, y es ahí que cae en la cuenta de que era un fraude”, rematan.
Los engaños más comunes y cómo protegerse
En los casos de phishing la modalidad que se viene observando en alza es la de utilizar Google Ads, los famosos anuncios de Google, con lo que logran posicionar en los primeros lugares el sitio falso por sobre el verdadero En los casos de malware (virus) se utiliza la técnica de spear phishing, que serían correos dirigidos a cuentas de empresas o individuos, estas son fácilmente recolectadas por los defraudadores haciendo un poco de «inteligencia» sobre las víctimas, los correos enviados generalmente son de multas, facturas u órdenes judiciales donde se hace uso de nombre de juzgados y jueces reales. Otro caso común es la suplantación de identidad en redes sociales, donde perfiles fraudulentos con un look and feel parecidos a bancos o distintas instituciones se registran para poder captar víctimas, que luego son contactadas por un «asesor». A la hora de prevenir, aconseja:
Nunca entrar a la web de tu banco (o la que estés buscando) pulsando links incluidos en correos electrónicos, mensajes SMS o WhatsApp. Siempre dudar de quien te pide información personal o datos bancarios, ante la duda negarnos y cortar el canal de comunicación. Reportar y denunciar situaciones que nos parezcan extrañas en los canales de atención que nos brindan las entidades bancarias o sitios de compras. Siempre tener habilitada la actualización automática de nuestro sistema operativo y contar con un antivirus reconocido. Quizás el consejo más importante sea no creer nunca en ningún método de “dinero fácil”: a fin de cuentas, si algo es demasiado bueno para ser real, casi seguro no sea real.
SL