Engaño vía SMS circula en Chile suplantando la identidad de Mercado Libre y Chilexpress

ESET, compañía experta en detección proactiva de amenazas, advierte sobre un engaño que se distribuye a través de mensajes SMS que está circulando en Chile. Se trata de una campaña de ingeniería social que intenta hacer creer a quien recibe el mensaje que tiene pendiente coordinar la entrega de un producto que ganó en un sorteo. Usuarios de Chile han reportado a través del canal de WhatsApp que abrió la compañía para analizar engaños que circulan en esta aplicación de mensajería u otras plataformas.

El objetivo de la campaña es robar los datos de la tarjeta de crédito de la víctima, información que solicitan supuestamente para cobrar los gastos del envío del premio. El mensaje SMS, que al menos en el ejemplo que observaron desde ESER incluye el nombre verdadero de la persona que lo recibe, incluye un enlace que lleva a un sitio que suplanta la identidad de Mercado Libre. El equipo de investigación destaca que el número de teléfono utilizado para el envío del SMS ha sido denunciado esta semana por la distribución de esta campaña fraudulenta, pero también circulan otros engaños en los que se utiliza una estrategia de ingeniería social diferente.

Una vez que se hace clic, se puede observar a simple vista que ninguno guarda relación con la URL del sitio oficial de esta plataforma o con algún subdominio. Si bien esto ya debería ser suficiente para confirmar que se trata de un engaño, desde ESET avanzaron un poco más para conocer los detalles de la ingeniería social que están utilizando los estafadores.

El sitio falso invita al usuario a canjear un código para descubrir cuál es el supuesto premio que le corresponde entre más de 100 opciones atractivas, como un televisor, una gift card o una consola de PlayStation 5. Al hacer clic en el botón para canjear el código, no importa las veces que se haga la prueba, el premio que sale es un iPad Pro. Además, para hacer creíble el fraude los delincuentes incluyen falsos comentarios de usuarios y del equipo de Mercado Libre.

Tras elegir las especificaciones de color, se informa al usuario que se cobrará el gasto de envío solamente ($2000) y se solicita que confirme sus datos para coordinar el envío del supuesto premio. Además, la estafa aclara que los envíos se realizarán únicamente dentro de Chile.

Una vez que se llega a la confirmación del envío, la campaña solicita a la potencial víctima que especifique los detalles. En este punto se utiliza la imagen de Chilexpress, una empresa que ofrece servicio de encomienda a nivel nacional e internacional, y se invita a indicar cuándo quiere recibir el producto, dónde y mediante qué compañía.

Una vez completada esta etapa, otra redirección dirige a la víctima a un nuevo sitio cuyo dominio también es sospechoso, ya que nada tiene que ver con las marcas que se mencionaron anteriormente ni con una plataforma de pago conocida. En esta instancia se solicita los datos de la tarjeta de crédito para hacer el pago del envío del supuesto premio.

Desde ESET destacan que lo interesante es que el formulario acepta solamente datos válidos; es decir que si se completa con números aleatorios dará error y no permitirá avanzar.

Por último, cuando la víctima confirma el pago, un mensaje indica que hubo un error y que el proceso no se pudo completar. Si bien desde ESET confirman que en este punto los datos ya fueron capturados por los delincuentes detrás de esta campaña, se invita a intentarlo nuevamente o ingresar los datos de otra tarjeta de crédito.

“Los engaños a través de SMS, conocidos como smishing, son utilizados desde hace bastante tiempo por cibercriminales que buscan cometer fraude. Es importante conocer cómo funcionan y los mecanismos que utilizan para aprender a reconocerlos y evitar caer en la trampa. El primer consejo es ser desconfiado y no hacer clic en enlaces que llegan de forma inesperada o que prometen regalos o beneficios demasiado buenos. Menos aún compartir información personal. En segundo lugar, verificar la URL para corroborar que se trata de un sitio oficial y no una réplica. También se recomienda hacer búsquedas en Google, por ejemplo, para ver si alguien más reportó el mismo fraude o el número de teléfono utilizado por los delincuentes. Y por último, instalar una solución de seguridad en el teléfono para detectar a tiempo cualquier comportamiento malicioso en nuestros dispositivos”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de ESET Latinoamérica.