Artìculos
DEYSON RONDÒN
.jpg)
Alyera Monzon
Roblox y Fortnite: una inmensa
estafa engaña a los niños con "ofertas" fraudulentas
Estas
estafas, que frecuentemente se disfrazan de promociones de juegos, están todas
relacionadas con una misma gran red.
En los últimos cinco
años, miles de sitios web pertenecientes a organismos gubernamentales,
universidades y organizaciones profesionales de Estados Unidos, han sido secuestrados
y utilizados para difundir ofertas y promociones fraudulentas, según ha
revelado una nueva investigación. Lo más preocupante es que muchas de
estas estafas están dirigidas a los niños e intentan engañarlos para
que descarguen aplicaciones, programas maliciosos o envíen datos personales a
cambio de recompensas inexistentes en Fortnite y Roblox.
El investigador de seguridad, Zach Edwards, lleva más de
tres años rastreando estos secuestros de sitios web y estafas. Refiere que la
actividad puede vincularse a las acciones de los usuarios afiliados a una
empresa de publicidad. La compañía, registrada en Estados Unidos, actúa como un
servicio que envía tráfico web a una serie de anunciantes en línea, lo que
permite a los particulares registrarse y utilizar sus sistemas. Sin embargo, un
día cualquiera, Edwards, director de información sobre amenazas de Human
Security, descubre decenas de dominios .gov, .org y .org comprometidos.
"Este grupo es el que yo consideraría el número uno
a la hora de comprometer infraestructuras en internet y alojar en ellas estafas
y otros tipos de exploits", asegura Edwards. La escala de los
sitios web comprometidos, que no cesan de aparecer, y la naturaleza pública de
las estafas los hace sobresalir, resalta el investigador.
Apuntan a los niños
con archivos PDF “envenenados”
Los esquemas y las formas de ganar dinero son complejos,
pero cada uno de los sitios web se secuestra de forma similar. Las
vulnerabilidades o los puntos débiles del backend de un sitio
web, o de su sistema de gestión de contenidos, son explotadas por atacantes
que cargan archivos PDF maliciosos en el sitio web. Estos
documentos, que Edwards denomina "PDF envenenados", están diseñados
para aparecer en los motores de búsqueda y promocionar "skins gratis
de Fortnite ", generadores de monedas de Roblox o streams baratos
de Barbie, Oppenheimer y otras películas populares.
Los archivos están llenos de palabras clave que la gente puede buscar sobre
estos temas.
Cuando alguien hace clic en los enlaces de los PDF
envenenados, puede ser empujado a través de múltiples sitios web, que en última
instancia le dirigen a páginas de aterrizaje de estafas, apunta Edwards, quie npresentó los
hallazgos en la conferencia de seguridad, Black Hat, en Las Vegas. Hay
"muchas páginas de destino que parecen muy dirigidas a los niños",
alerta.
Por ejemplo, si hacen clic en el enlace de un PDF que
anuncia monedas gratis para un juego en línea, se les redirige a un sitio web
donde se les pide su nombre de usuario en el juego y su sistema operativo,
antes de preguntarles cuántas monedas gratis desean. Aparece una ventana
emergente que dice: "¡Último paso!" Esta página afirma que las
monedas gratis del juego se desbloquearán si se registran en otro servicio,
introducen datos personales o descargan una aplicación. "Lo he probado
cientos de veces", indica Edwards. Nunca ha recibido una recompensa.
Cuando las personas son conducidas a través de este laberinto de páginas y
acaban descargando una aplicación, introduciendo datos personales o realizando
cualquier otra acción requerida, quienes están detrás de las estafas pueden ganar dinero.
Según quienes
investigan fraudes publicitarios, este tipo de estafas existen desde hace
tiempo. Sin embargo, estas destacan por sus vínculos con la empresa de
publicidad, CPABuild, y los miembros que trabajan para su red, dice Edwards.
Todos los sitios web comprometidos que tienen archivos PDF cargados están
llamando a servidores de mando y control, propiedad de CPABuild, de acuerdo con
Edwards: "Están empujando campañas de publicidad en la infraestructura
de otra persona", explica. Si se busca en Google un archivo vinculado
a los PDF, aparecen páginas de resultados de sitios web comprometidos.
