Archives for febrero 2024

La estafa del familiar: el nuevo phishing que finge ser tu hijo o tu hija

‘’Papá, el teléfono se ha roto y necesito…’’, ‘’Mamá, te hablo desde el teléfono de una amiga… Ayúdame’’

Antecedentes…

Desde la segunda década de este siglo y, especialmente, a raíz de la pandemia provocada por la COVID-19, el número de ciberdelitos ha aumentado exponencialmente.

La delincuencia se ha adaptado a los nuevos tiempos y utiliza Internet y, en general, el medio digital para conseguir sus fines. Entre los ciberdelitos más destacados resaltan aquellos que se valen de la ingeniería social, como el phishing, farming, vishing… La ingeniería social consiste en la práctica de engañar, manipular o presionar a los usuarios para conseguir información confidencial u otros activos. Estos ataques basan su éxito en el error humano y la presión, y son los más frecuentemente utilizados por los ciberdelincuentes por motivos de rentabilidad: es mucho más fácil engañar a una persona que atacar un sistema o una red.

El ciberataque por excelencia: phishing

El phishing, concretamente, es la forma más común de ingeniería social. Con él, los atacantes normalmente se hacen pasar por una persona u organización de la confianza de la víctima (un jefe, una empresa de renombre, una institución pública, el banco de la víctima,…) y, además, crean una sensación de urgencia, provocando que la víctima actúe de forma precipitada. Seguramente muchos de los lectores puedan haber sido atacados mediante este método: un falso email de Correos o de la Agencia Tributaria (phishing clásico), o un SMS del Banco Santander (smishing). Son muchas las maneras de materializar este ciberdelito… ¡y no dejan de surgir otras nuevas!

El nuevo protagonista: smishing del familiar

Sin embargo, en los últimos dos años y, sobre todo, en los últimos meses, ha proliferado la nueva estafa a través de SMS en la que se hacen pasar por un familiar de la víctima para conseguir, principalmente, dinero.

El modus operandi de este fraude es el siguiente:

  • Paso uno: el autor de la estafa escribe un mensaje como ‘’Mamá, el teléfono se ha roto…’’, con la intención de hacerse pasar por uno de los hijos de la potencial víctima.
  • Paso dos: envía el mensaje a miles de números de teléfonos aleatoriamente.
  • Paso tres: a quienes contestan, les solicitan dinero de forma urgente. Dependiendo del objetivo, el dinero se pedirá de una sola cantidad o de forma fraccionada; también existe la posibilidad de que se requieran más datos para acceder a cuentas bancarias o a otro tipo de información confidencial.

Estas estrategias constituyen una especie de ’’pesca de arrastre’’: saben que la mayoría de personas atacadas no caerán en la trampa y no responderán, pero también cuentan con que un pequeño porcentaje responderá. Y a mayor número de destinatarios, mayor será el número de usuarios engañados.

Este tipo de ataque tiene también su variante en versión WhatsApp, y una de las más conocidas es la estafa del viajero. En esta, se aprovechan del supuesto viaje de un familiar que requiere nuestra ayuda en la aduana del aeropuerto. El modus operandi es el mismo que en el SMS familiar.

Existen muchas formas de phishing, pero todas tienen la misma finalidad: obtener información personal y la de personas allegadas, para, en último extremo, acceder a datos bancarios y robar dinero.

Consejos y consideraciones

  1. Sentido común: Antes de creer todo lo que nos llega, proporcionar nuestros datos personales o efectuar algún pago, parémonos un segundo a pensar. Puede que el SMS, correo electrónico o mensaje de WhatsApp recibido sea falso.
  2. Contacto alternativo: Es recomendable intentar establecer contacto con el familiar en cuestión por un medio diferente: llamar al móvil, hablar por WhatsApp o cualquier otra vía de mensajería, redes sociales…
  3. No precipitarse ni ceder a la presión: Este tipo de estafas se valen de una supuesta situación de urgencia para apremiar a sus víctimas a efectuar los pagos o la entrega de datos. Por ello, es importante no ceder bajo presión ni tomar decisiones precipitadas.
  4. Buscar información: Una consulta en cualquier buscador nos puede ayudar a resolver muchas dudas cuando recibimos un mensaje sospechoso. Si pensamos que un SMS, correo o WhatsApp puede ser fraudulento, es probable que en Internet haya información sobre ello: noticias, blogs, avisos…
  5. Consultar a la Policía o la Guardia Civil: Si las dudas persisten o tenemos serios indicios de que se trata de un fraude o estafa, podemos consultar a la Policía o Guardia Civil, bien a través de sus páginas web oficiales, bien personándose en alguna dependencia de esos Cuerpos.

