“Alertamos sobre diversos ejemplos que circulan por WhatsApp para poder identificarlas, comprender las estrategias que utilizan los actores maliciosos en este tipo de estafas, y evitar así convertirse en una nueva víctima”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Dentro de las entidades a quienes más se le utiliza su nombre o imagen para realizar engaños, debido a su gran popularidad o prestigio, se encuentran tiendas en línea, compañías reclutadoras de empleo, aplicaciones y redes sociales. A continuación ESET menciona y resume algunos ejemplos principales o relevantes:

Ejemplos de engaño con tiendas online

• Amazon: Se identificó un ejemplo de cómo una supuesta recepcionista de la mundialmente conocida empresa Amazon contacta a una persona, sin saber siquiera su nombre, para que comience a trabajar mediante un formato de comisiones.
• Mercado Libre: El nombre de esta compañía es muy utilizado para generar interés en sus posibles víctimas, con salarios altos y bajos esfuerzos. En los casos identificados, la supuesta reclutadora busca generar confianza acreditando su vínculo con la marca mediante un supuesto código de empleada y una foto de la credencial. Un aspecto muy común en este tipo de estafas es que los requisitos de contratación para el supuesto trabajo son realmente mínimos. Otro ejemplo que también se vale de Mercado Libre para generar interés, es el supuesto Gerente de Atención al Cliente que detalla las tareas que la víctima debería desempeñar.
• Temu: Se identificaron engaños con distintas características. En este caso el supuesto reclutador pide un ingreso inicial de un dinero por parte de la víctima y, por otro lado, el mensaje recibido, supuestamente de un “reclutador” contiene un enlace a una plataforma para comenzar a trabajar. En ambos casos, desde ESET observan cómo Temu vuelve a ser la excusa elegida aprovechándose de su popularidad creciente.
• Shein: La plataforma de ventas por internet presente en 150 países del mundo también es utilizada para realizar engaños con una fórmula conocida, el trabajo de medio tiempo y altos ingresos. Como es habitual en estos engaños, el sistema de supuestas recompensas por comisiones vuelve a hacerse presente. Esta vez, bajo la promesa de trabajar para Shein.
• Berksha: Esta cadena de indumentaria y moda, cuyas oficinas centrales se encuentra en España, también es utilizada como señuelo. En el ejemplo identificado, llamó la atención del equipo de ESET, por ejemplo, que los mensajes figuren como Reenviado.

Ejemplos de engaño con aplicaciones y redes

• Facebook: En este caso el nombre de la compañía es utilizado para llamar la atención de posibles víctimas. La recompensa salarial es muy sustanciosa, mientras que los requisitos para desempeñar la tarea son nulos.
• Tik Tok: Este ejemplo se vale de la reconocida red social y de presuntas ganancias importantes, para llamar la atención de sus víctimas. El supuesto trabajo implica la simple tarea de seguir a algunas marcas en específico.
• YouTube: En este caso también se utiliza una marca de renombre para ofrecer ofertas de trabajo tentadoras, con buena paga y que en teoría solo requieren de un clic.
• Google Maps: El engaño busca generar interés con un supuesto trabajo de medio tiempo en Google Maps, prometiendo dinero fácil desde un dispositivo móvil, dedicando pocos minutos al día.

Ejemplos de engaño con reclutadoras de empleo

• SnagaJob: Se identificaron dos ejemplos donde el estafador se hace pasar por la reconocida reclutadora de empleo, con la promesa de un trabajo simple que representará ganancias sustanciales, o como señuelo para difundir una supuesta propuesta de trabajar para aumentar las visualizaciones de perfiles en redes sociales de «celebridades».
• ZipRecruiter: Aquí vemos como la empresa de empleo en línea líder en el mercado también es utilizada para intentos de estafa, la cual promete un empleo de medio tiempo y altas ganancias.

“Conocer estos ejemplos es muy útil para estar al tanto de las nuevas estrategias que llevan a cabo los delincuentes o cibercriminales a la hora de encontrar nuevas víctimas. A su vez, prestar atención a las diversas alarmas que suelen ser identificables en este tipo de mensajes con supuestas ofertas laborales también es muy importante. Más teniendo en cuenta que habitualmente las grandes marcas y organizaciones no suelen contactarse por WhatsApp para acercar sus propuestas laborales. Y como siempre, la regla de oro que aplica ante este tipo de mensajes: si es demasiado bueno para ser verdad, probablemente no lo sea”, concluye Camilo Gutiérrez Amaya de ESET Latinoamérica.

Coordenadas de contacto con ESET en Venezuela: https://www.eset.com/ve/. También sus redes sociales: Instagram (@esetla) y Facebook: (ESET)

DOBLE LLAVE

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos

“Nuestras vidas transcurren cada vez más en el mundo digital y, aunque esto conlleva una serie de ventajas, también nos expone a la amenaza del robo de datos. Ya se trate de información personal, médica o financiera sensible, cualquier cosa que caiga en manos equivocadas podría ser utilizada en un fraude posterior o incluso en un chantaje. Debemos compartir de forma segura los archivos más confidenciales, evitarnos el estrés, las pérdidas económicas y, potencialmente, el tiempo y el esfuerzo necesarios para reponerse después de un incidente de datos importante”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las violaciones de datos son frecuentes. Más del 94% de las violaciones de datos en 2023 tuvieron una motivación económica, y más del 70% fueron cometidas por grupos de delincuencia organizada, según datos recopilados por Verizon. Si bien, según ESET, es común que los ciberdelincuentes ataquen en masa a las organizaciones que guardan datos, también son comunes los ataques de phishing a individuos.