El sitio web de CPABuild, que enumera su registro legal
en Nevada, se describe a sí mismo como una "primero y ante todo, una red
de bloqueo de contenido". La empresa, que existe desde 2016, aloja tareas
de sus clientes, como dar a la gente la oportunidad de ganar dinero enviando
sus datos de correo electrónico y su código postal. Luego, los usuarios de
CPABuild, con frecuencia conocidos como afiliados, intentan que las
personas completen estas ofertas. A menudo lo hacen a través de enlaces
de spam en los comentarios de YouTube, o creando el tipo de
páginas emergentes hacia el final de la cadena de clics del PDF envenenado.
Este proceso con base en los resultados es conocido por anunciantes y
profesionales del marketing como costo por acción (CPA).
WIRED se puso en contacto con varias direcciones de
correo electrónico que aparecen en el sitio web de CPABuild, además de enviar
preguntas a través de un formulario de contacto, pero no recibimos ninguna
respuesta. El sitio web de la empresa no menciona a ninguna persona que esté
detrás de CPABuild y es parco en detalles. Afirma que realiza comprobaciones
"diarias" para detectar a los malhechores que abusan de su plataforma,
y sus condiciones de servicio prohíben a los usuarios participar en fraudes y
compartir ciertos tipos de contenidos.
El fraude que tiene a
los niños como objetivo
La página también asegura haber pagado más de 40 millones
de dólares a editores y cuenta con miles de plantillas y páginas de destino.
Dentro de CPABuild, hay varios niveles de usuarios. La estructura de afiliados
del sitio web se muestra en una imagen en su página de inicio. Los miembros
pueden clasificarse en gestores, diablos, demonios, magos, maestros y caballeros.
En un vIdeo subido el 11 de agosto por un miembro de CPABuild, se puede ver una
cuenta de administrador compartiendo un mensaje con los usuarios, e indica que
la empresa ha tomado medidas para evitar que la plataforma se utilice con fines
fraudulentos. "Seguimos recibiendo reportes de que los editores de
CPABuild están promocionando ofertas de formas que violan nuestros términos de
servicio", reza un mensaje que se ve en la pantalla. La investigación de
Edwards muestra, sin embargo, que cualesquiera que hayan sido los
esfuerzos realizados por CPABuild, no han logrado impedir que sus
usuarios se dediquen al fraude desenfrenado.
"El fraude CPA, que incluye el costo por instalación
de aplicaciones, es muy común", señala Augustine Fou, investigador
independiente de ciberseguridad y fraude publicitario, quien revisó un resumen de las
conclusiones de Edwards. Especialistas como las personas identificadas en la
investigación se meten en un nicho en el que se convierten en líderes de la
categoría en un tipo concreto de fraude", cuenta Fou. "Los clientes
acuden a ellos por esa especialidad", resalta.
En la actualidad,
decenas de sitios web se ven afectados por los PDF. Esta semana, el
Departamento de Servicios Financieros del Estado de Nueva York retiró los PDF
cargados tras ser contactado por WIRED. Ciara Marangas, portavoz del
departamento, comenta que el problema se detectó por primera vez en 2022 y que,
tras una revisión y la adopción de medidas adicionales, se eliminaron los
archivos.
Según Edwards, en 2022 se alertó a la Agencia de
Infraestructuras de Ciberseguridad de EE UU (CISA) sobre más de 50 sitios web
comprometidos, entre los que se encontraban el Laboratorio Nacional de Oak
Ridge y el Laboratorio Nacional Lawrence Berkeley. Un portavoz del Oak Ridge
declaró que respondió "inmediatamente" a la alerta de la CISA,
"eliminó el contenido sospechoso y resolvió el problema", sin que se
viera afectada ninguna información perteneciente al laboratorio. Por su parte,
un portavoz del Laboratorio Nacional Lawrence Berkeley declaró que no puede
hacer comentarios sobre el caso individual, pero que "ninguna
vulnerabilidad ha resultado en el compromiso de los sistemas para los
visitantes" de su sitio web. El responsable del registro .gov de CISA,
Cameron Dixon, sostiene que cuando se tiene conocimiento de vulnerabilidades en
sitios web gubernamentales, se les notifica y se les ofrece asistencia.
