Con sus 1000 millones de usuarios activos al mes, Instagram es imprescindible para las marcas que quieren mejorar su engagement o promocionar algún nuevo producto o servicio.
Sin embargo, la viralización de los mensajes publicitarios también es el escenario perfecto para que los hackers roben los datos de los internautas más confiados. Una nueva estafa detectada por la Oficina de Seguridad del Internauta (OSI) alerta del peligro de los sorteos en redes sociales.
Un día, un sorteo cualquiera
Es una de las estrategias ‘marketeras’ más de moda. Para incrementar sus followers, una marca realiza un atractivo sorteo. Quien quiera participar solo debe seguir el perfil de la empresa, dar a ‘Me gusta’ en la publicación y etiquetar a varios amigos (cuantos más, mayores posibilidades de ganar).
Además, la rifa suele contar con la colaboración de algún influencer que la promociona entre sus seguidores y le da mayor visibilidad. Cuando se anuncia al ganador, la empresa contacta con él para hacerle entrega de su premio.
Es un método win win del que todos se benefician. No solo el ganador del sorteo, sino también la marca y el prescriptor, que consiguen ratios de interacción muy elevados y atractivos para el algoritmo de la red social.
Por desgracia, los hackers han encontrado la manera de sacar ventaja de estas rifas.
Víctimas del phishing
El peligro de los sorteos en redes sociales tiene que ver con el phishing, esa estafa en la que un ciberdelincuente se hace pasar por otro usuario para robar información a sus víctimas.
En un primer momento, buscan uno de esos sorteos masivos en los que llegan a concurrir centenares de usuarios. De hecho, cuanto mayor sea el número de participantes, más posibilidades de encontrar nuevas víctimas.
A continuación, crean un perfil de Instagram imitando al de la cuenta que realiza el sorteo. Utilizan la misma foto, descripción, logos e incluso tratan de copiar el nombre cambiando una letra o introduciendo un símbolo para conseguir una réplica bastante fidedigna. Igualmente, publican en su feed las mismas imágenes que la cuenta oficial utiliza.
El siguiente paso es contactar, a través de mensaje directo, con los participantes del sorteo. Saber quiénes son es muy fácil; solo necesitan consultar el listado de ‘Me gusta’. A través de esta comunicación, les informan de que han ganado el concurso y les instan a pulsar en un enlace en que tendrán que rellenar un formulario para recibir su premio.
Es ahí donde se produce la estafa y donde radica el peligro de los sorteos en redes sociales. Ese link suele ser de una web de phishing en la que se solicita información personal, incluidas contraseñas y datos bancarios.
El ciberdelito también se puede cometer a través de landing pages en las que se redirige al usuario a un site que introduce en su ordenador un código malicioso o incluso un rasomware con el que robar su identidad virtual y controlar sus perfiles sociales o su dirección de correo electrónico.
Peligro en los sorteos en redes sociales: ¿cómo detectarlos?
Algunos consejos para evitar este tipo de fraude:
- Comprobar la identidad de la cuenta. Normalmente, las cuentas organizadoras publican en su perfil el nombre de los ganadores. Por otro lado, es posible visitar el perfil que nos escribe y fijarse en detalles como su nombre (que coincida exactamente con el de la cuenta original), sus publicaciones y el número y tipo de seguidores que tiene. En caso de continuar dudando, nada más fácil para evitar el peligro que establecer contacto con el perfil oficial y consultar directamente si es cierto que se ha ganado el sorteo.
- Sin prisa. Para que el usuario no tenga tiempo de reflexionar sobre la veracidad del mensaje, los ciberdelincuentes suelen apresurar a los internautas, instándoles a reclamar su premio en un tiempo determinado, so pena de perderlo para siempre. Hay que desconfiar de esos mensajes que urgen al usuario.
- Repasar gramática y ortografía. Muchos hackers utilizan traductores online para redactar los mensajes que envían a sus víctimas. Como pasa con otros casos de phising a través de correos fraudulentos, suelen cometer faltas de ortografía y sintaxis: uso incorrecto de los tiempos verbales, de los signos de puntuación o construcciones poco naturales. Una marca que quiere trabajar su relación con sus clientes jamás descuidaría el lenguaje.
- Sentido común. Una empresa nunca va a pedir a un usuario que comparta una contraseña. En el caso de un premio en metálico, jamás se han de facilitar datos bancarios o de tarjetas de crédito, sino que se puede solicitar el ingreso a través de aplicaciones como PayPal o Bizum. Y si demandan una dirección física para enviar el premio, otro método preventivo es remitirles a una oficina de Correos o de una empresa de mensajería para ir a recogerlo después.
Algo realmente positivo de construir comunidad en redes sociales es que, rápidamente, los usuarios se organizan para detectar este tipo de engaños y alertar a otros usuarios. A través de hashtags como, por ejemplo, #sorteofalso se etiquetan publicaciones fraudulentas. Del mismo modo, también existen perfiles que se encargan de desenmascarar estafas en la red.
Para quien ya haya caído en las redes del phishing, la OSI informa de que siempre hay que denunciar la cuenta, advertir a nuestros contactos por si les contactan los ciberdelincuentes y tratar de documentar el delito, a través de capturas de pantalla de los mensajes. Y, por supuesto, avisar lo antes posible a la entidad bancaria del problema.
Por Noelia Martínez
Imágenes | Alexander Shatov on Unsplash, OSI