Falta menos de un mes para que comience la Copa Mundial de la FIFA Qatar 2022, evento que atrae la atención de millones de fanáticos a lo largo del mundo. Sin embargo, trae consigo la latente amenaza de los ciberdelincuentes. Estos se dedican a robar información o directamente el dinero de las personas. A través de distintos modelos de correos falsos, sitios de internet engañosos o la venta de entradas apócrifas es como los criminales atacan a sus víctimas, todo en el margen del evento futbolístico más esperado del año. Es por eso que la compañía especializada en detección proactiva de amenazas, ESET, advierte de sus artimañas y las comparte públicamente, para evitar que el daño continúe en la Web.

Correos falsos

Haciendo referencia a la Copa del Mundo, los delincuentes mandan un e-mail a las personas para hacerles creer que ganaron un sorteo o las entradas para los partidos. Pero la verdadera intención es robar datos personales, dinero o descargar en el equipo de la víctima un malware o una app de dudosa reputación. Para tener ejemplos claros, concisos y visuales, la empresa puso un grupo de investigación que detectó varios ejemplos y nosotros te compartiremos a continuación. Primero, recordemos que los correos de phishing tienen un alcance a nivel global e intentan estafar a las personas con varios tipos de artimañas.

Llega un mail a tu dirección de correo electrónico diciéndote que has sido ganador en un sorteo y que el premio es una cifra millonaria. Sin embargo, para cobrar el dinero, la persona deberá responder el mail completando un formulario que solicita una larga lista de datos personales, como:

Nombre completo.
Fecha de nacimiento.
Número de teléfono.
Ocupación.

Para hacerlo más creíble, proporcionan el nombre y número de teléfono de una persona que supuestamente será el contacto que ayudará al ganador a recibir el premio. En este tipo de engaños, cuando la persona se contacta el agente en cuestión inventa alguna excusa para poder enviar el dinero, como el pago de un impuesto, y de esta manera roba ciertas sumas monetarias. Al mismo tiempo, los datos recolectados pasan a ser comercializados en la Dark Web. El asunto de estos correos de phishing viene tanto en inglés como en español. Algunos modelos utilizados son:

“Qatar World Cup 2022 Lottery Winner”.
“QATAR 2022 FIFA LOTTERY WINNER”.
“FELICITACIONES SU CORREO ELECTRÓNICO HA GANADO QATAR FIFA 2022 MEGA WORLD CUP LOTTERY.

Otro ejemplo de correo de phishing que utiliza el tema de la Copa del Mundo fue reportado hace unas semanas e intentaba hacer creer a las víctimas que habían ganado entradas para ver el primer partido del Mundial. Además de los e-mail falsos los ciberdelincuentes pueden crear sitios falsos que son distribuidos a través de anuncios maliciosos, correos de spam, perfiles falsos u otras vías. Independientemente de si estos sitios Web son copias de legítimos o no, lo que destacan de ESET es que suelen ser utilizados para: robar datos personales, credenciales, datos financieros, u otra información sensible. En algunos casos, incluso pueden ser usados para descargar un malware o una app de dudosa reputación.

Uno de los sitios se hace pasar por el sitio oficial de Qatar 2022. Recordemos que toda página Web bien constituida viene acompañada de un candado de lado izquiero del dominio y una "s" en el "https". Si se observa detenidamente la imagen que la compañía comparte, se aprecia que la URL es muy similar a la del sitio oficial, pero carece de los elementos de seguridad. Desde este navegador falso los cibercriminales ofrecen la posibilidad de obtener entradas, pero a cambio solicitan completar un formulario donde recolectan una gran cantidad de datos personales. Los cuales luego venden o son utilizados en posteriores ataques de ingeniería social.

Por ello debemos evitar caer en este tipo de páginas. Ya que, si aún se está buscando comprar boletos para ver alguno de los partidos, hay otras modalidades que están utilizando los estafadores. Algunas personas reportaron haber sido contactadas por correo electrónico haciéndose pasar por la Federación Internacional de Fútbol Asociación? (en francés, Fédération Internationale de Football Association)? universalmente conocida por su sigla francesa FIFA. Al parecer ofrecían entradas a la venta e incluso en grupos de Reddit, plataforma que funciona como un foro, engañaban a las personas ofreciéndolas en una versión impresa, según algunos usuarios del sitio Web.

Cabe aclarar que las entradas oficiales serán digitales y no habrá entradas físicas para acceder a los partidos de Qatar 2022. La única forma de comprar boletos es a través del sitio oficial FIFA. Por otra parte, la reventa de entradas no autorizadas está prohibida en el país y las sanciones pueden ser muy severas. La única manera de revender las entradas y comprarlas es a través de la plataforma oficial para la reventa de entradas de la misma federación.

Estas son nuestras recomendaciones para evitar ser estafado

Aunque son sumamente peligrosos existen muchas recomendaciones que tanto empresas especializadas en ciberseguridad como las autoridades digitales de nuestro país, comparten constantemente en sus sitios Web. Recordemos que este tipo de delincuentes no descansan y se van sumando a las tendencias a nivel global. Lo ideal es siempre informarte de las nuevas y constantes a amenazas además de acompañar a tus dispositivos electrónicos de un buen antivirus. Incluso hay sistemas operativos como Windows 10 y 11 que incluyen su propia seguridad instalada en el software.

¿Cómo reconocerlos?

Llegan a través de correos masivos.
Utilizan la imagen oficial de alguna institución, organización, empresa, etc.
Se excusan en tener algún error en su sistema para pedir transferencias bancarias para recibir el premio.
Envían una liga que dirige a un sitio falso.
Solicitan datos personales y financieros.
Pueden pedir los dígitos del famoso token, herramienta para hacer transferencias o movimientos en la banca en línea.

¿Cómo evitarlo?

Nunca mandes tus datos personales por correo electrónico.
Recuerda que las empresas y bancos no solicitan información financiera.
Recurre directamente a los proveedores oficiales, redes sociales reales y verifica lo que se te mandó por mail.