Enlaces maliciosos: El falso mensaje de Mercado libre que circula en las redes

Ayer comenzó a circular en todos los grupos de WhatsApp y otras redes sociales un falso mensaje de Mercado Libre que ofrecía regalos por Navidad. Claro está, se trató de una de las ciberestafas más comunes: el phishing o suplantación de identidad, fácil de identificar especialmente en este último caso. 

El mensaje promocionaba "unos 2000 productos gratis" como promoción Navideña de la empresa de Marcos Galperin. El mismo incluía un link, cuyo dominio no pertenece a Mercado Libre, que al abrirse reenvía al usuario a una inmensa imagen con una de sus típicas cajas con el logo de la empresa, un gorro navideño y la promoción. Un poco más abajo, reza el mensaje: "¡Bienvenidos a la promoción navideña de Mercado Libre! Completa el cuestionario y gana un regalo exclusivo"

Lo cierto es que la empresa que se fundó el 2 de agosto de 1999 y cumplió los 20 años en 2020, resalta que "nunca pide datos por fuera de su aplicación o sitio oficial, o cuentas con la tilde azul". Al abrirse el link, éste se reenvía automáticamente al resto de los contactos y al responder la encuesta, quedan expuestos los datos e información del usuario de cualquier celular. Por esta razón, desde la compañía le pidieron a los usuarios que no accedan a este enlace fraudulento.

Cada día se comparten millones de enlaces. En una sociedad digital como la actual, hacer clic por el ansia de acceder a información o por la prisa es un comportamiento común. Los ciberdelincuentes lo saben y por eso utilizan técnicas de ingeniería social para conseguir que los usuarios hagan clic en enlaces maliciosos. De este modo, consiguen información personal de las víctimas que luego venden en el mercado negro o utilizan para cometer delitos de suplantación de identidad.

Desde la compañía advirtieron que se trata de un caso de “‘phishing'” y destacaron que la empresa no realiza ese tipo de rifas y/o cadenas por WhatsApp. Por esta razón, se le pidió a los usuarios hacer caso omiso a esa información y sobre todo, no ingresar o brindar información sensible de tu cuenta. Además, aconsejaron que para reconocer cuándo se trata de un caso engañoso, corroboren siempre “que la dirección desde donde te llega la comunicación sea oficial y que tengan en cuenta que las empresas nunca te piden que ingreses datos fuera de sus sitios o apps”.

Un enlace malicioso es un 'link' aparentemente fiable pero que, al pinchar en él, redirige a una web falsa que imita ser una web oficial legítima. Una vez que el usuario cree estar navegando por una web de confianza, podría introducir datos personales como su correo electrónico, contraseñas e incluso datos bancarios.

Según estudios, en el 100% de los correos electrónicos de phishing, el ciberdelincuente utiliza como recurso la autoridad y el 71% de los correos electrónicos de phishing agregan una sensación de urgencia: “Cuando obtienen estos datos realizan compras, reservas o extracciones de dinero en tu nombre”. Entre los datos que los ciberdelincuentes desean obtener se encuentran: contraseñas: números de tarjetas de crédito; DNI; CUIT o CUIL; nombres de usuario y códigos PIN.

Afortunadamente, es posible mejorar la capacidad para detectar enlaces maliciosos siguiendo algunos consejos.

• Si la URL comienza por 'https://' es una buena señal. Una vez que el enlace está abierto, si está en color verde y hay un candado significa que muy probablemente la web pertenezca a quien dice ser. Si por el contrario no empieza por 'https://' o no tiene el candado cerrado, se puede acceder al icono de información y ver si la conexión con ese sitio es insegura.
• Los atacantes pueden falsificar dominios con combinaciones engañosas de letras, números, mayúsculas y minúsculas y son, a simple vista, difíciles de detectar. La última técnica es añadir caracteres latinos con pequeños puntos casi indetectables debajo o encima de una letra del enlace.
• Mantener actualizado el sistema operativo, las aplicaciones y el antivirus en todos los dispositivos.
• Hacer clic en enlaces acortados únicamente si la fuente que lo ha enviado es de total confianza y no hay riesgo que haya sido suplantada.