Geek

Cómo detectar estafas en Reddit

#Geek
No es de extrañar que Reddit, siendo el 18vo sitio web más visitado del mundo y la séptima red social más frecuentada, también sea un gran atractivo para los ciberdelincuentes.

 

 

Redacción InPerfecto / @InPerfectoMx
redaccion@inperfecto.com.mx 
­

ESET, compañía de seguridad informática, advierte que los
ciberdelincuentes pueden interactuar mediante perfiles falsos en esta
plataforma y obtener datos de los usuarios de manera sencilla con fines
maliciosos, e incluso generar ataques dirigidos a empresas.

­

No es de extrañar que Reddit, siendo el 18vo sitio web más visitado del mundo y la séptima red social más frecuentada, también sea un gran atractivo para los ciberdelincuentes.

ESET , compañía líder en detección proactiva de amenazas, alerta
que además de un sinfín de subreddits legítimos, simpáticas fotos de
extraterrestres y eventos anuales del Día de los Inocentes, los
usuarios de Reddit también pueden encontrarse con varios tipos de
engaños en el sitio, incluidas estafas que buscan sus datos y su
dinero.

Algunos tipos comunes de fraude que se deben tener en cuenta cuando se
utiliza esta plataforma, según ESET, son:

* Phishing: el phishing suele ser uno de los tipos de ciberataque más
frecuentes. Normalmente, adopta la forma de un correo electrónico o
mensaje de texto que se hace pasar por una solicitud legítima de las
credenciales de acceso, información de tarjeta de crédito u otros
datos personales. En Reddit, este tipo de estafa se propaga sobre todo a
través de mensajes privados que los moderadores del foro no pueden
leer, lo que facilita a los delincuentes engañar a las víctimas para
que hagan clic en enlaces dudosos y faciliten sus credenciales de inicio
de sesión o descarguen malware en sus dispositivos. En algunos ataques
de phishing, los estafadores envían un gran número de mensajes que
suelen estar relacionados con acontecimientos de actualidad y abusan,
por ejemplo, del activismo comunitario, como cuando los usuarios de
Reddit que tienen intención de reunirse para una protesta reciben de
repente un enlace falso para el evento.

Para reconocer el phishing, desde ESET aconsejan leer detenidamente
todo el mensaje, buscar errores gramaticales, comprobar el remitente y
prestar atención a los enlaces y archivos adjuntos inesperados. Si el
dominio parece legítimo pero hay algo que no encaja es probable que se
trate de una campaña de phishing.

* Spearphishing: esta versión específica y más sofisticada del
phishing se basa en mensajes especialmente diseñados para una persona o
un grupo de personas, como los empleados de una empresa. Los usuarios
activos de Reddit que revelan demasiada información sobre sus vidas en
subreddits o incluso en otros sitios pueden ser especialmente
susceptibles a este ataque.

Un empleado de Reddit también cayó en una estafa de phishing dirigida en febrero de 2023, que condujo a una brecha de seguridad que
permitió a los atacantes acceder a los datos de los empleados. Los
atacantes habían enviado mensajes corporativos falsos a los empleados
de Reddit que les dirigían a un sitio web de phishing parecido a la
puerta de entrada a la intranet de Reddit. El empleado, sin saberlo,
facilitó sus credenciales de inicio de sesión, lo que permitió a los
estafadores acceder a los documentos internos, el código, los cuadros
de mando y los sistemas empresariales del sitio.

* Subreddits falsos: la principal característica de Reddit es su
capacidad para permitir a la gente crear sus propios espacios de
discusión conocidos como “subreddits”, que luego son supervisados por
moderadores que se aseguran de que los usuarios siguen las reglas.

En última instancia, esto crea un entorno en el que estos foros de
debate se ganan la confianza de los usuarios. Sin embargo, los
estafadores siempre buscan formas de explotar esta confianza, utilizando
bots que generan nuevos subreddits en los que básicamente todo es
falso: moderadores, subredditors y publicaciones tomadas de fuentes
legítimas. Los subreddits falsos a menudo simulan ser foros de comercio
de criptomonedas, y sus moderadores se hacen pasar por comerciantes
legítimos.

* Estafas benéficas: algunos foros de Reddit están dedicados a causas
benéficas. Por desgracia, también pueden convertirse en caldo de
cultivo para estafas, ya que los subreddits atraen a estafadores que se
hacen pasar por servicios benéficos legítimos y se aprovechan de la
empatía de las personas de buen corazón.

Por ejemplo, se ha visto a estafadores abusar del subreddit r/Assistance, donde la gente busca o solicita ayuda en diversas situaciones de la
vida. En abril de 2020, sus administradores advirtieron sobre
estafadores que usaban perfiles falsos con etiquetas CashApp que
empezaban por $SuperGo**** o $Falco****** y que se hacían pasar por
asistencia legítima para transferir dinero a personas necesitadas. Sin
embargo, varios bienintencionados enviaron dinero a los estafadores sin
saberlo. “Si recibes un PM de alguien con quien crees que has estado
hablando en un post de r/Assistance, asegúrate de hacer clic a
través de su perfil y verificar que estás enviando mensajes con la
persona correcta antes de hacer cualquier contribución”, escribieron
los moderadores de r/Assistance en un mensaje de advertencia en
respuesta a la estratagema.

