#MundoHacker: Cómo identificar sorteos falsos en redes sociales

sorteo fail facebook

Hartito estoy ya de ver cómo se me llena el timeline de Facebook de compañeros compartiendo test sobre cualquier tontería y sorteos que claramente son falsos. Tanto como para que me anime a escribir esta pieza.

En serio, las estafas siguen siendo exactamente las mismas que en otros escenarios (phishing vía email, webs fraudulentas…), solo que alojadas en plataformas sociales donde, por su propia idiosincrasia, adquieren en poco tiempo una gran viralización.

Y su objetivo es el mismo que en casos anteriores. O bien robar datos, o bien obtener información de cara a futuras campañas, o bien vender esa información a terceros, que habitualmente la utilizarán para campañas de publicidad spam.

Algo que, como pasa con las newsletter, acaba por desacreditar el medio. Un servidor realiza periódicamente sorteos con los miembros de la Comunidad. Sorteos que no anuncio a los cuatro vientos ya que mi objetivo no es, como en la mayoría de casos, inflar artificialmente el número de suscriptores de la página, sino más bien premiar a los que ya lo son por mérito propio (se han suscrito porque les interesa lo que por aquí compartimos, no porque quieren llevarse un producto gratis).

Sin ir más lejos, el último sorteo lo celebramos estos días, después de probar la Xiaomi Mi TV Box, y el ganador lo daré a conocer el próximo lunes en la newsletter. Pero no es la primera vez que incluso alguien al que aviso de que ha sido ganador me reconoce en persona que pensaba que esto de los sorteos era un timo. Que está tan acostumbrado a que sean mentira que le sorprendía que en efecto hubiera sido ganador…

Así, quería exponer en esta pieza algunos ejemplos de supuestos sorteos que pululan por plataformas como Facebook o Twitter (aunque justo lo mismo se podría extrapolar a Instagram, a Pinterest, a Google+, a Youtube…), y que realmente no son más que un fraude, con los motivos que tienen tras de sí y con la manera de identificarlos.

Pero empecemos por el principio.

¿Por qué hay gente interesada en crear sorteos falsos en redes sociales?

La respuesta es sencilla: porque son rentables económicamente hablando.

La mayoría de sorteos, a poco que los compartas en alguno de los miles de grupos que hay en Facebook o menciones a unos cuantos perfiles de twitter que se dedican a hacer spam de este tipo, adquieren en poco tiempo un número elevado de seguidores (de media unos 3ks). Y hablamos de miles de potenciales víctimas para los objetivos buscados.

Porque esa es otra. A diferencia del caso de los hoax, que ya he tratado en profundidad en artículos anteriores, los sorteos fraudulentos tienen siempre un fin económico, que pasa por:

  • O bien requieren que el interesado complete un formulario, generalmente suscribiéndose a algún servicio de pago (ergo, estafando directamente a la víctima).
  • O bien sirven de primera segmentación para futuros sorteos fraudulentos o campañas de phishing: Simplemente con darle Me Gusta o a Seguir a la página o perfil del sorteo ya formas parte de esa base de datos que aunque la propia plataforma no ofrece directamente al creador del sorteo, sí le permite a éste realizar futuras campañas publicitarias enfocadas a usuarios que han demostrado ser carne de cañón para este tipo de fraudes. Es decir, bombardear en el futuro a esos usuarios con campañas que le aparecerán en el timeline y que sí tendrán como fin robar sus datos y/o hacerle que se suscriba a servicios de SMS premium bajo la excusa de un nuevo sorteo.
  • O bien son meros agregadores de datos (nombre, email, dirección postal, teléfono…) para revender a terceros: Además de pedir que se le de Me Gusta/Follow a la página o perfil, y que además se haya compartido el enlace o la fotografía (para que caigan también amigos de esa persona), puede que el formulario asociado, si es que lo hay, no tenga como objetivo suscribir a la víctima a un servicio premium, sino simplemente obtener sus datos personales (con la excusa de ser necesarios para por ejemplo enviarle el producto en caso de ser ganador/a), que entrarán a formar parte de otras base de datos de envío de publicidad fraudulenta.

Es decir, que es un negocio relativamente sencillo y rápido de llevar a cabo, y a la larga suele dar sus beneficios. Cualquiera puede crearse una cuenta fail de Facebook o Twitter, abrir varios perfiles o páginas con diferentes sorteos y empezar a engordar esa base de datos de potenciales víctimas para el día de mañana lanzar otra campaña dirigida a esas personas que sí tiene como objetivo estafarlas o robarles sus datos.

sorteo twitter fail

¿Qué puntos en común suelen tener los sorteos fraudulentos en redes sociales?

