Estafas digitales: cuidado con este mail que circula sobre Netflix

Cada vez es más frecuente escuchar que una persona recibió un correo electrónico falso a partir del cual intentaron engañarla para que brinde información personal. Se trata de una técnica de suplementación de identidad para sustraer datos, conocida como phishing.

Esta semana, usuarios de Twitter advirtieron sobre un mail apócrifo de Netflix en el que se les pide que realicen una actualización de sus datos de pago del servicio. “Hay un problema con su cuenta al que no puede acceder hasta que realice algunas actualizaciones. Haga clic en el enlace de abajo e inicie sesión, y actualice la información que solicitamos”, dice el mensaje del correo electrónico.

¿Cómo hacer para identificar cuando un mail es falso y qué hacer para denunciar este delito? Te lo contamos en esta nota.

Cuando tus datos personales y cuentas bancarias están en peligro

Pese a que cada vez las personas están más en alerta para evitar ser víctimas de una estafa virtual, los ciberdelincuentes adoptan nuevas formas de engaños. En el caso del mail falso de Netflix, el periodista Mauro Albornoz advirtió en su cuenta de Twitter (@Mau_Albornoz) que los estafadores “copian la misma tipología y logo de Netflix. Así suplantan la identidad de las empresas”. Acá y acá se puede leer el testimonio de otras usuarias sobre estafas similares. 

¿En qué consiste esta estafa? En engañar a una persona (en este caso, cliente de Netflix) para que ingrese a un enlace y actualice sus datos de facturación, incluidos sus datos personales y bancarios, en un sitio web que simula ser el de la empresa. En caso de que cumplan con su cometido, los ciberdelincuentes se apoderan de esa información y realizan distintas acciones; una de las más habituales es realizar compras con la tarjeta de crédito de sus víctimas. 

Daniel Monastersky, abogado especialista en Delitos Informáticos y director del Centro de Estudios en Ciberseguridad de la Universidad del CEMA, dijo en diálogo con Chequeado que “las estafas por suplantación de identidad están basadas en 5 pasos: primero se desarrolla el sitio web para el phishing; luego los ciberdelincuentes envían mail, que contiene un enlace a esa web, a una base de datos de mails a la que de alguna forma accedieron con anterioridad; en tercer lugar, hay un porcentaje pequeño de personas que hacen click en el enlace; en cuarto, un grupo más reducido aún de víctimas ingresa sus datos personales; y, por último, otros ciberdelincuentes comercializan los datos obtenidos para distintas maniobras delictivas”. 

En este contexto, el experto contó que “las tarjetas de créditos de titulares argentinos tienen un valor menor en el mercado de la ciberdelincuencia, en comparación con plásticos asociados a cuentas en dólares, debido a los límites de compra y de extracción”. 

El Equipo de Respuesta ante Emergencias Informáticas nacional (CERT.ar, por su sigla en inglés) de la Dirección Nacional de Ciberseguridad, dependiente del Ministerio de Justicia y Derechos Humanos de la Nación, informó que durante el 2022 se registraron un total de 335 incidentes informáticos. La cifra da cuenta de una disminución del 46% respecto a la del año 2021 (segundo año de la pandemia de COVID-19), en el que se registraron 591 incidentes. De ese total, el 72% fueron intentos de fraude mediante la técnica de phishing. Asimismo, el sector de Finanzas fue el más comprometido, de acuerdo con los reportes. 

En relación con las estafas financieras, Emiliano Piscitelli, director del grupo de investigación en Ingeniería Social de la Universidad Tecnológica Nacional (UTN) de La Plata, remarcó a Chequeado que “en la Argentina, los bancos están reguladas por el Banco Central de la República Argentina (BCRA), que prohíbe a estas empresas enviar correos electrónicos a sus clientes solicitandoles datos sensibles o pidiéndoles que hagan click en determinado lugar para actualizar usuario y contraseña. Si se recibe un mail con estos requerimientos, seguro es falso”. 

Qué hacer para no ser víctima de una estafa

Netflix publicó en su sitio web una serie de consejos para distinguir si un email o mensaje de texto fue enviado efectivamente por la compañía: 

• “Nunca te solicitaremos información personal (número de una tarjeta de crédito o débito, detalles de cuenta bancaria o contraseña de Netflix) por email o mensaje de texto”. 
• “Nunca solicitaremos pagos por mail de otro proveedor o de un sitio web externo”. 
• “Si el texto o el email vinculan a una URL que no reconoces, no la toques ni hagas click en ella. Si ya lo hiciste no ingreses ninguna información en el sitio web que abriste”. 

Desde el Ministerio de Justicia y Derechos Humanos de la Nación, recomiendan siempre “chequear el remitente antes de abrir cualquier correo electrónico; comparar el remitente con mensajes anteriores; comprobar si la dirección de internet (URL) es la de la empresa; y comunicarse con los servicios de atención al cliente antes de responder si existe alguna duda”. Otros consejos generales para evitar ser víctima de los ciberdelincuentes, se pueden consultar acá. 

Piscitelli comentó sobre el método PICO creado por él para identificar posibles estafas: P, de pretexto -la víctima recibe un mensaje con un pretexto que le llamará la atención: oferta, subsidio, etcétera-; I, de Impostor -el ciberdelincuente se presenta como si fuera una empresa u organismo-; C, de contexto -se aprovechan de una situación específica: salud, económica y social-; O, de oportunidad -ofrecen una oportunidad única e imperdible por poco tiempo-. 

Cómo denunciar estos delitos

En el caso de haber sido víctima, la denuncia se debe realizar en la fiscalía especializada más cercana al domicilio, en el Ministerio Público Fiscal o el Ministerio Público Fiscal de la Ciudad de Buenos Aires.

Monastersky recomendó a las víctimas “realizar también la denuncia en una comisaría en caso de que los delincuentes hayan realizado gastos con sus tarjetas bancarias y presentar luego esta documentación ante la emisora del plástico o el banco con objetivo de recuperar el dinero”.

Por su parte, Netflix solicita a sus usuarios que, en caso de recibir un email o un mensaje de texto sospechoso, lo reenvíen a [email protected]. También recomiendan ponerse en contacto con el banco o emisora de la tarjeta de crédito para advertirle de la situación. 

También el buscador Google ofrece la posibilidad de denunciar un sitio web de phishing (ver acá). En caso de que la página denunciada infrinja sus políticas, es posible que la compañía actualice el estado del sitio en el Informe de Transparencia y que comparta con terceros tanto la URL como su estado.