En los últimos días se ha difundido un mensaje en WhatsApp que asegura que Adidas está regalando 5000 pares de zapatillas por su 93º aniversario. Yo lo he recibido ya tres veces en un día. Es un fraude, lo mejor es no abrir siquiera el mensaje y avisar de ello a quien nos lo haya enviado. Si quieres saber más sobre cómo funciona esta estafa, el peligro que representa y por qué tiene tanto éxito, sigue leyendo.
Este tipo de estafas vuelven a aparecer cada cierto tiempo y, a veces, se hacen muy populares. Hace un par de años se hizo muy famosa otra campaña fraudulenta en la que se decía que Mercadona estaba repartiendo cheques regalo. Curiosamente, si buscamos «zapatillas adidas whatsapp», encontramos que la prensa y blogs especializados alertaron hace meses (en febrero de 2018) sobre un caso similar. La técnica que utilizaron los ciber-delincuentes para tratar de engañarnos fue ligeramente distinta, como veremos más adelante, pero ambas campañas coinciden en proponer a Adidas como supuesto benefactor.
¿Cómo funciona un fraude como el de las zapatillas Adidas?
Este tipo de ataques recibe el nombre de phishing. El nombre es una alteración de la palabra fishing («pesca» en inglés). Su objetivo es obtener datos personales como direcciones, teléfonos, contraseñas o incluso financieros como números de tarjeta de crédito. Para ello, los atacantes imitan o suplantan a una entidad de prestigio para ganarse la confianza de la víctima. Son famosos los casos de phishing bancario pero, como vemos en este caso, otras entidades también se utilizan como reclamo en muchas ocasiones ¿Recordáis el mensaje fraudulento de Correos? Pues eso, imaginación al poder.
Una vez dentro de la página, se ofrece un premio para animar a la víctima a continuar, a cambio de introducir sus datos. Esta es una secuencia después de seguir uno de los enlaces de esta campaña de phishing. En este momento ya no había referencias a Adidas. La campaña ya llevaba varias horas activa y podría haber cambiado para evitar ser detectada. También se observa que el navegador salta a diferentes dominios entre una página y otra.
En este caso se utilizaba una dirección que contenía la palabra «adidas» para hacer creer que la página era verídica. Es posible detectar el engaño, como se verá a continuación. Pero con la emoción del momento y sin la información adecuada, es natural que se pueda caer en el error de aceptarlo como válido.
¿Qué riesgos presenta este tipo de fraude?
El más evidente es que podamos introducir nuestros datos o nuestro número de tarjeta. Esto puede causarnos molestias e incluso pérdidas económicas. Pero la gran pregunta es ¿Puede ocurrir algo incluso si no proporcionamos nuestros datos? Pues bien, podría ser que la página de destino intente explotar algún fallo conocido de nuestro navegador o del sistema operativo de nuestro teléfono u ordenador. La probabilidad de que esto ocurra no es muy alta, pero existe. Lo mejor es no probar estos enlaces sospechosos, además de instalar siempre las actualizaciones del sistema.
¿Cómo detectar que es un fraude?
He recibido el enlace fraudulento de las zapatillas Adidas con direcciones diferentes, no los voy a reproducir por no regalarles enlaces (podéis ver algunos en las imágenes), pero en todos los casos tenían una estructura como http://adidas.com-algo.algo ¿Parece auténtico? Pues no. Explico por qué.
Lo primero es explicar cómo está estructurada una dirección de Internet (URL). Pongamos un ejemplo. A ver si se me ocurre alguno… Ya lo tengo.
https://www.configurito.com/whatsapp-zapatillas-adidas
Protocolo (https)
La primera parte, hasta las dos barras (//) es el protocolo de comunicación, en este caso https (hypertext transfer protocol) la «s» es de seguro (secure).
Nombre del servidor (IMPORTANTE)
A continuación viene la parte más importante, en la que más nos debemos fijar, que es el nombre del servidor o nombre de dominio. Va desde las dos barras (//) hasta la siguiente barra que nos encontremos (/). En este caso es www.configurito.com. Atención, porque viene algo que es lioso, hasta que te lo explican por primera vez y lo entiendes. El nombre del servidor también está dividido en partes, separadas por puntos, y se lee al revés. El resto de letras y símbolos (incluido el guión y el guión bajo), son parte de los nombres. En este caso:
- com: este es un dominio de nivel superior. Tradicionalmente hemos conocido unos pocos que os sonarán: el .com, el .net, el .org o los dominios territoriales como el .es, .co, .ar, .fr, etc. Más adelante, se crearon muchos otros de tipo .online o .top. Este dominio de nivel superior (top-level domain o TLD) no lo creamos nosotros al reservar un nombre de dominio, sino que lo elegimos de entre una lista que ofrecen las autoridades de Internet.
- configurito: justo lo que viene antes es el nombre de dominio y este sí lo he elegido yo y he tenido que registrarlo ante una autoridad de Internet. Para registrar un dominio hace falta que esté libre (por supuesto) y que la autoridad que gestiona el dominio de orden superior (en este caso TLD) lo acepte. Si yo intentara registrar el nombre adidas-zapas.com o adidas-ofertas.com, probablemente no me lo permitirían, porque está claro que mis intenciones no son del todo buenas. Pero fijémonos que el dominio utilizado en este fraude es «com-algo.algo». En concreto, dos ejemplos que he recibido eran «com-coupon.top», «com-gratis.online» y «com-cash.plus», que cualquiera podría registrar. La palabra «adidas» aparece en la parte que explico a continuación.
- www: este es un subdominio y yo puedo crear tantos como quiera y llamarlos como quiera. Por ejemplo, yo podría crearme un dominio llamado adidas.configurito.com (no lo probéis, no existe) y poner ahí cualquier página que me apeteciera.
Aquí es donde detectáis la trampa. La dirección que nos han pasado no tiene nada que ver con Adidas. Ha sido un listillo que ha registrado «com-gratis.online» y se ha creado el subdominio «adidas» para engañarnos.
Dirección del recurso (el resto)
Una vez identificado el servidor, después de la primera barra solitaria (/) hay un espacio en el que puede haber de todo, incluso más barras. Esta es la ruta hacia un recurso del servidor, similar a las rutas para encontrar los archivos en nuestro ordenador. En este caso sería «whatsapp-zapatillas-adidas».
Lo que haya en esta parte lo elige quien administra el servidor Web (en este caso yo) y puede ser casi cualquier cosa. Como he dicho antes, lo importante es la parte anterior, si no estamos seguros de que el servidor sea de confianza, tampoco nos debemos fiar del resto de la dirección.
¿Por qué se permiten fraudes como el de Adidas?
La pregunta es clásica, no sólo en el ámbito de Internet ¿Por qué se permite el crimen? ¿Por qué se permite la economía sumergida? ¿Por qué se permite la desigualdad laboral? La respuesta es que no se permite, pero los delincuentes siempre buscarán un modo de aprovechar vacíos en la seguridad o en las leyes para actuar. Por lo general, los ciber-delincuentes actúan desde países en los que la legislación es más blanda con estos temas. También utilizan técnicas para ocultar su identidad o dificultar su localización, como utilizar diferentes dominios o alojarse en servidores que hayan sido atacados y, por tanto, sean difíciles de relacionar con los autores del phishing.
Por ejemplo, si habéis pinchado en el enlace (no lo recomiendo), veréis que el navegador hace varios saltos por diferentes dominios hasta llegar a la página final. Comprobando las direcciones IP de estos dominios, se ve que son servidores alojados en algún lugar de Arizona que alojan muchas otras páginas, estas sí, legítimas. Es posible que alguna de esas páginas haya sido atacada y gracias a ello se haya podido alojar la página fraudulenta en sus servidores.