Supuestos cupones de descuento
Últimamente por whatsapp, por correo electrónico, por las redes sociales, o en anuncios que se ven en algunas páginas web, recibimos «Supuestos cupones de descuento» o de premio, que supuestamente tiendas o centros comerciales regalan como por ejemplo Zara, Auchan, Lidl, etc estos cupones prometen un valor por cantidades más o menos entre los 150 € y 250 € y lo único que se tiene que hacer es rellenar un formularios, y/o invitar amigos para participar.
El engaño
En efecto, la finalidad de estos anuncios es la de extraer u obtener información personal, nuestro nombre completo, nuestro número de teléfono, y nuestro correo electrónico, incluso nuestra dirección postal, o que permitamos acceder a nuestras redes sociales mediante una aplicación que se puede «conectar» con Facebook, que puede extraer no solo nuestra información, sino también, la lista de contactos para hacerles llegar el mismo mensaje de cupón, en nuestro nombre.
Algunos ejemplos de estos supuestos cupones:
¿Para qué les sirven estos datos?
A simple vista podría parecer que esta información no es tan importante, pues no estamos proporcionando datos de cuentas bancarias o códigos secretos, sin embargo, en realidad es información es muy valiosa y puede ser utilizada en otro tipo de estrategias para robar información mas sensible o hacernos caer en un engaño mas elaborado.
Pensemos un ejemplo, en unos cuantos días recibimos una llamada telefónica donde se pregunta por el dueño de la línea, se pueden ofrecer incluso datos (los que ya han obtenido de nosotros) como correo electrónico o dirección, para «validar» esta supuesta llamada, y después con mucha habilidad de ingeniería social tratar de obtener nuestros datos de tarjeta de crédito, cuenta bancaria, o algún código secreto o alguna información personal más extra.
O pongamos otro ejemplo, recibimos un correo electrónico personalizado con nuestro nombre, a nuestra dirección de correo electrónico, con datos de nuestra dirección postal, donde nos informan que abramos el archivo adjunto que contiene información sobre un pedido que hemos recibido muy valioso, que no una supuesta empresa de mensajería no ha podido entregar y que si no reclamamos en un periodo de 24 horas, será devuelto, también se nos invita a seguir un vínculo para obtener más información.
Analicemos rápidamente que posibles peligros podríamos tener al recibir un correo electrónico de este tipo.
- Por un lado un archivo adjunto que podría ser un ejecutable encubierto que podría contaminar nuestro ordenador.
- Podría ser un archivo PDF válido, pero que por ejemplo contuviera código malicioso que infecta nuestro navegador.
- El vínculo podría tener como destino una página con carga maliciosa, o que podría intentar engañarnos a insertar nombre de usuario y contraseña de alguna cuenta válida haciéndose pasar como el sistema de entrada que requiere estos datos para poder abrir o seguir el vínculo.
No sólo hoy, el futuro también
Y lo más peligroso de esto, es que nuestros datos quedarán almacenados en una o varias bases de datos, así que este peligro no desaparece de inmediato, puesto que después podría ser revendida o publicar en sitios de la Deep Web, teniendo acceso muchos meses después a nuestra información personal, cuando tal vez estemos con la guardia baja pensando que el peligro ya ha pasado.
Conclusión
¿Cómo podemos protegernos de este tipo de intento de robo de datos? Lo primero es la prudencia, sí recibimos un mensaje sospechoso, lo primero sería tratar de comprobar su autenticidad por fuentes externas, para determinar que no sea un engaño, y por supuesto nunca simplemente reenviarlo a todos los contactos en Whatsapp o por correo electrónico, de esta forma evitamos que este fraude se propague a nuestros contactos.
Y la recomendación que siempre os do,y nunca abrir un archivo adjunto que no hemos solicitado previamente, ni tampoco seguir vínculos del cual no sabemos su destino exacto.
Si tenemos alguna duda sobre alguna de nuestras cuentas, siempre es mejor abrir una nueva pestaña del navegador y manualmente iniciar sesión en el servicio de la forma habitual.
[sc name=»firma_general»]