Tatyana Sidorina

Con el pretexto de compensarte por la pérdida de tus datos, los defraudadores te venden “números temporales de seguridad social de los EE. UU.”

Las filtraciones de datos de todo tipo a menudo llegan a las noticias y recientemente también las multas, algunas de las cuales alcanzan miles de millones, y son impuestas a las empresas responsables. Si las empresas tienen que pagar por las filtraciones de datos, seguramente ese dinero está destinado a las víctimas, ¿cierto?

Sorpresa de la Comisión de Comercio de los EE. UU.

Un sitio web llamó nuestra atención hace poco. Aparentemente propiedad de cierto Fondo para la Protección de Datos Personales, la página web principal señala que la  “Comisión de Comercio de los EE.UU.” creó dicho fondo.

A primera vista, el sitio luce relativamente legítimo y, con un diseño sobrio, muestra una fuerte suma de dinero a la derecha. Un gran banner en la parte superior de la página anuncia que el fondo entrega compensaciones por la filtración de datos personales, y que personas de todas las nacionalidades pueden solicitarlo.

La Comisión de Comercio de los EE. UU. ofrece compensaciones por las filtraciones de datos.

Para aquellos que estén interesados, el sitio ofrece comprobar si alguna vez se ha producido una filtración de tus datos personales. Para realizarlo, necesitas indicar tus apellidos, nombre, número de teléfono y cuentas en medios sociales. Encima del formulario de entrega se advierte que capturar los datos de otra persona se castigará severamente.

Para conocer la cantidad de dinero a la que tienes derecho, primero debes proporcionar información personal.

Sin embargo, resulta que el sitio web para luchar contra la filtración de datosacepta cualquier tipo de información, incluso jerga sin sentido. Por ejemplo, buscamos los datos personales de un ciudadano llamado fghfgh fghfgh. El sitio tardó un poco en procesar, pues parecía que se estaba conectando con bases de datos sobre filtraciones….

El sitio supuestamente busca información sobre las filtraciones.

Y mira nada más: descubrió que los datos de nuestro personaje ficticio con nombre impronunciable sí se habían filtrado. Además, resultó que alguien había usado sus fotos, videos e información de contacto; de este modo ¡fghfgh tenía derecho a una compensación superior a los $2,500 dólares!

El sitio encontró información sobre la filtración y calculó la cantidad de la compensación

La compra de un NSS temporal

Uno podría pensar es suficiente con indicar el número de tarjeta bancaria y luego esperar a que el pago se abone. Pero esto no es así. El fondo de caridad no puede enviar el dinero sin conocer primero el NSS (número de seguridad social), un número de nueve dígitos que se expide a ciudadanos de los EE. UU. así como a residentes permanentes y trabajadores con visa temporal.

Este número único se usa para casi todo en los EE. UU.: para pagar impuestos, solicitar trabajo, rentar una casa y demás.

Pero si no tienes uno, no temas: simplemente puedes marcar la casilla de verificación junto a la siguiente línea: “I’m don’t have SSN” (la gramática inglesa no parece ser el punto fuerte de los estafadores).

Formulario para ingresar el número de tarjeta y el NSS.

Y para evadir el problema de no contar con un NSS, ¡el sitio te propone venderte uno temporal! En comparación con el monto por remuneración que ponen delante de ti por la filtración de datos personales, los $9 dólares de cuota son una bagatela.

Los estafadores ofrecen un NSS temporal por una pequeña cuota.

Si intentas completar la transferencia sin comprar un NSS, el sitio marcará error y exigirá un número temporal. Y si de causalidad introduces un NSS válido en el formulario fraudulento, aun así te pedirán que adquieras un número temporal.

El sitio marca error si el usuario intenta completar la transferencia sin un NSS temporal.

Los que deciden adquirir un NSS temporal son remitidos a un formulario de pago. Si acaso lo haces desde una dirección IP en Rusia, esta forma del pago aparece en ruso y el precio de compra se indica en rublos. Esto es raro. ¿Por qué una dependencia gubernamental de los EE. UU exigiría el pago en una moneda extranjera?

Formulario de pago del NSS temporal en ruso.

Es probable que los residentes de otros países se vean redirigidos a un formulario en inglés menos sospechoso y que solicita el pago en dólares.

Formulario de pago del NSS temporal en inglés.

¿Los cibercriminales rusos se están internacionalizando?

Desde luego que esto es un fraude en línea. El Fondo de Protección de Datos Personales no existe, como tampoco la Comisión de Comercio de los EE. UU., como quizás supusiste. Parece ser que el nombre de la institución real por la que los cibercriminales intentan hacerse pasar es la Federal Trade Commission (Comisión Federal de Comercio), pero la FTC no entrega compensación por filtraciones de datos indiscriminadamente.

Es muy probable que los propios estafadores hablen ruso, como lo sugiere el formulario de pago en ese idioma, además de la sospechosa similitud del esquema de este fraude en línea con otras ofertas de dinero fácil que a menudo tientan a los habitantes de Rusia y la CEI (Comunidad de Estados Independientes).

La cibercarnada en dichos esquemas varía:  obsequiosencuestasfondos de ahorro secretos e incluso un empleo de medio tiempo como despachador de sitio de taxis . Pero todos estos fraudes en línea suelen estar en ruso (lo mismo que los enlaces anteriores); la conclusión es la misma: la atractiva promesa de dinero fácil, seguido de la petición de pago por un servicio barato, ya sea una comisión, una “garantía” de pago o un NSS temporal.

El esquema actual de esta estafa online utiliza los mismos sistemas del pago que los anteriores. Esto también deja un rastro familiar que recuerda a los cibercriminales rusos. La única diferencia con la estafa de la compensación es que se da a una escala geográfica mucho mayor. Por ejemplo, las víctimas de esta ocasión no se localizaban solamente en Rusia y países vecinos, sino también en Argel, Egipto, Emiratos Árabes Unidos y demás.

Cómo evitar esta estafa online

Estas estafas online están dirigidas contra víctimas ilusionadas que no encuentran sospechosa dicha oferta. Por lo tanto, nuestra recomendación principal es estar siempre atento.

  • No confíes. Si alguien te promete una indemnización cuantiosa por algo tan trivial como participar en una encuesta, ten por seguro que es una trampa. Y si te piden pagar para obtener fondos, puedes estar doblemente seguro de que se trata de un timo.
  • Comprueba. Busca en Google la institución para ver si realmente existe; si aparece, entonces mira con detenimiento su sitio web. Presta atención al lenguaje: una institución respetable no publicaría un texto plagado de faltas de ortografía y errores.
  • Utiliza fuentes de tu confianza. Si te preocupa la seguridad de los datos, en particular las contraseñas, puedes verificar si se han visto comprometidas por un filtración en haveibeenpwned.com. El sitio es creación de Troy Hunt, experto en seguridad informática; este recurso de búsqueda de vulneraciones de datos proporciona la información más actualizada acerca de filtraciones.
  • Protégete contra el fraude en línea. Utiliza una solución de antivirus confiable con protección contra el phishing y el fraude en línea, como Kaspersky Internet Security.