Cuidado con esta falsa publicidad navideña

Por Jonnathan Pulla de Factchequeado

Circula en Messenger y WhatsApp una falsa publicidad navideña con enlaces a unas páginas con el logo y los colores de la cadena de hipermercados Costco. Estas páginas, en inglés, prometen que al completar un cuestionario de 4 preguntas los usuarios tendrán la oportunidad de ganar $3,000 dólares (escrito como “3000Dollar”). Las páginas incluyen imágenes y comentarios en la parte inferior que afirman que se trata de algo legítimo, pero no es así.

La publicidad presenta una imagen con regalos (uno de ellos es una bolsa con el texto “#CYBER MONDAY”), la frase “Merry Christmas 2024 (Feliz Navidad 2024, en español), un árbol de Navidad, y el texto “Congratulations! Costco-Christmas Gifts ”.

Sin embargo, desde Costco informaron a Factchequeado que es falso que la empresa esté relacionada con esta página o que ofrezca la posibilidad de ganar $3,000 a cambio de responder un cuestionario. Además, las URL de las páginas con el supuesto cuestionario, no incluye el nombre del sitio oficial Costco.com. Herramientas de verificación de URL (aquí, aquí y aquí) indican que estas páginas buscan obtener tu información personal y sería un nuevo caso de phishing.

Un vocero de Costco explicó a Factchequeado a través de correo electrónico que la cadena de hipermercados “no está afiliada de ninguna manera a esta organización o iniciativa y no ha dado permiso de utilizar los logos o marcas de Costco. Estamos iniciando el retiro del sitio y le agradecemos que nos lo hayan comunicado. Tenemos un proveedor de servicios que busca específicamente este tipo de sitios. Un gran porcentaje se retira antes de que se produzcan daños, pero algunos, como este, permanecen activos durante un tiempo”. 

El vocero también aclaró que la compañía “no realiza encuestas (surveys) ni/o sorteos (giveaways)”.

Un análisis de las URLs de las páginas vinculadas a la publicidad en Google Transparency Report, una herramienta de Google que detecta sitios no seguros, indica que presentan “contenido dañino, como páginas que: tratan de engañar a los visitantes para que compartan información personal o descarguen software”. Además, análisis de las páginas en Virus Total, otra herramienta de verificación de URL, las detectan directamente como “phishing”. Según la Comisión Federal de Comercio (FTC, por sus siglas en inglés), el phishing es una técnica utilizada por estafadores para obtener tu información personal o financiera, 

Lorrie Cranor, directora de CyLab Security and Privacy Institute de la Universidad Carnegie Mellon, explicó a Factchequeado a través de correo electrónico que ”este tipo de sitios aparecen continuamente”.

“En el mejor de los casos”, explicó Cranor, “interactuar con estos sitios es una pérdida de tiempo, ya que en realidad no vas a ganar un premio u obtener cosas gratis”. Sin embargo, algunas de estas páginas “recopilan información personal que pueden utilizarse para ponerse en contacto contigo y enviarte otras estafas, o podría ser útil para entrar en tus cuentas”. Podrían decirte que “has ganado”, pero que debes enviar información financiera o incluso pagar dinero para cobrar tu supuesto premio, agregó.

Un reporte del Grupo de Trabajo Anti-Phishing (APWG, por sus siglas en inglés), que se describe como “una coalición internacional de personal de respuesta a la lucha contra el cibercrimen” cuyos “directores, gerentes e investigadores asesoran a los gobiernos nacionales y subnacionales (como las Naciones Unidas)”, indica que los miembros de la organización (entidades internacionales) y el público en general que voluntariamente informaron ataques de phishing, reportaron unos 932,923 casos en el tercer trimestre de 2024 (julio, agosto y septiembre), cifra superior al 877,536 registrado en el segundo trimestre de 2024. 