­

* Estafar a personas necesitadas: algunas estafas también implican a
estafadores que intentan robar dinero incluso a personas que no tienen
mucho y están pidiendo ayuda.

“Este estafador utiliza cuentas aleatorias de bajo karma que tienen muy
poca o ninguna actividad. Se ponen en contacto en privado con usuarios
en apuros que han hecho peticiones recientemente y prometen ayuda, piden
a los usuarios su información bancaria u ofrecen un cheque que
finalmente será devuelto, dejando la cuenta del solicitante en
negativo”, puede leerse como advertencia en un post en el subreddit
r/Assistance. Una de las víctimas describió el ataque como una
respuesta inmediata a su publicación en Reddit: “¡Caramba, estos
estafadores trabajan rápido! Publiqué algo en el subreddit de
epilepsia sobre mis crecientes facturas médicas y momentos después
recibí un MP de wilstonb ofreciéndome un trabajo desde casa: ‘Puedo
ayudarte económicamente con tus deudas'”, escribió.

* Criptoestafas: Reddit también es popular entre la comunidad de
criptomonedas, ya que atiende a personas que siguen las últimas
tendencias en el ámbito de las criptomonedas y buscan asesoramiento
sobre el comercio de criptomonedas. Sin embargo, estos Redditors a
menudo expresan sus frustraciones acerca de los mensajes que prometen
duplicar sus inversiones o promover nuevas monedas que garantizan
ganancias irrealmente altas. Esos mensajes suelen proceder de grupos
organizados que han obtenido una enorme cantidad de “shitcoins”, es
decir, criptomonedas de escaso valor, e intentan venderlas a precios
inflados mediante campañas de marketing online. Estos “shills” suelen
invadir cualquier subreddit popular de criptomonedas y molestar a los
usuarios.

Para protegerse de estas estafas, desde ESET recomiendan seguir un
principio sencillo: cuestionar todo lo que parezca demasiado bueno para
ser verdad. Si alguien ofrece beneficios extravagantes o reembolsos por
tus pérdidas, denúncialo a los administradores del foro.

Además, ESET analizó dos tipos diferentes de estafa:

* Spam y redes de upvoting: el spam es un problema grave en Reddit,
exacerbado por grupos bien organizados que abusan del sistema de
votación del sitio, crean contenidos inventados y posiblemente dañinos
y luego los promueven en Reddit con la ayuda de cuentas falsas.
Promueven artículos “clickbait” con titulares que llaman la atención,
pero lo que se encuentra en su lugar es contenido mal escrito y montones
de anuncios. A pesar de carecer de sustancia, estos artículos acumulan
un montón de upvotes y comentarios positivos, lo que los empuja a las
primeras posiciones de la página principal del subreddit.

Existe un mercado floreciente de upvotes en Reddit, con precios que
oscilan entre 20 y 50 dólares por cada 1,000 votos. En caso de
identificar un artículo promocionado con un enlace asociado que parezca
sospechoso, no hacer clic en él y denunciar el caso a los
administradores del subreddit.

* Cultivo de karma: Reddit se basa en un sistema de karma para
distinguir entre cuentas auténticas y fraudulentas, pero los
estafadores han aprendido a eludirlo. Crean cuentas que copian y pegan
contenido legítimo antiguo de Reddit, aumentando su propia puntuación
de karma y haciéndose pasar por usuarios legítimos. En su Informe de
Transparencia 2022, Reddit reveló que los administradores y
moderadores eliminaron el 4% del contenido publicado en el sitio en
2022. Un abrumador 80% de estas eliminaciones se atribuyeron al spam, en
particular al cultivo de karma.

La aparición de chatbots basados en IA complicó aún más la
situación. En diciembre de 2022, los moderadores del popular subreddit
r/AskHistorians se percataron de publicaciones que claramente habían
sido generadas con la ayuda de IA, informó Vice. Identificar que
las respuestas spam del bot se producían con ChatGPT no era el
problema, sino “que llegaban tan rápido y tan deprisa”, explicó a Vice
Sarah Gilbert, una de las moderadoras del foro y asociada postdoctoral
en la Universidad de Cornell. En el momento álgido del ataque, el foro
baneaba 75 cuentas al día, en el transcurso de tres días. Antes de que
las cuentas falsas fueran clausuradas, consiguieron difundir anuncios de
algún videojuego.

_“En la era digital actual, las estafas se colaron en varios rincones
de Internet, incluidas plataformas populares como Reddit y otras redes
sociales. Mantener la vigilancia mientras se utiliza el sitio, tener
cuidado con los mensajes y enlaces no solicitados, cuestionar cualquier
cosa que suene demasiado buena para ser cierta y nunca compartir en
exceso la información personal. Informarte sobre las últimas estafas y
mantenerte al día sobre las mejores prácticas de ciberseguridad. El
conocimiento es la mejor defensa contra las estafas. Si te mantienes
alerta y precavido, podrás disfrutar de lo que Reddit y otras
plataformas de redes sociales tienen que ofrecerte al tiempo que te
proteges de los fraudes.”, _aconseja Camilo Gutiérrez Amaya, Jefe del
Laboratorio de Investigación de ESET Latinoamérica.

Para conocer más sobre seguridad informática visite el portal de
noticias de ESET:
https://www.welivesecurity.com/es/consejos-seguridad/como-detectar-estafas-reddit/