Algunos de los métodos de trasferencia más comunes y sus problemáticas

• FTP: El Protocolo de Transferencia de Archivos (FTP) se creó específicamente para compartir archivos, pero carece de cifrado incorporado (a menos que se utilice su forma segura conocida como FTPS o una alternativa segura al FTP conocida como SFTP) y puede requerir una configuración compleja que solo las empresas y las personas con conocimientos de tecnología pueden soportar.
• P2P: El sistema P2P (Peer-to-peer), que elimina al intermediario, puede funcionar para compartir determinados archivos, pero, en ausencia de otras precauciones, no suele ser la mejor opción para compartir documentos confidenciales.
• Archivos adjuntos al correo electrónico: Se suele considerar que es la mejor forma de enviar archivos confidenciales, pero los proveedores no necesariamente protegen (cifran) el mensaje una vez que llega al destinatario. Un servicio probado que ofrezca correo electrónico cifrado de extremo a extremo suele ser una mejor opción en muchos casos, pero también hay otras opciones.

El almacenamiento cifrado de extremo a extremo de archivos en la nube es la mejor opción para la mayoría de los usuarios. Si se toman las precauciones adecuadas, se puede disponer de un almacenamiento seguro en la nube. Se puede invitar a usuarios seleccionados a ver los archivos proporcionando un enlace de descarga de tiempo limitado, y permite actualizar los archivos mientras están en uso y que todos vean la misma copia. Sin embargo, no todas las soluciones son iguales, y puede que se tengan que tomar medidas adicionales para mitigar los problemas más graves de seguridad, privacidad y experiencia de usuario.

Los 7 consejos principales de ESET respecto a compartir en línea archivos confidenciales

1. Elegir el cifrado de extremo a extremo (E2EE): Dado que los secretos se codifican en el origen y se descifran en el destino previsto (y permanecen cifrados mientras se almacenan), E2EE es ideal para el intercambio de datos de dispositivo a dispositivo. Esto cubre el cifrado en reposo y en tránsito, e incluso si el proveedor es objetivo de ciberdelincuentes, los datos no saldrán a la luz. Además de los proveedores de intercambio de archivos en la nube E2EE, también existen servicios de correo electrónico E2EE, aunque hay límites de tamaño para los archivos.
2. Optar por un proveedor centrado en la seguridad y la privacidad: Hay muchas ofertas en el mercado, por lo que es importante investigar de antemano para asegurarse de que el proveedor sea el adecuado. Leer las políticas de privacidad y entender cómo se protegen los datos.
3. Recordar los controles de acceso: Para mejorar aún más la seguridad, asegurarse de que los archivos están protegidos por contraseña con credenciales sólidas y únicas, para mantenerlos a salvo de miradas indiscretas. Y activar la autenticación de dos factores o doble llave (2FA) para proteger aún más la cuenta frente al phishing y otros ataques. Establecer un enlace compartido para que quienes dispongan de él puedan acceder a los archivos.
4. Enlaces de tiempo limitado: Al establecer un tiempo de caducidad en los enlaces de descarga que se envíen a un destinatario, se puede minimizar el riesgo de acceso no autorizado a los archivos. Para mayor protección, algunos proveedores también le permiten eliminar archivos a distancia o revocar el acceso una vez descargados.
5. Utilizar una VPN en redes Wi-Fi públicas: Si es posible, no acceder a ninguna cuenta sensible cuando se esté conectado a una red Wi-Fi pública potencialmente insegura. Si no se tiene más remedio, utilizar una VPN de confianza para codificar el tráfico.
6. Revisar los límites de tamaños de archivos: De modo de asegurarse de que se podrán enviar los archivos del tamaño que se requiere de forma rápida y fácil.
7. Utilizar software de seguridad: se debes tratar con precaución cualquier enlace entrante a sitios de intercambio de archivos, aunque parezcan legítimos. El software de seguridad escaneará los enlaces o archivos descargados en busca de malware, y mantendrá el propio equipo a salvo de ataques diseñados para secuestrar o espiar las comunicaciones.

“Todos tenemos diferentes niveles de tolerancia a los riesgos para la seguridad y la privacidad. Pero si se siguen estos consejos, se podrá elegir el servicio que mejor se adapte a tus necesidades de intercambio de archivos.”, concluye Gutiérrez Amaya de ESET Latinoamérica.

Para conocer más sobre seguridad informática pueden visitarse las diferentes cuentas en redes sociales de ESET:

@ESETLA –  /compay/eset-latinoamerica  –  /esetla  –  /ESETLA   –  /@esetla

De interés: Experto Rafael Núñez recomienda estas claves para proteger las contraseñas

DOBLE LLAVE

Con información e imagen suministrada por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos