Plan de ayuda: engaño que circula en WhatsApp que también utiliza técnicas de blackhat SEO

También puedes abrir el chat de WhatsApp haciedo clic aquí.

Vuelven a circular en Latinoamérica engaños con falsas promesas de ayudas económicas. Con la intención de reactivar la economía a partir del alivio de la pandemia y las menores restricciones, gobiernos de distintos países, como Argentina, Costa Rica o Perú, están ofreciendo ayudas económicos a la población. Y, como ya hemos visto en reiteradas ocasiones, el lanzamiento de estos programas son utilizados por los ciberdelincuentes para engañar a los usuarios con falsas promesas.

Campañas anteriores

Una de las campañas maliciosas que surgió en el último tiempo es muy similar a otro engaño que analizamos hace unos meses y que apuntaba a usuarios de Colombia utilizando como señuelo el nombre del programa “Ingreso Solidario”, el cual está dirigida a usuarios de Colombia. El programa legítimo es ofrecido por el Gobierno de Colombia a ciudadanos en condición de pobreza y/o vulnerabilidad económica para intentar ayudarlos a mitigar el impacto de la pandemia del COVID-19 y tuvo su pico de actividad a fines del año 2020. A comienzos de septiembre observamos una campaña utilizando una estrategia similar para engañar a ciudadanos de México. En este caso la estrategia fue usar como señuelo el nombre de un programa legítimo ofrecido por el gobierno mexicano llamado Acción Social de Apoyo Emergente, cuyo sitio oficial es el siguiente.

Nueva campaña

En este contexto, en los últimos días identificamos una nueva campaña, pero esta vez apuntando a toda Latinoamérica, utilizando imágenes y contenido de programas reales que existen en países como Paraguay o Perú.

Al igual que las anteriores, esta nueva campaña dirigida a la región en general promete una ayuda económica para poblaciones que se hayan visto perjudicadas por la pandemia, particularmente a grupos que no suelen contar con ingresos fijos, como pueden ser amas de casa o estudiantes.

La distribución de esta nueva campaña también es a través de WhatsApp y busca robar datos personales. La víctima recibe un mensaje con un enlace que llega generalmente a través de un contacto conocido, el cual hace referencia a un programa llamado “Plan de Ayuda”.

Imagen 1: Mensaje que circula a través de WhatsApp buscando despertar el interés de potenciales víctimas

La campaña también intenta atraer víctimas desde Google

Sin embargo, este no es el único método de propagación que utilizan los operadores detrás de esta campaña. Al colocar en un buscador como Google “Plan de ayuda” encontramos posicionado en el primer resultado un sitio apócrifo con la intención de captar víctimas desprevenidas.

Imagen 2: Búsqueda en Google muestra en la primera posición una descripción y un enlace que dirige a un sitio falso 

Para comprender cómo los cibercriminales logran posicionar el sitio debemos comprender el criterio que utilizan los buscadores para mostrar sus resultados. Cada página web indexada recibe una “puntuación” por los motores de búsqueda de acuerdo a una enorme cantidad de factores que contempla el algoritmo y determinan la “puntuación” o relevancia del sitio para una búsqueda determinada. En resumen, podemos decir que se basan en cuan fiel o relevante es la página de acuerdo la búsqueda que realiza el usuario. Esta calificación dada, en este caso por el complejo algoritmo de Google, tiene en cuenta factores como: referencias (enlaces) a este sitio en sitios terceros, palabras clave que contiene la página, número de visitas, referencias a otros sitios que el buscador reconoce como confiable, entre muchos otros. Esta puntuación es lo que define el orden asignado para aparecer en la pantalla de búsqueda.

Ahora bien, existen ciertas técnicas para abusar de este mecanismo y mejorar el posicionamiento de un sitio de manera fraudulenta. A estas se las conoce como BlackHat SEO. Particularmente, los atacantes hacen uso de múltiples palabras clave que el buscador asocia a la búsqueda realizada, una técnica conocida como Keyword Stuffing.

Lectura recomendada: IISerpent: un malware para realizar fraude de SEO como servicio

Una vez que la víctima accede al sitio, por recibir el enlace de un conocido a través de una red social, app de mensajería o por haber realizado una búsqueda de la frase “Plan de ayuda”, se le solicita completar una encuesta, similar a la ya vista en otras de las campañas fraudulentas mencionadas anteriormente.

Imagen 3: Encuesta que se solicita realizar a la víctima en el sitio apócrifo

En la última pregunta, “¿Cómo se enteró de nosotros?”, se puede observar que existe una opción para indicar que se llegó al sitio malicioso a través de Facebook, lo cual puede significar que cuentan con un tercer método de propagación mediante esta red social.

Luego de esta encuesta se le solicita a la víctima compartir el engaño con sus contactos de WhatsApp, dando a lugar el envío de mensajes, tal como se observa en la Imagen 1.

Imagen 4: Instancia en la que se solicita a la víctima compartir el engaño con sus contactos para recibir el beneficio 

Una vez que la víctima envía los mensajes, el sitio redirecciona a la víctima por distintos sitios, para luego finalizar en uno informativo, también propiedad de los cibercriminales, en donde se informa que los beneficios serán depositados en las cuentas bancarias sin más detalles. Sin embargo, el engaño no termina aquí: para recibir un beneficio destinado a padres y madres de familia, se debe compartir la misma estafa vía Facebook, lo cual obliga a la víctima a propagar nuevamente el engaño.

magen 5: Momento en el que se invita a padres y madres de compartir el engaño por tener un hijo a cargo

Consejos para evitar caer en este engaño

Reiteramos nuestra recomendación de desconfiar de supuestos bonos o beneficios que sean demasiado genéricos, no anunciados por ninguna entidad gubernamental o que nos lleguen por medios no oficiales, como pueden ser mensajes vía redes sociales o WhatsApp.

En segundo lugar, tener presente que el primer resultado que nos ofrece el buscador tras realizar una búsqueda no siempre puede ser el indicado. En caso de buscar más información sobre bonos o beneficios económicos, debemos verificar que la fuente sea confiable. Por ejemplo, que la información esté en sitios gubernamentales o que al menos sea promovida en medios de comunicación de buena reputación.

Por último, en caso de haber sido víctima del engaño, es importante dar aviso a aquellas personas a las cuales les compartimos el enlace de la estafa para prevenir que la propagación continúe.