Conclusión

La lucha por la prevención, detección y reducción de la ciberdelincuencia es una carrera continua. ¿Por qué? Porque a medida que se perfeccionan los sistemas de seguridad, los hackers descubren, inventan o idean nuevas formas de saltarse y burlar los controles…¡y así, sucesivamente, como una pescadilla que se muerde la cola!

Por ello, la formación de los usuarios, es decir, las personas que utilizamos Internet, es de vital importancia, ya que estamos en la diana de la mayoría de los ataques; al fin y al cabo, constituimos el eslabón más débil. En definitiva, la ingeniería social es el método más eficiente de ciberataque: en gran parte, los ciberdelitos tienen éxito debido a errores humanos

¡Pero que nadie tire la toalla tan rápido!

Es posible prevenir y llegar a niveles de ciberseguridad altos (cercanos al 100%), si desarrollamos un uso responsable y sensato de Internet. Al fin y al cabo, cuantas más capas de ciberseguridad pongamos, menos caeremos en hackeos, trampas y ciberdelitos en general.

Navegación Segura: El doble filo de las URLs acortadas

En la era de la información instantánea, el vertiginoso ritmo de la comunicación digital ha dado paso a innovaciones que optimizan la eficiencia y la rapidez en el intercambio de información. Entre estas, las URLs acortadas han surgido como una herramienta común y valiosa para compartir enlaces de manera ágil y sencilla. Estas versiones condensadas de direcciones web no solo economizan espacio, sino que también facilitan la memorización y el intercambio de contenido en plataformas con restricciones de caracteres.

En esta ocasión, nos centraremos en explicar los riesgos a los que nos exponemos cuando navegamos por internet, y accedemos a algún sitio web a través de las famosas URLs acortadas, que nos impiden conocer a dónde nos dirigimos.

¿Qué es una URL acortada?

Una URL acortada, tal como su nombre sugiere, es una versión condensada de una dirección web que posee menos caracteres que su contraparte original, conduciendo al usuario al mismo sitio web. A diferencia de una URL original que detalla el contenido mediante palabras y guiones, la versión acortada emplea combinaciones al azar de números y letras. Entonces, ¿cuál es la complicación si ambas llevan al mismo destino? La dificultad reside en la limitación para visualizar el contenido al que se accederá.

¿Por qué se utilizan las URLs acortadas?

El uso de URLs acortadas se popularizó en los primeros años de este siglo, coincidiendo con el surgimiento de las primeras redes sociales y la adopción de servicios de mensajería y SMS en dispositivos móviles. Esta práctica surgió como respuesta a la necesidad de adaptarse a las limitaciones de caracteres impuestas por las redes sociales y los mensajes de texto al compartir contenido en la web.

Un ejemplo destacado de esta tendencia se observa en Twitter, ahora conocido como X, donde la extensión máxima permitida por mensaje es de 280 caracteres. En este contexto, cobra relevancia el uso de URLs acortadas, no solo para ajustar todo el contenido deseado en el espacio limitado, sino también, como sugiere un estudio de Hubspot, para optimizar la efectividad de los twits, sugiriendo un tamaño ideal de entre 120 y 130 caracteres para lograr una tasa elevada de clics.

¿Qué peligro tiene acceder a una URL acortada?

Como hemos evidenciado, el uso de URLs acortadas resulta altamente conveniente. No obstante, los ciberdelincuentes aprovechan la falta de información al acceder a un enlace acortado, ya que desconocemos la dirección exacta y el contenido de la página web de destino. Este escenario propicia engaños y nos expone a diversas amenazas que pueden comprometer la seguridad y privacidad de nuestros dispositivos.

Mediante la ingeniería social, los ciberdelincuentes simulan situaciones y nos redirigen a enlaces que potencialmente descargan malware. Al hacer clic en la URL acortada, corremos el riesgo de ser redirigidos a sitios web que descargan software malicioso, programas o archivos sin nuestro consentimiento. Además, la generación de enlaces acortados a menudo implica el uso de intermediarios o empresas externas encargadas de crear dicho contenido. En general, estos enlaces se emplean para la creación de perfiles de usuario, utilizando técnicas de fingerprinting para rastrear nuestra ubicación a través de la dirección IP, con el propósito de ofrecernos servicios y anuncios personalizados.

Así mismo, al acceder al enlace recortado, es posible que nos redirijan a páginas web fraudulentas que imitan a la original, suplantando su identidad. En caso de iniciar sesión con nuestros datos personales, los ciberdelincuentes pueden recopilar esta información y comprometer nuestra seguridad. En la actualidad, el phishing y el smishing son prácticas comunes, donde se suplantan entidades reconocidas como la policía, bancos, empresas eléctricas, entre otros, para inducir a los usuarios a revelar información confidencial.

