Los ciberdelincuentes están aprovechando el público de la Copa América y la Eurocopa a un lado y el otro del Atlántico, para intentar estafas a través de phishing que simulan ser concursos, o de sitios web falsos que prometen transmisiones en vivo de los partidos.

Así como el entusiasmo y la atención que generan ambos eventos deportivos y el aumento de usuarios que interaccionan en redes sociales y plataformas de transmisiones online es aprovechado para el marketing y la publicidad, también es atractivo como anzuelo para los ciberdelincuentes que buscan aprovecharse de la emoción de los fanáticos y es la excusa para intentar engañar a los usuarios.

Desde el laboratorio de ESET se han observado diversas estafas a través de correos de phishing, que simulan ser concursos, o sitios web que redirigen a páginas con malware capaz de robarse información sensible.

A continuación, enlistaremos algunos de los engaños y estafas que se han observado por el equipo de laboratorio de ESET en cada uno de estos eventos deportivos, para que te mantengas atento y a salvo.

Correos de phishing

A pesar de ser de las técnicas más reutilizadas por los cibercriminales, su efectividad e impacto siguen dando de qué hablar y nos referimos a las campañas de phishing a nivel global que intentan hacer creer a las personas que su dirección de correo ha entrado en un sorteo para poder disfrutar partidos la Eurocopa 2024, como se ve a continuación:

copa-america-estafas-eurocopa-engano
Imagen de Maldito TIMO 2024

El correo electrónico tiene por título “¡No pierdas la oportunidad de ganar entradas para ver los partidos de la EURO 2024 en vivo! Participa en nuestro concurso”, sin embargo, al analizar que el remitente UEFAEURO2024, se puede observar que la dirección de correo es una totalmente personal.

copa-america-estafas-eurocopa-engano-phishing
Correo de phishing donde se obeserva un remitente distinto 

Si la víctima logra dar clic en el botón del cuerpo del mensaje, este correo de phishing dirige a una página web que no es un sitio oficial de la UEFA invitándola a responder un formulario que solicita una larga lista de datos personales, como nombre completo, domicilio, código postal, ciudad, país, número de teléfono, correo electrónico e información de tarjetas de crédito.

Además, en la parte final del formulario vendrá un banner que indica que se hará un cargo inicial de 10 euros por una suscripción llamada “Club de fidelidad” y posterior al periodo de prueba, se cobrarán 43 euros cada 14 días.

copa-america-estafas-eurocopa-engano-tickets
Formulario falso para acceder a entradas o tickets

Canales de Telegram que prometen ver los partidos en vivo

Una forma de poder disfrutar de estos eventos en tiempo real es a través de las trasmisiones que brindan las grandes cadenas televisivas y por lo cual debe de pagarse una membresía o suscripción, sin embargo, muchos usuarios al quererse ahorrar este tipo de costos pueden verse afectados por malware capaz de disfrazarse como una transmisión inofensiva, pero que por segundo plano está ejecutando código malicioso, cuyo objetivo es robar la información en navegadores no actualizados como contraseñas y cookies de la víctima.

copa-america-estafas-eurocopa-engano-telegram
Imagen. Ejemplo de un canal malicioso de Telegram en donde se pueden ver transmisiones de la Copa América 2024.

Cuanto la víctima entra al enlace principal, se encuentra con una página aparentemente normal de trasmisiones en vivo de los partidos de la Copa América 2024, como se ve a continuación:

copa-america-estafas-eurocopa-engano-tv-streaming
Imagen obtenida a través de un visor externo. Fuente: URLSCAN.IO

Sin embargo, al analizar los enlaces del canal de Telegram se puede observar que la página que se promociona ya ha sido identificada como fraudulenta, la cual contiene una amenaza en JavaScript del tipo Troyano.

copa-america-estafas-eurocopa-engano-streaming

Imagen obtenida de Threatcenter. Fuente: https://threatcenter.crdf.fr/

Incluso hay páginas dedicadas a promocionar estos canales de Telegram en las primeras búsquedas de los navegadores, sin estar conscientes de que las “sorpresas” que contienen.

copa-america-estafas-eurocopa-engano-messi
Imagen. Página que invita a ver los partidos en vivo de la Copa América por canales de Telegram.

Otras formas de engañar

Las redes sociales son otros de los medios por los cuales pueden llevarse a cabo este tipo de estafas y que utilizan los cibercriminales con la temática de la Eurocopa y Copa América 2024 para cumplir sus fines nada éticos e ilegales, tales como enviar mensajes de WhatsApp invitando a participar en un concurso,  ingresando datos personales como sucede en el primer caso de este artículo.

Tiktok, es otra de las redes sociales donde se replica estas técnicas de ingeniería social, indicando que pueden conseguir boletos más económicos, solo basta con ingresar al enlace y éste redirigirá a la víctima a un formulario donde se solicitará un gran listado de información personal.

copa-america-estafas-eurocopa-engano-tiktok-telegram
Imagen. Canal de TikTok que promociona la venta de boletos anticipados de la Copa América 2024.

Cómo evitar estas estafas

Verificar la autenticidad del remitente

La importancia de siempre revisar la dirección de correo electrónico del remitente es fundamental, puesto que los estafadores a menudo usan direcciones similares a las legítimas, pero con pequeñas variaciones.

  • No hacer clic en enlaces sospechosos ni descargar archivos adjuntos

Las campañas de ingeniería social con temáticas deportivas vienen acompañadas de enlaces y regularmente de archivos adjuntos en los correos electrónicos, los cuales llevan a sitios web falsos diseñados para robar la información de la víctima. Si se descarga el archivo adjunto, este puede venir con algún código malicioso o con una serie de instrucciones que permitan descargar un malware más avanzado cuya finalidad es obtener los datos de la víctima; en ambos casos el ciberdelincuente busca lucrar con lo obtenido dentro de la dark web

  • Usar la autenticación de doble factor (2FA)

Habilitar la autenticación de doble factor en todas tus cuentas importantes, añade una capa de seguridad más hacia el acceso a su información personal.

  • Utilizar soluciones antimalware que permitan detener aquellos intentos de phishing en el correo electrónico

Contar con una solución de última generación que filtre automáticamente todos aquellos correos electrónicos sospechosos, es fundamental para evitar este tipo de estafas.

  • Ver los partidos en los canales o sitios permitidos por los organizadores

Es cierto que para ver muchos de estos eventos es necesario poder pagar algún tipo de membresía, pero es mejor invertir unos cuantos dólares para poderlos disfrutar que ver comprometida la información personal y siendo vendida en algún mercado negro por algún agente malicioso.

  • Dudar de las buenas ofertas en diferentes medios y redes sociales

Si se encontrara con algún descuento que parece irreal y demasiado bueno para estos eventos, dude porque puede tratarse de una estafa.