Cranor enfatizó que, aunque no conoce específicamente los objetivos de este scam, recomienda cambiar las contraseñas personales si se han compartido con sitios sospechosos. También aconsejó contactar al banco o emisor de la tarjeta de crédito, si se compartieron estos datos.

¿Cómo funciona el scam?

Desde Factchequeado ingresamos en los enlaces a través de Browser.lol, una herramienta que permite una conexión cifrada y segura entre un usuario y el navegador. Allí encontramos que después de responder el supuesto cuestionario aparece un mensaje que dice, en inglés: “¡Felicidades! ¡Tu respuesta se ha guardado correctamente! Tienes la oportunidad de ganar regalos. Debes seleccionar la caja correcta con tu premio dentro. Tienes 3 intentos”. 

Posteriormente aparecen 9 cajas de regalo con rayas verticales de color blanco, rojas y rosa, envueltas con lazos rojos. En el primer intento seleccionamos la caja del centro y nos apareció un mensaje en inglés que dice: “Desafortunadamente… Lo sentimos, la casilla que ha seleccionado está vacía. Aún tiene 2 oportunidades. Buena suerte”. 

En nuestro segundo intento seleccionamos la caja en la parte superior izquierda y apareció un mensaje en inglés que dice: “¡Felicidades! ¡Lo ha conseguido! Has ganado 2000 euros.

*** LAS REGLAS *** 1. Debes informar a 5 grupos o 20 amigos sobre nuestras promociones. 2. Introduce tu dirección y completa el registro. 3. Los regalos se entregarán en un plazo de 5-7 días y la opción “OK”. Al hacer clic en “OK”, aparece un mensaje que nos pide “compartir” esta supuesta promoción en Messenger y WhatsApp con “5 grupos/20 amigos” en las aplicaciones de Messenger y WhatsApp para poder reclamar el premio. 

Cómo protegerte del phishing y cómo reportarlo

La FTC recomienda las siguientes medidas para protegerte de ataques de phishing:

1. Protege tu computadora usando un programa de seguridad (security software). Puedes configurar este programa para que se actualice automáticamente para que pueda tratar cualquier amenaza grave.
2. Protege tu teléfono celular configurando el software para que se actualice automáticamente.
3. Usa un sistema de autenticación de múltiples factores (como Google Authenticator, Microsoft Authenticator y Duo), que se utiliza para confirmar la identidad del usuario como una contraseña o PIN . Tener un autenticador de dos factores es como tener dos cerraduras. Aunque un pirata informático conozca tu nombre de usuario y contraseña, no podrá conectarse a tu cuenta sin la segunda credencial o factor de autenticación.
4. Realiza copias de seguridad en un disco o dispositivo externo en la nube (programas de almacenamiento accesibles a través del internet). También puedes hacer copias de seguridad de los datos de tu teléfono. 

Si crees que tu información cayó en las manos equivocadas, como número de Seguro Social, tarjeta de crédito o número de cuentas bancarias, visita RobodeIdentidad.gov del FTC para obtener los pasos específicos a seguir en base a la información comprometida. 

Si recibiste un email de phishing, puedes reenviarlo al APWG al reportphishing@apwg.org; si recibiste un mensaje de texto de tipo phishing, reenvíalo a SPAM (7726); y puedes reportar los intentos de phishing en ReporteFraude.ftc.gov.

Factchequeado es un medio de verificación que construye una comunidad hispanohablante para contrarrestar la desinformación en Estados Unidos. ¿Quieres ser parte? Súmate y verifica los contenidos que recibes enviándolos a nuestro WhatsApp +16468736087 o a factchequeado.com/whatsapp.

Lee también:

Por qué los ataques de ‘phishing’ pueden incluir tu nombre: los ciberdelincuentes obtienen bases de datos personales de los usuarios

Cuidado con las empresas que ofrecen desde el extranjero o por correo electrónico un trabajo en Estados Unidos: puede ser una estafa

Cuidado si te llega un paquete a casa que no has pedido con un código QR: si lo escaneas, podrían acceder a tu teléfono