"En un día cualquiera, podrías tener una lista así de grande de nuevas
víctimas", indica Edwards. En 2020, el Equipo de Respuesta a Incidentes de
Seguridad Informática de Italia, CIRST, emitió una alerta sobre los
dominios comprometidos que Edwards había encontrado.
Aunque ha habido algunas denuncias vinculadas a posibles
afiliados de CPABuild, Edwards opina que el esquema puede volar bajo el radar,
ya que los enlaces en el proceso se pasan a través de servicios de redirección,
que enmascaran la identidad. Además, los ataques pueden pasar desapercibidos,
ya que no tienen tanto impacto como el ransomware u otros ciberataques.
Sin embargo, hay rastros de actividad vinculada a
miembros y afiliados de CPABuild repartidos por la web. Varios usuarios de
CPABuild han subido videos a YouTube exponiendo cómo funcionan algunas partes
del sitio. Un video muestra a alguien utilizando un "generador de skins de Fortnite"
y una página que se crea a través de las herramientas de CPABuild. En otro
video se pueden ver los tipos de ofertas alojadas por CPABuild, entre las que
se incluyen hacer que la gente envíe sus datos de correo electrónico y
código postal, envíe los datos de su tarjeta de crédito, instale
aplicaciones móviles y complete "encuestas generales".
Cientos de los casilleros de contenidos del sitio web de
CPABuild han sido capturados por Internet Archive en los últimos siete años.
Una página llamada "Tarjetas de regalo de Amazon" ofrece a la gente
la posibilidad de rellenar una encuesta para "ganar 5,000 dólares en
efectivo ahora" o "participar" para ganar 25,000 dólares. Otras
empujan a la gente a descargarse aplicaciones, como el navegador web Opera, o a
introducir sus datos para "conseguir una tarjeta de juego de Roblox de 100
dólares". Juegos infantiles populares se utilizan con frecuencia como
reclamo para estas "ofertas".
Nada es gratis en
esta vida
Por su parte, las empresas de videojuegos esgrimen que
algunos de los sitios web que alojan las páginas no son legítimos. "Se
trata de estafas", sentencia Jake Jones, director de comunicaciones de
Epic Games, la empresa creadora de Fortnite. "Los jugadores nunca han
podido vender, regalar o intercambiar V-Bucks del juego a otro jugador, ni
venderse objetos virtuales entre ellos", declara. Del mismo modo, James
Kay, un portavoz de Roblox, dice que el uso de servicios de terceros para
"comprar, vender, intercambiar o regalar Robux" está prohibido, y la
gente debe evitar "ofertas" en sitios web que prometen moneda gratis
en el juego u otros artículos.
Victoria Kivilevich, directora de investigación de
amenazas de la empresa de seguridad, KELA, afirma que la compañía ha visto cómo
se hablaba de CPABuild en foros de ciberdelincuencia y piratería informática.
En un sitio, de acuerdo con Kivilevich, alguien recomienda crear un
canal de YouTube con juegos robados y contenido de software para
atraer videos. "El usuario recomienda usar CPABuild para colocar una
URL de contenido, aparentemente obtenida a través de CPABuild en la descripción
de los videos, y ganar sobre los visitantes que hacen clic en la URL",
refiere Kivilevich, y agrega que hay discusiones frecuentes sobre Fortnite y
Roblox.
"Varios usuarios buscan instrucciones sobre cómo ser
aprobados en CPABuild y cuentas en CPABuild que puedan comprar", dice
Kivilevich.
Aunque muchos de los PDF envenenados empujan a la gente
hacia las estafas, no todos lo hacen: "Parece que determinados clientes de
CPABuild son autores de malware", cree Edwards. Según
sostiene, a veces, en los días posteriores a la aparición de un artículo
negativo sobre China en las noticias, algunos de estos PDF llenos de palabras
clave aparecerían e incluirían palabras similares a las de los artículos de
noticias. "El artículo legítimo aparecería como primer resultado de la
primera página de una búsqueda, y luego, quizá tres o cuatro más abajo,
estarían los honeypots", advierte. "En todas estas
páginas, se trataba de malware", concluye.
Artículo originalmente publicado en WIRED. Adaptado por Mauricio Serfatty Godoy.
No hay comentarios:
Publicar un comentario