Una estafa de SMS de pago usa el nombre de WhatsApp como gancho
Una estafa de phishing (engaño por el que el usuario proporciona sus datos a delincuentes cuando erróneamente cree estar conectado a un servicio fiable) se propagó ayer a través de mensajes patrocinados de Twitter. Un anuncio en la red de micromensajes invitaba a activar las videollamadas gratuitas en WhatsApp, un servicio que la aplicación todavía no proporciona, pero que proyecta lanzar en breve.
Si el usuario pulsaba el enlace, era dirigido a una web en la que, además de tener que dejar datos de diez contactos, acababa por estar suscrito a un servicio de SMS premium de pago sin saberlo y se le obligaba a descargar una supuesta actualización que, en realidad, formaba parte del software fraudulento.
El aviso de la estafa fue lanzado por la Oficina de Seguridad del Internauta (OSI), que pertenece al Instituto Nacional de Ciberseguridad (Incibe), un organismo estatal para la prevención de los delitos informáticos. El aviso advertía de que el engaño se propagaba mediante redes sociales, no a través del propio WhatsApp, como interpretaron, de forma errónea, muchos medios.
En la aplicación de WhatsApp no se reciben nunca anuncios. Sus creadores la concibieron bajo el principio de no aceptar publicidad. Además, la aplicación bloquea de forma inmediata a quien intenta enviar un mensaje de forma masiva. Así evita convertirse en un medio de difusión de spam.
Descartada la involuntaria participación de WhatsApp en el fraude, el engaño se propagaba no a través de su aplicación, sino de una cuenta patrocinada de Twitter que no sólo llegaba a quienes están suscritos a ella, sino a otros muchos usuarios, porque esta red social sí que transmite, desde hace un tiempo, algunos mensajes publicitarios. El enganche al servicio de SMS fraudulento sólo se producía si el usuario seguía todos los pasos que se le pedían y terminaba por proporcionar su número telefónico, al que se le cargarán los servicios de pago.
El enlace fraudulento llegó a usuarios mediante Twitter y no a través de la popular app de mensajería
En todo el fraude, WhatsApp no tenía participación alguna. El enlace de Twitter abría una supuesta página de internet (para móviles) de WhatsApp. Esa web tenía el mismo tipo de caracteres, paleta de colores y diseño que la de WhatsApp, pero en realidad era todo un engaño.
La difusión de la noticia on line estuvo plagada durante todo el día de confusiones y malas interpretaciones que hacían entender que el mensaje que llevaba a la web fraudulenta procedía del propio WhatsApp.
La OSI recomendaba que, si un usuario, por error, había caído en la trampa de facilitar el teléfono al servicio fraudulento, contactara con su operadora de telefonía móvil para que le bloqueara la posibilidad de utilizar los números SMS Premium.