Volvemos con otro artículo tutorial explicando cómo funcionan algunos de los timos más activos últimamente: El fraude del supuesto incumplimiento de copyright de imágenes en páginas web.
Este, en particular, me lo han intentado a hacer a mi personalmente en varias ocasiones, y a alguno de nuestros clientes, como fue un caso que recientemente tratamos, al estar enfocado a administradores de páginas webs, principalmente blogs, medios de comunicación y foros.
Vamos a explicar cómo funciona, y qué debemos saber para no caer en él.
Índice de contenido
1.- El gancho
Empecemos por el principio.
El objetivo de este tipo de campañas de phishing es siempre la misma: Hacer que los administradores de páginas web paguen o realicen alguna acción que interesa a los cibercriminales argumentando un supuesto incumplimiento de los derechos de copyright de alguna de las imágenes expuestas en la página.
Por supuesto, esto afecta sobre todo más a blogs, foros y medios de comunicación. Es decir, a páginas que generan contenido periódico de forma dinámica, y que por tanto son más susceptibles de haber cogido sin consentimiento alguna imagen.
2.- La premisa
El tema está en que demostrar que en efecto esa imagen o fotografía tiene derechos de autor y que además quienes nos exigen el cumplimiento de ese supuesto copyright es precisamente la supuesta entidad que nos envía la comunicación, es muy pero que muy complicado, por no decir imposible.
La mayoría de creadores de contenido ilustramos nuestros artículos y vídeos con imágenes sacadas o bien de bancos de imágenes, o bien de búsquedas en Internet.
En ambos casos hay herramientas para seleccionar únicamente imágenes que estén libres de derechos de autor y/o con derechos de tipo permisivo. Pero claro, para que salgan así deben haber sido previamente etiquetadas como tal. Es más, la amplia mayoría de contenido en Internet no está correctamente etiquetado, por lo que muy probablemente no podamos saber previamente si hay o no una licencia copyright que protege esa imagen, y menos aún quién es el legítimo dueño de la licencia.
Para colmo, un contenido que no tenía licencia explícita puede ser revendido a terceros más adelante, complicando aún más las cosas.
Así pues, al haber un vacío legal y tácito claro, es donde salen las mafias que generan este tipo de campañas fraudulentas.
3.- El fraude
Con esto en mente, no es raro que si llevas, como es mi caso, años trabajando en Internet, te hayas encontrado en alguna que otra ocasión que una supuesta agencia de protección de copyright se pone en contacto contigo para exigirte que pagues o realices alguna acción específica por supuesto incumplimiento de copyright en alguna obra tuya.
Por aquí dejo un ejemplo que recibimos el año pasado en CyberBrainers, de una agencia real (que existe, aunque no eran ellos quienes nos escribían) exigiéndonos, en este caso a CyberBrainers, que pagáramos cientos de euros por el uso indebido y sin derechos de tres imágenes.
Llegados a este punto, hay que dejar claras dos cosas:
- La primera es que aunque en efecto lo habitual es que te contacten vía email, algunas veces también lo hacen vía correo postal, para aparentar mayor seriedad y compromiso.
- La segunda es que suelen exigir o el pago de varios cientos de euros (cuando no son más) por el supuesto beneficio económico que hemos obtenido de su uso, como a veces, solventarlo «simplemente» incluyendo un enlace en el mismo artículo o página donde aparece el contenido.
Este último punto es importante, ya que el timo se basa o en cobrar directamente una extorsión, o en generar una suerte de estrategia de linkbuilding hacia sus páginas totalmente gratis para evitar esa supuesta multa.
Es decir, que por si no lo sabes, para que una página aparezca primero en los resultados de búsqueda, empresas como Google o Microsoft (Bing) valoran cientos de elementos que en teoría señalan qué páginas son más interesantes para la búsqueda que el usuario ha hecho. Y entre ellas, una de las más importantes es el número y la calidad de enlaces que hay en otras páginas y que apuntan con esa misma temática o contenido a la página a posicionar en cuestión.
Así pues, conseguir enlaces en páginas como esta o medios de comunicación se vuelve en sí un negocio (nosotros en CyberBrainers y PabloYglesias es uno de los servicios que ofertamos, claro que de forma lícita), ya que gracias a ello es posible acabar mejorando los resultados de búsqueda de páginas que de otra manera ni de lejos estarían tan altas.
Gracias a esos enlaces, consiguen posicionar sus páginas, que son las que usan a posteriori para realizar otras campañas de fraude y extorsión a otros clientes.
Esas páginas pueden ser simplemente proyectos legítimos de clientes que han contratado servicios de posicionamiento SEO, o directamente páginas gancho de fraudes, que el día de mañana pueden tener virus o ser utilizadas para campañas de phishing.
