El engaño utiliza supuestos concursos en línea para obtener códigos de verificación y tomar control de los perfiles.
Kaspersky ha detectado una nueva campaña de phishing dirigida a usuarios de WhatsApp a través de un esquema fraudulento de votaciones. Este ataque atrae a las víctimas con una página de votación que supuestamente presenta a jóvenes atletas, aunque también se están explotando otros temas populares para atraer votantes. El método puede adaptarse fácilmente a distintos escenarios, y el objetivo final de los atacantes es secuestrar cuentas de WhatsApp.
La estafa comienza cuando los usuarios son dirigidos a una página web aparentemente legítima que afirma alojar un concurso de votación. Por ejemplo, la página puede mostrar fotos de atletas, cada una con un botón de “Votar” y contadores en tiempo real que muestran supuestos totales de votos y el número de usuarios que ya han participado. Estos elementos crean una falsa sensación de autenticidad, alentando a la interacción del usuario. Además, la página asegura que cualquiera puede participar en el concurso tras una “autorización”, y que los ganadores recibirán premios de supuestos “patrocinadores”.
Falsa página de votación
Al hacer clic en los botones “Votar” o “Autorizar”, los usuarios son redirigidos a una página fraudulenta que los insta a “autorizar rápida y fácilmente” vía WhatsApp. Se les solicita que introduzcan el número de teléfono móvil asociado a su cuenta. A continuación, los atacantes utilizan la función de WhatsApp para iniciar sesión en la interfaz web del mensajero mediante un código de un solo uso: ingresan el número de teléfono de la víctima y el sistema genera un código de 6 dígitos que el sitio de la estafa refleja. Cuando el usuario introduce ese código en la aplicación de su smartphone, la sesión web que los atacantes habían iniciado se activa, permitiéndoles espiar a la víctima, enviar mensajes y, finalmente, apoderarse de la cuenta.
“Observamos que los concursos en línea con votaciones son muy populares actualmente, y esto es aprovechado por los atacantes, que explotan la confianza en esta actividad aparentemente inofensiva. Al combinar la ingeniería social con interfaces falsas convincentes, los atacantes convierten la interacción de los usuarios en un arma para robar datos sensibles. La conciencia y la vigilancia son fundamentales para mantenerse protegido”, comenta Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
Para protegerse de este tipo de estafas de secuestro de cuentas, los expertos de Kaspersky recomiendan:
- Habilitar la verificación en dos pasos: activa la función de verificación en dos pasos de WhatsApp para añadir una capa extra de seguridad, que requiere un PIN para acceder a la cuenta.
- Verifica la autenticidad de los sitios web: evite ingresar información personal en páginas desconocidas, especialmente aquellas a las que se accede mediante enlaces no solicitados. Revise siempre la legitimidad de la URL.
- Nunca compartas códigos de verificación: WhatsApp nunca solicitará su código de verificación. No lo compartas con nadie, ni siquiera si lo recibe de una fuente aparentemente confiable.
- Usa un software de seguridad: existen en el mercado soluciones confiables y probadas para detectar y bloquear sitios web, enlaces maliciosos y que pueden proteger tus datos personales y de pago.
Para más consejos sobre cómo proteger tu vida digital, visita nuestro blog.