Recomendaciones para mejorar nuestra protección ante las URLs acortadas

En primer lugar, y lo más importante, es tener conciencia de que no todas las URLs recortadas suponen un peligro; sin embargo, debemos ser cuidadosos y tener sentido común cuando accedamos a un enlace recortado.

En segundo lugar, si accedemos a una página web haciendo uso de un enlace recortado no debemos facilitar ninguna contraseña ni otro dato personal. Por ello, siempre que nos dispongamos a introducir algún dato personal sensible es preferible que se acceda a la página raíz a la que apuntaba el enlace recortado, es decir, dando unos pasos atrás y buscar la página de inicio; de esta manera nos aseguraremos de que estamos en la web original. Ahora bien, siempre es mejor acceder directamente a través de enlaces originales y que cumplan con los estándares de protección, como son los certificados digitales y el protocolo HTTPS de navegación segura. Una buena señal es la aparición del candado en la parte izquierda del navegador, al lado de la ruta URL. No obstante, si hemos accedido y no estamos seguros de si se ha comprometido nuestros datos, como una contraseña o algún dispositivo, siempre es recomendable realizar un análisis con nuestro antivirus e incluso cambiar la contraseña.

En tercer lugar, existen múltiples herramientas en internet que nos permiten comprobar los enlaces recortados a los que queremos acceder. Gracias a estas herramientas podemos desentrañar la URL original y conocer su contenido real y, además, analizar la URL por si contiene algún tipo de malware antes de acceder directamente. Cabe destacar que muchas de estas herramientas nos permiten previsualizar el contenido de la página web antes de acceder a ella. Algunos ejemplos de estas herramientas son:  

  • CheckShortURL Se trata de una herramienta que nos facilita una breve descripción de la página web a la que vamos a acceder, así como el título, el autor y el enlace original.
  • Securi Se trata de una herramienta muy completa. En concreto, realiza un análisis de la URL acortada, en la que detecta si contiene o no algún tipo de malware y, además, ofrece una puntación evaluando la seguridad del referido enlace. Por último, nos proporciona información sobre el contenido de la web, así como su enlace original.  

En definitiva, las URLs acortadas son una herramienta muy útil de la que hacemos uso constantemente; sin embargo, es conveniente seguir nuestras recomendaciones para evitar caer ante las trampas de los ciberdelincuentes, consiguiendo así mantenernos ciberseguros.

Ciberseguridad y distribución cinematográfica

Querido Sancho…

No es oro todo lo que brilla en la industria cinematográfica, sobre todo para quienes desean irrumpir en ella. Ya sea por la falta de contactos o por falta de oportunidades, cualquier ocasión reluce como el metal precioso.

El principal trabajo constante y estable en el cine se da en los departamentos de producción o aquellos relacionados con la administración de las entidades que producen, distribuyen y exhiben películas. Para quienes rehúyen de este tipo de trabajos, es decir, el equipo técnico y artístico, buscar estabilidad resulta complicado. Por lo tanto, cualquier ventana que dé a conocer su trabajo es mejor que ninguna.

Hay multitud de entradas en los blogs de cineastas o de medios vinculados a la industria alertando de una praxis fraudulenta que se aprovecha de cineastas emergentes. El iceberg del negocio de festivales fraudulentos es profundo y daría, como mínimo, para un documental. Aun así, la cima de este coloso se inicia en internet, y hay prácticas muy reconocibles que se pueden detectar, alertar y denunciar.

Un viaje inesperado

Supongamos que queremos crear un festival de cine. Interés no faltaría, porque siempre habría talento emergente y/o cineastas que busquen un espacio donde dar a conocer su trabajo y, también, un público curioso por ver películas con el equipo presente. Para albergar todo esto, necesitaríamos uno o varios espacios donde poder proyectar los metrajes y organizar eventos como encuentros de la industria, talleres, o incluso comidas y cenas. Para cubrir esos costes, necesitamos un fondo o el interés de varias entidades que provean de los medios a cambio de un beneficio directo (cobrarnos el alquiler de los espacios) o indirecto (cobrando entradas al público). La publicidad es un buen método de financiación porque a los patrocinadores se les ofrece la oportunidad de ver su marca al lado de asistentes de renombre o beneficiarse de la atención del público asistente. En fin, son muchas las opciones a nuestro alcance.

