Víctimas de brechas de datos son hackeadas otra vez. Nuevo vector de ataque

Un estudio elaborado por expertos en hacking ético de la firma Kaspersky detalla una nueva forma de engañar a miles de usuarios de Internet aprovechándose de las recientes noticias sobre brechas de datos y multas millonarias que las compañías responsables reciben de las autoridades de protección de la información.

Durante una reciente investigación sobre políticas de recolección de datos, los expertos encontraron un sitio web llamado Fondo de Protección de Datos Personales (por sus siglas en inglés, Personal Data Protection Found), presuntamente creado por la Comisión de Comercio de E.U.

En el sitio web, de apariencia legítima, se afirma la existencia de un fondo para víctimas de brechas de datos de todo, supuestamente creado gracias a las multas que reciben las compañías. Además, se invita a los visitantes a registrarse para solicitar una compensación por estos incidentes.

Acorde a los expertos en hacking ético, el sitio también ofrece a los usuarios una función para verificar si su información personal se ha visto comprometida en algún incidente reciente. Para esto, los usuarios deben ingresar al sitio web su nombre completo, número de teléfono y nombre de usuario en algunas plataformas de redes sociales.

Como era de esperarse, esta es una nueva variante de estafa que trata de aprovecharse de los usuarios preocupados por la seguridad de sus datos en línea. Para corroborar esta suposición, los investigadores de Kaspersky ingresaron al sitio web los datos de un ciudadano llamado fghfgh fghfgh. Después ingresar estos datos falsos, el sitio web arrojó una respuesta sorpresiva: Los datos del inexistente ciudadano fghfgh fghfgh fueron “filtrados”. No sólo eso, sino que el sitio web afirmó que, debido a que los archivos personales de la falsa víctima fueron expuestos, fghfgh fghfgh tenía derecho a recibir una compensación de 2 mil 500 dólares.

A diferencia de otras estafas en las que los criminales van directamente tras los datos de la tarjeta de crédito de la víctima, este sitio web menciona que la compensación no puede ser enviada a menos que la víctima ingrese su número de seguridad social, una clave de nueve dígitos emitida para cada ciudadano norteamericano y que se emplea para prácticamente cualquier trámite.

Los operadores de esta estafa contemplaron todos los posibles escenarios, pues incluso agregan al formulario una casilla con la opción “No tengo número de seguro social”, mencionan los expertos en hacking ético. En este caso, el sitio web ofrece a los visitantes comprar un número de seguro social temporal por sólo 9 dólares.

Si la víctima decide comprar un número de seguro social temporal, será redirigida a un formulario de pago. Si lo hace desde una dirección IP rusa, este formulario de pago aparece en ruso y el precio de compra se especifica en rublos. Esto es ridículo pues, ¿por qué una agencia del gobierno de EU solicitaría pagos en alguna divisa extranjera? La plataforma se dedica a la recolección de datos, además de robar cantidades mínimas, aunque se vuelven cifras considerables si se toma en cuenta el alcance potencial del sitio web.

Aunque esta estafa es obvia a los ojos de los usuarios familiarizados con el tema, miles de personas con pocos conocimientos están expuestas a los defraudadores. Como medida de prevención, los expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan ignorar cualquier ofrecimiento de dinero de esta clase. Consultar sitios legítimos, como Have I Been Pwned, también es una buena medida de seguridad para los usuarios preocupados por sus datos personales.