La compañía global de ciberseguridad y privacidad digital, Kaspersky, detectó una nueva campaña de phishing que los ciberdelincuentes están utilizando para robar cuentas de WhatsApp, a través de un esquema fraudulento de votaciones.

Según alertan desde la firma, esta nueva modalidad de estafa atrae a las potenciales víctimas con una página de votación que supuestamente presenta a jóvenes atletas, aunque también se están explotando otros temas populares para llamar la atención de los usuarios.

La empresa afirma que se trata de un método que puede adaptarse a distintos escenarios y que tiene como objetivo final que los atacantes puedan secuestrar las cuentas de la aplicación de mensajería.

A continuación encontrarás los detalles sobre cómo funciona y cómo evitar caer en este tipo de engaños.

Cómo opera la nueva estafa de robo de cuentas de WhatsApp mediante votaciones falsas, según alerta Kaspersky

La estafa comienza cuando los usuarios son dirigidos a una página web que aparenta ser legítima, pero que no lo es, la cual asegura mostrar un concurso de votación.

“Por ejemplo, la página puede mostrar fotos de atletas, cada una con un botón de ‘Votar’ y contadores en tiempo real que muestran supuestos totales de votos y el número de usuarios que ya han participado”, detallan desde Kaspersky.

Tales elementos son planificados por los ciberdelincuentes para crear una falsa sensación de autenticidad y alentar a que los usuarios interactúen con el sitio.

Junto con ello, la página afirma que cualquiera puede participar en el concurso, tras entregar una “autorización”. Prometen que los ganadores recibirán premios de supuestos “patrocinadores”.

“Al hacer clic en los botones ‘Votar’ o ‘Autorizar’, los usuarios son redirigidos a una página fraudulenta que los insta a ‘autorizar rápida y fácilmente’ vía WhatsApp”, advierte la empresa de ciberseguridad.

Ahí, se les solicita que introduzcan el número de teléfono móvil asociado a su cuenta de la app.

“A continuación, los atacantes utilizan la función de WhatsApp para iniciar sesión en la interfaz web del mensajero mediante un código de un solo uso: ingresan el número de teléfono de la víctima y el sistema genera un código de 6 dígitos que el sitio de la estafa refleja”.

“Cuando el usuario introduce ese código en la aplicación de su smartphone, la sesión web que los atacantes habían iniciado se activa, permitiéndoles espiar a la víctima, enviar mensajes y, finalmente, apoderarse de la cuenta”, agregan los especialistas de la compañía.

El analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky, Leandro Cuozzo, declaró a través de un comunicado que “observamos que los concursos en línea con votaciones son muy populares actualmente, y esto es aprovechado por los atacantes, que explotan la confianza en esta actividad aparentemente inofensiva”.

“Al combinar la ingeniería social con interfaces falsas convincentes, los atacantes convierten la interacción de los usuarios en un arma para robar datos sensibles. La conciencia y la vigilancia son fundamentales para mantenerse protegido”.

Cómo evitar caer en la la nueva estafa de robo de cuentas de WhatsApp mediante votaciones falsas

Los expertos de Kaspersky compartieron una serie de recomendaciones para evitar caer en este tipo de estafas que buscan secuestrar cuentas.

Recomendaron habilitar la verificación en dos pasos de WhatsApp para añadir una capa extra de seguridad, ya que se requiere un PIN para poder acceder.

De la misma manera, recalcaron la importancia de verificar la autenticidad de los sitios web.

“Evite ingresar información personal en páginas desconocidas, especialmente aquellas a las que se accede mediante enlaces no solicitados. Revise siempre la legitimidad de la URL”, afirmaron.

Junto con ello, enfatizaron que nunca se deben compartir los códigos de verificación, ni siquiera si lo pide una fuente aparentemente confiable. Precisaron que WhatsApp nunca lo solicitará.

Asimismo, recomendaron utilizar un software de seguridad confiable para detectar y bloquear sitios web fraudulentos y enlaces maliciosos, así como para proteger los datos personales y de pago.