Adicionalmente, existe la opción de cobrar una tasa a modo de solicitud para que una película sea considerada como competidora en un festival. Hay argumentos tanto a favor como en contra del uso de estos pagos. Por una parte, hay quienes dicen que favorece un sesgo de clase entre aquellas personas con pocos recursos y aquellas que pueden recaudar esos fondos para mitigar esos costes. Y, por otra, hay quienes justifican su uso alegando que lo recaudado se destina al mantenimiento del festival, su plantilla, entre otros. Pero, de lo que no se trata, en ningún caso, es de una garantía de acceso al festival.

Por lo general, los festivales recurren a intermediarios para gestionar la recepción de los metrajes. Esto quiere decir que, si en la época de las tecnologías analógicas los festivales recibían y almacenaban las bobinas con las copias de las películas que aspiraban a competir, hoy en día, en la era digital, todo ese trabajo de almacenaje se delega a una plataforma externa que, a cambio, pide un porcentaje de las tasas. Algunas de estas plataformas son Festhome, FilmFreeway, o Movibeta. FilmFreeway es una de las más populares, no exenta de cierta polémica, llegando a cobrar un 6% de la tasa o un 3% si tienes una cuenta preferente o “preferred pricing plan”. Pero su fama no le viene por su comisión, sino por los escasos medios de verificación de una cuenta creada en su plataforma. Un vídeo publicado en el canal de Youtube de Brickwall Pictures sobre el fraude y declive del Festival de cine de Oaxaca, aborda el asunto.

Pero, si se profundiza el análisis, se puede encontrar el estudio realizado en el 2013 por Stephen Fellows, investigador y productor, que cifraba en 3.000 los festivales de cine en activo. Solamente en FilmFreeway se registraron, ese mismo año, un total de 8.000.

Y es que, desafortunadamente, no hay suficientes datos para evaluar la tendencia en esta clase de estafas o fraudes; parece oportuno plantear algunos conceptos y consejos que puedan ayudar en la prevención de estafas a través de las plataformas.

Lo primero es diferenciar a los festivales falsos de los pseudo-festivales:

  • Los festivales falsos son eventos fraudulentos que no existen. Cobran las tasas de inscripción y, luego, desaparecen.
  • Un pseudo-festival se asemeja bastante a uno falso con la diferencia de que, a menudo, se presentan como festivales más grandes de lo que son. A diferencia de los falsos, dotan al evento de un mínimo de organización, pero deficiente en la calidad profesional y artística de sus contenidos. Al igual que el anterior, su misión es lucrarse con las tasas de inscripción y las entradas a otras actividades que ellos mismos organizan. Como es de esperar, el coste de estos eventos recae en sus invitados con el abono de una entrada.

Pese a sus diferencias, ambos comparten una serie de rasgos comunes:

Ubicación:

  • Emplazamientos genéricos o prestigiosos. La mayoría de las grandes ciudades cuentan con festivales de cine. Y, por muy nuevos y legítimos que parezcan, hay que sospechar de aquellos que se dicen “nacionales” o se celebran en emplazamientos reconocidos.
  • Su domicilio fiscal está el extranjero: uno de los objetivos de un festival de cine es promocionar la ciudad en la que se realiza. Por lo tanto, si su domicilio no es local, no es un buen indicio.

Actividades:

  • No hay proyecciones abiertas al público: si un evento tiene proyecciones cerradas al público, no es un festival de cine. Asimismo, en una plataforma tipo FilmFreeway, debe evitarse aquellos festivales que aparezcan en las categorías de “Sólo premios”, “Sólo las películas ganadoras se proyectarán públicamente” o “Sólo realizado de modo online”.
  • No hay folleto/catálogo del programa del festival.

Estructura corporativa:

  • Mismos organizadores: Si un festival con sedes en varios países lo dirigen los mismos organizadores en todo el mundo, puede que se trate de una estafa.
  • Escasa información de contacto. Si la página web del festival carece de datos de contacto del organizador, es motivo de sospecha.
  • Ausencia de patrocinadores o patrocinadores falsos. No todos los festivales tienen la suerte de contar con grandes patrocinadores, pero la mayoría de ellos suele relacionarse con empresas legítimas y organizaciones de la industria cinematográfica que conozcas o puedas verificar. Pero, ojo, algunos festivales fraudulentos incluirán patrocinadores falsos.
  • Siglas sospechosas: Fijarse bien en el nombre del festival ahorra disgustos. Las palabras “Independent”, “International”, o incluso alguna consonante adicional en las siglas de un festival que tenga un nombre semejante a un festival más grande, son argumentos para la desconfianza.