En el propio email, de hecho, suelen recordar que el que borres ese contenido no hace que no tengas que pagar por haberlo usado. Y se amparan en leyes como la de la sección 512.C de la DMCA… que realmente, y si la leyéramos, ni tan siquiera tiene algo que ver con este tema.
Pero claro, a alguien le llega un email, o peor aún, un correo postal, con esta jerga técnica, y lo más probable es que se asuste, haciendo lo que dicen.
4.- Cómo evitar ser víctima de estos timos
Lo primero que hay que dejar claro es que si tu página no genera ingresos directos por publicidad, el que estés usando un contenido legítimamente protegido por derechos de autor no va a conllevar que tengas que pagar una multa.
A lo sumo, en efecto, lo que pueden obligarte es a borrar dicho contenido. Pero siempre y cuando lo hagas, no pueden pedirte nada más.
Quiero dejar esto claro porque tanto si se trata de un timo, como si en efecto es que has usado fotografías con derechos de autor, siempre tienes opción a eliminarla cuando te lo pidan. Piensa que va a salir muchísimo más caro llevarte a juicio que esos cientos de euros que van a conseguir, más aún si para colmo has cooperado y eliminado el contenido.
De cara a identificar si quien te escribe es la empresas legítima o no, podemos aplicar los tres principios de identificación de correos fraudulentos que ya hemos compartido en más de una ocasión por estos lares:
Dicho esto, no recomendaría bajo ningún concepto enlazar a páginas de terceros para evitar esas supuestas multas. Si de verdad se tratase de un bufete de abogados, con el paso anterior ya solventaríamos el problema. Y claramente no consiguen nada con meter ese enlace… a no ser que su negocio sea otro.
Precisamente un negocio fraudulento.
Para colmo, esos enlaces pueden, como decía, el día de mañana redirigir a otras páginas webs fraudulentas, o directamente desaparecer:
- Esto generaría en el mejor de los casos errores de redireccionamiento 3XX, o errores de contenido no encontrado como el muy habitual error 404, algo que todo webmaster sabe que afecta negativamente al posicionamiento de tu página.
- Pero también puede llevar a enlaces maliciosos, lo que afecta aún más negativamente a la imagen que tienen buscadores como Google o Bing de tu página. Pudiendo llegar al caso de que te marque a ti como página potencialmente maliciosa, con el impacto que tendrá a nivel reputacional y de negocio que tendría (básicamente, serías expulsado de las búsquedas en Internet, perdiendo todo el tráfico que venga de ellas, y que en casos como foros, medios de comunicación y blogs es de lejos el mayor porcentaje de tráfico).
A fin de cuentas, estás enlazando desde tus páginas a webs que ya han sido marcadas como maliciosas…
Artículo previamente publicado en la revista chilena Seguridad y Defensa (ES).
Dejo para terminar el enlace a la versión digital de la revista (ES).
Qué hacer para evitar ser víctima de fraudes
- 3 elementos que delatan a las campañas de phishing o fraude por email
- Qué hacer en caso de haber sido víctima de un fraude
- Cómo recuperar el dinero que nos han robado
- Cómo nos protegemos de los fraudes en Internet
- Cómo saber si esa persona con la que chateamos es quien dice ser
- El papel de los muleros en el cibercrimen
- Así de fácil es caer en una campaña de phishing
Otros fraudes que deberías conocer
- El día que ligué con una capitana del US Army (fraude de la novia rusa)
- Cómo estafaron a mi pareja con un producto vendido en Instagram
- Cómo funciona el timo basado en la extorsión para no divulgar contenido de índole sexual/pornográfico
- Cómo funcionan los fraudes basados en SMSs Premium
- Cómo funciona el timo de: «Tengo fotos tuyas, paga o difundo»
- Cómo funcionan los fraudes de descarga de libros o películas GRATIS
- Cómo estafaron a mi madre con un producto vendido por Wallapop
- Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
- Cómo funciona la estafa del pellet
- Cómo funciona el fraude que se hace pasar por una notificación de la DEHÚ
- Qué tipos de fraude por Wallapop existen
- Cómo me intentaron estafar con el alquiler de un piso
- Cómo funcionan los fraudes por Facebook
- Cómo funciona el timo de la compra de fotos o arte NFT
- Cómo me estafaron 400 euros con un producto vendido en Amazon
- Cómo funcionan los fraudes basados en iCloud
- Cómo funciona la estafa del chulo y las prostitutas
- Cómo funciona el fraude de BlaBlaCar
- Cómo funcionan las estafas de criptomonedas de tipo Rug Pull
- Cómo funciona el fraude del viejo contacto
- Cómo funcionan los fraudes dirigidos a creadores de contenido
- Cómo funciona el fraude del incumplimiento de copyright con imágenes
- Cómo saber si ese producto de Apple que estás comprando es verdadero o falso
Imagínate recibir en tu correo semanalmente historias como esta
Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.
