WhatsApp se volvió uno de los instrumentos más empleados por los ciberdelincuentes, quienes utilizan diferentes tácticas para engañar a usuarios desprevenidos y, en la mayoría de los casos, quedarse con su dinero.
Según Statista, a enero de 2024, WhatsApp tiene más de 2.000 millones de usuarios activos mensuales en todo el mundo, lo que la aplicación idónea para estafar a las personas.
Ahora, se conoció un nuevo tipo de fraude a través de un mensaje que círcula por la app e intenta captar la atención de los candidatos a víctima con la indicación de un link y refiriéndose a un individuo por su nombre de pila.
La estafa consisste en lograr la confianza del usuario y, una vez logrado esto, informarle sobre una supuesta "nueva cuenta", con usuario, contraseña y saldo en USDT (Tether), una criptomoneda estable cuya cotización equivale a u$s1.
Se trata de un supuesto exchange que procura obtener datos de billeteras digitales para posteriormente apropiarse de los fondos.
El mensaje de WhatsApp aparenta incluir las credenciales de acceso a una wallet de criptomonedas con un saldo de más de 700.000 USDT y una indicación por parte del remitente: "Por favor, guárdatelo en un lugar seguro".
Aquellos que, intrigados por la oportunidad de obtener esta suma, decidan ingresar al link y utilizar las credenciales, accederán una wallet totalmente funcional con un entorno realista, con transacciones y oportunidades de transferir o mover montos.
Así, aquellos que eligieran acceder y efectuar una transferencia a su propia billetera, terminarán entregando sus credenciales de acceso a los delincuentes quienes posteriormente tomarán el control de la misma y de los fondos.
El sitio incluye el candado que implica que la URL tiene el protocolo de seguridad, aunque no necesariamente sea seguro entrar a este. Además, cuenta con el protocolo HTTPS que, en teoría, aporta con la "S" que la comunicación sea segura, pero que no necesariamente sea real.
Esta modalidad de phishing está dirigida a usuarios de plataformas móviles y circula desde hace tiempo; periódicamente se relanza con mejoras y el engaño implicó los nombres de diferentes exchanges.
Desde BTR Consulting, firma especializada en ciberseguridad, brindaron algunas recomendaciones sobre qué hacer en estos casos:
Además, recordaron la importancia de nunca entregar datos personales ni contraseñas: "Ningún banco u organismo oficial debería requerirlos".