El factor económico:

  • Tasas de inscripción altas. No es extraño que las tasas de un festival sean caras, pero sí lo es cuando el festival es poco conocido. Hay festivales que no requieren de una tarifa de entrada e incluso los mejores festivales, como el conocido festival de Sundance, no cobran tasas superiores a los 100$
  • Hay que pagar por los trofeos. Muy sencillo, no hay que pagar por los premios.
  • Los cineastas tienen que pagar sus gastos de viaje. Es cierto que no todos los festivales pueden permitirse pagar los gastos de viaje de los cineastas, pero la mayoría de los legítimos cubrirán un porcentaje de los gastos de alojamiento o del transporte.

Premios y trofeos:

  • Demasiadas categorías de premios. Un festival legítimo tiene un conjunto limitado de premios. Y tiene su lógica, porque, si hay una multitud de premios y categorías aleatorias e indistintas, ¿qué mérito tiene ganar uno?
  • Poca información sobre las películas seleccionadas. Si la única información que se ofrece es una vaga descripción en un inglés deficiente, hay que sospechar. Ante la duda, siempre se puede cotejar la información con alguien que domine mejor el idioma.
  • No hay una lista verificada de ganadores. Si un festival fraudulento está tratando de falsificar su historial, es posible que publique una lista de películas falsas que han ganado premios en “ediciones” anteriores. Cualquier película que haya sido lo suficientemente buena como para ganar un premio tendrá una presencia mínima on-line como prueba de su existencia (una página de Facebook, un sitio web, créditos en IMDB o un tráiler en Youtube o Vimeo).
  • Los premios se limitan a un diploma.

Extraños criterios de selección de material:

  • Escasa información acerca de los criterios de selección. La falta de detalles acerca del proceso de selección y de la composición del jurado es un mal indicio.
  • Convocatorias largas. Una convocatoria suele durar entre unos 3 y 7 meses, llegando a terminar un par de meses antes del inicio del festival. Este periodo le sirve al equipo de programación para ver y deliberar qué películas serán seleccionadas, y planificar los eventos. Operar con una convocatoria abierta todo el año puede ser una señal de festivales diseñados para enriquecerse mediante tasas de inscripción.
  • Se aceptan todas las películas que paguen la tasa de inscripción.

Presencia on-line sospechosa:

  • Sitio web y RR.SS desactualizadas. Un festival legítimo actualizará periódicamente su presencia digital ya que, para ello, contará con un equipo de marketing digital.
  • Correos urgentes y aduladores: Son los más fáciles de identificar ya que se tratan de correos de tipo Phishing. La estrategia más usada es redirigir a la víctima a un perfil en una plataforma intermediaria, ofreciéndole un descuento en la tasa de inscripción. Suelen ser correos aduladores con la víctima y van acompañados de un mensaje urgente, como por ejemplo un periodo limitado en el descuento de la tasa. Además, van firmados por la dirección del festival con un nombre sin apellido.

A continuación, podéis ver un ejemplo

Traducción: “Querido Mike. Espero que estés bien. Me llamo Emmy, yo soy la directora de Star International Film Festival. Me interesé mucho por tus trabajos, y quería invitarte a que te convirtieras en un participante en las nominaciones de mi festival. Te sugiero que te familiarices con mi festival. Confío en que encuentres una nominación que mejor se adecue para tu trabajo. Estaré muy feliz de cooperar. Estaré atenta a tu respuesta. Mejores saludos, Emmy”

Este texto no está mal traducido ni se ha hecho con un traductor online. Es lo que pone en el correo.

Recomendaciones

Lo mejor que se puede hacer en estos casos es:

  1. Investigar y verificar cada festival antes de solicitar la participación.
  2. Limitar entregas y centrarse en festivales conocidos (sin importar el tamaño).
  3. Usar el sentido común. Si hay algo que no parezca convincente, se debe investigar.
  4. Pensar dos veces antes de postular. Hay que priorizar las oportunidades a las fechas límite.
  5. Denunciar los festivales fraudulentos ante las plataformas que usan para publicitarse.

Como añadido, existe The Dubious Film Festival Form, una lista actualizada de manera periódica en la plataforma submittingtofilmfestivals.org con nombres y características de festivales fraudulentos. Aquí puede encontrarse la lista del mes de Noviembre del 2023.

La distribución, aunque sea laberíntica e incierta, es un proceso necesario para la vida de un metraje (bien sea corto o largo). Así mismo, el proceso de acudir a un festival con un proyecto seleccionado para competir es un momento que llega tarde o temprano y para el cual hay que tener paciencia. No hay garantía de que el proyecto que se postule llegue a seleccionarse, pero sí se puede garantizar un mejor uso de los medios digitales siendo conscientes de sus riesgos.