Como ya adelantábamos en el apartado anterior, habitualmente todos estos sorteos siguen la misma estrategia:

  • Utilizan una página de reciente creación en Facebook (por la política de uso de esta red) que ha sido creada exclusivamente para esto, y que por tanto, suele tener apenas unas pocas entradas (o incluso solo una, la del propio sorteo).
  • Piden siempre que se le de Me Gusta/RT/Follow a la cuenta y a la actualización, que a veces es una imagen, a veces es un enlace (las menos) y que puede llegar a ser hasta un vídeo o una encuesta. Además, y como es el caso del supuesto sorteo que comparto justo encima, nos pueden dirigir a una página de formulario externa, no asociada directamente al dominio de la compañía (por ejemplo si se sortea un iPhone, no nos va a llevar a un dominio loquesea.apple.com, sino a nosequeaapple.vayaustedasaber.com). Justo lo mismo que hacen la mayoría de campañas de phishing vía email/mensajes privados.

ejemplo formulario sorteo fail

  • Los textos a veces están directamente traducidos de otro idioma: algo semejante a lo que ocurría con el intento de estafa de hace unos meses a mi madre, que normalmente se diseñan en inglés y luego se traducen de aquella manera al español, francés… Si el concurso es real, como mínimo se habrán molestado en contratar a un traductor profesional, o ya contarán con un equipo localizado en el país donde se celebra el sorteo.
  • Si se trata de un bien físico, normalmente se pone la excusa de que se sortea ya que, por el motivo que sea, no se pueden vender (han sido desprecintados, no cuentan con el sello oportuno, no han pasado X estándar de calidad…). Este tipo de productos no se pueden vender… ¡ni sortear!

samsung galaxy fraude

  • Las imágenes utilizadas están directamente sacadas de Internet: Basta copiar y pegar en Google Images la imagen para que te salgan seguramente varios medios donde han aparecido con anterioridad. Si la compañía está realizando un sorteo, lo más probable es que se haya molestado en crear contenido visual original para el mismo. Si es un blogger o youtuber que de verdad está sorteando ese producto, habrá sacado unas imágenes de él.
  • No existen bases legales: Esto es de cajón. En Facebook no se pueden realizar sorteos si no es bajo aplicaciones específicamente diseñadas para ello (como easypromos), que cuentan ya con unas bases legales claras y con un sistema justo que no lleva a engaño. Si le están pidiendo que le de a Me Gusta o que se comparta, directamente puede estar seguro que es un sorteo fail, ya que está prohibido pedir eso. Twitter es más transigente en este sentido, pero igualmente es necesario que se especifique cómo se va a realizar el sorteo y por qué vía se va a avisar de los ganadores.

¿Qué hacer si estamos ante un posible caso de sorteo fraudulento?

Afortunadamente, el que el sorteo se realice mediante una plataforma de terceros tiene sus ventajas. Y una de ellas es que siempre tendremos la opción de denunciarlo.

  • En Facebook podemos denunciar cualquier página desde el icono de las tres aspas > Denunciar página. Y lo mismo ocurre con cualquier actualización (menú de la flecha hacia abajo > Denunciar foto, enlace…).

denunciar fai facebook

  • En Twitter esta misma opción está bajo el nombre Reportar a @XXXX / Reportar Tweet.

reportar tweet

En ambos casos podemos definir las razones por las que denunciamos (es abusivo o perjudicial, viola alguna de las reglas del servicio, es spam…). Se supone que estas compañías revisan cada petición y en caso de recibir suficientes, tienden a cerrar la cuenta o bloquear dicha actualización.

No suele servir de mucho avisar en la misma página o mencionar al perfil, más que nada porque será éste último el que tenga la potestad de mostrar o no ese comentario. Pero tampoco se pierde nada por hacerlo y puede que mientras la plataforma toma la decisión oportuna ayude a alguna víctima potencial.

Así que ya sabe. Siempre que en efecto estemos ante un sorteo fraudulento es nuestro deber denunciarlo. Y por otro lado, hay que perderle el miedo a esto de los sorteos digitales. A fin de cuentas, hay algunos cuyo fin es legítimo.

 

________

Puede ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias