Ciberestafas en apps de citas, un botín de un millón de dólares

Al menos una vez al año, coincidiendo con este mes de octubre que es el Mes Europeo de la Ciberseguridad, el Instituto Nacional de Ciberseguridad realiza una campaña de concienciación social sobre el tema. La de este año se centra en la ingeniería social, bajo el lema “Se más inteligente que un hacker”. El INCIBE colabora para ello con la Comisión Europea y ENISA, la Agencia de la Unión Europea para la Ciberseguridad.

El instituto avisa de las técnicas básicas empleadas en ingeniería social: son muy empáticos con el usuario, dispuestos a ayudar y solucionar sus problemas (que normalmente han creado); tratan de halagar el ego de la víctima; se hacen pasar por instituciones o personas conocidas; presionan para llevar a cabo acciones inmediatas; y contactan a la víctima a través de múltiples métodos. Uno de ellos, las aplicaciones de citas.

Así, el equipo de investigación Sophos X-Ops ha documentado un caso real de este método, que estafó con éxito 22.000 dólares a un hombre llamado Frank. El afectado chateó durante semanas con una supuesta mujer llamada Vivian a través de la aplicación de citas MeetMe. Entre promesas románticas, le animaba insistentemente a que invirtiera en criptomonedas. Frank abrió una cuenta en la aplicación legítima Trust Wallet, que convierte dólares en criptomonedas, pero se conectó al enlace de fondo común de liquidez que Vivian le recomendó.

En realidad, era un site fraudulento que utilizaba como tapadera la marca Allnodes, proveedor legal de plataformas financieras descentralizadas. Tres días después de realizar su inversión, los estafadores vaciaron su monedero digital. Para recuperarlo, le pedían invertir más dinero para obtener “recompensas”. Respecto a Vivian, aunque la bloqueó en WhatsApp, le encontró en Telegram y siguió intentando que continuara su inversión. Hasta le envió una emotiva carta, según Sophos probablemente creada con IA generativa.

A través de esta investigación, Sophos detectó más de 14 webs asociadas a esa estafa, así como docenas de páginas falsas para desarrollar la técnica de pig butchering, la carnicería de cerdo que intenta que la gente invierta en falsos fondos de liquidez de criptomonedas. Solo esa red de pig butchering fue capaz de estafar más de un millón de dólares en tres meses.

Sean Gallagher, investigador principal de amenazas de Sophos, señala que “cuando descubrimos por primera vez los fondos de liquidez falsos, eran aún bastante primitivos y estaban en desarrollo. Sin embargo, ahora los estafadores utilizan estos casos de fraude con criptomonedas y lo integran perfectamente en el resto de sus tácticas de ciberataque. Muy pocas personas entienden cómo funciona el comercio legítimo de criptomonedas, lo que facilita el engaño. Mientras que el pasado año Sophos rastreó docenas de 'fondos de liquidez' fraudulentos, ahora estamos viendo más de 500”.