Las noticias se hacen eco de todo tipo de filtraciones de datos y, últimamente, también de las multas que se imponen a las empresas responsables, algunas de las cuales alcanzan miles de millones . Si las empresas tienen que pagar por las filtraciones de datos, ese dinero se destinará a las víctimas, ¿no?
Sorpresa de la Comisión de Comercio de EE. UU.
Un sitio web llamó nuestra atención hace poco. En apariencia propiedad del Fondo para la Protección de Datos Personales, la página web principal señala que la “Comisión de Comercio de los EE.UU.” es la creadora de dicho fondo.
A simple vista, el sitio parece legítimo y, con un diseño sobrio, muestra una gran suma de dinero a la derecha. Un banner en la parte superior de la página anuncia que el fondo indemniza a las víctimas de filtraciones de datos personales y que podrán solicitarlo ciudadanos de todas las nacionalidades.
Para los interesados, el sitio se ofrece a comprobar si alguna vez se ha producido una filtración de tus datos personales. Para ello, tienes que indicar tu nombre, apellidos, número de teléfono y cuentas de redes sociales. Sobre el formulario, se advierte que introducir los datos de otra persona se castigará severamente.
No obstante, resulta que el sitio web acepta cualquier tipo de información, incluso jerga sin sentido. Por ejemplo, hemos buscado los datos personales de un ciudadano llamado fghfgh fghfgh. El sitio tardaba un poco en procesar, en apariencia conectándose con bases de datos sobre filtraciones…
Y quién lo iba a decir: los datos de nuestro personaje ficticio con nombre impronunciable sí se habían filtrado. Es más, alguien había usado sus fotos, vídeos e información de contacto, por lo que fghfgh tenía derecho a una indemnización superior a los 2.500 dólares.
La compra de un NSS temporal
Uno podría pensar que basta con indicar el número de tarjeta bancaria y esperar a que el pago se abone. Pero no es así. El fondo de caridad no puede enviar el dinero sin el NSS (número de seguridad social), un número de nueve dígitos que se expide a los ciudadanos de EE.UU., así como a residentes permanentes y trabajadores con visado temporal.
Este número único se usa para casi todo en EE. UU.: pagar impuestos, solicitar un trabajo, alquilar una casa, etc.
Pero si no tienes, no sufras: puedes marcar la casilla “I’m don’t have SSN” (“No tengo NSS”, en un inglés incorrecto, por lo que la gramática inglesa no parece ser el punto fuerte de los estafadores).
Para evitar el problema del NSS, el sitio se propone venderte uno temporal. En comparación con la cantidad de la indemnización que aparece en la pantalla por la filtración de datos personales, los 9 dólares que cuesta no son nada.
Si intentas completar la transferencia sin comprar un NSS, el sitio dará error y exigirá un número temporal. Y si de causalidad introduces un NSS válido en el formulario fraudulento, aun así, te pedirán que adquieras un número temporal.
Los que deciden adquirir un NSS temporal son redirigidos a un formulario de pago. Si lo haces desde una dirección IP rusa, el formulario de pago aparece en ruso y el precio de compra se indica en rublos. ¡Qué extraño! ¿Por qué un organismo público de EE. UU. iba a exigir el pago en una moneda extranjera?
Es probable que los residentes de otros países se vean redirigidos a un formulario en inglés menos sospechoso y que solicita el pago en dólares.
¿Se están internacionalizando los cibercriminales rusos?
Evidentemente se trata de una estafa. El Fondo de Protección de Datos Personales no existe, como tampoco la Comisión de Comercio de EE. UU., como ya habrás supuesto. Al parecer, el nombre de la institución real por la que los cibercriminales intentan hacerse pasar es la Comisión Federal de Comercio, pero la CFC no paga indemnizaciones por filtraciones de datos de forma indiscriminada.
Es muy probable que los propios estafadores hablen ruso, como lo sugiere el formulario de pago en ese idioma, además de la sospechosa similitud del fraude con otras ofertas de dinero fácil que a menudo tientan a los habitantes de Rusia y la CEI.
El cebo suele variar: regalos, encuestas, fondos de ahorro secretos e incluso un empleo a jornada parcial como taxista. Pero todos estos fraudes suelen estar en ruso (al igual que los enlaces anteriores); la estrategia siempre es la misma: la atractiva promesa de dinero fácil, seguida de la petición de pago por un servicio barato, ya sea una comisión, una “garantía” de pago o un NSS temporal.
El esquema actual de esta estafa online utiliza los mismos sistemas de pago que los anteriores. También deja un rastro familiar que recuerda a los ciberdelincuentes rusos, la única diferencia con la estafa de la indemnización es que se da una escala geográfica mucho mayor. Por ejemplo, las víctimas de esta ocasión no se localizaban solamente en Rusia y países vecinos, sino también en Argelia, Egipto, Emiratos Árabes Unidos, etc.
Cómo evitar caer en la trampa
Estas estafas están dirigidas a víctimas esperanzadas que no encuentran sospechosa la oferta. Por tanto, nuestra recomendación principal es que no bajes la guardia:
- No confíes. Si alguien te promete una indemnización cuantiosa por algo tan trivial como participar en una encuesta, seguro que se trata de una trampa. Y si te piden pagar a cambio de una transferencia, puedes estar doblemente seguro de que se trata de un timo.
- Comprueba. Busca en Google la institución para ver si realmente existe; si aparece, comprueba con detenimiento su sitio web. Presta atención a la ortografía: una institución reputada no publicaría un texto plagado de faltas y errores.
- Utiliza fuentes de confianza. Si te preocupa la seguridad de los datos, en particular las contraseñas, puedes verificar si se han visto comprometidas por una filtración en haveibeenpwned.com. El sitio es una creación de Troy Hunt, experto en seguridad informática; este recurso de búsqueda de vulnerabilidades de datos proporciona la información más actualizada acerca de filtraciones.
- Protégete. Utiliza una solución de antivirus de confianza con protección contra el phishing y el fraude online, como Kaspersky Internet Security.