Generadores de falsas expectativas en línea

No hace mucho tiempo, nosotros (y poco después nuestras soluciones de protección) comenzamos a clasificar toda una clase de sitios (generadores de tarjetas de regalo) como recursos fraudulentos, a pesar de que no roban dinero ni datos personales al visitante. ¿Por qué lo hicimos? Trataremos de explicar qué son en realidad estos sitios y de qué forma funcionan.

Modo de funcionamiento

La publicidad de diversos generadores de códigos se puede encontrar en el spam o en los banners de redes publicitarias poco escrupulosas. La calidad de estos sitios varía desde “hecho por profesionales” hasta “hecho con las patas”, pero la esencia es siempre la misma: le ofrecen al visitante generar, sin ningún costo, códigos de regalo de tarjetas iTune, Google Play, Amazon, Steam, etc. Un sitio puede ofrecer tarjetas de cualquier denominación de casi todas las plataformas populares de negocios.

Como suele suceder en los sitios de phishing, en sus páginas no hay ni una línea sobre los motivos que impulsan a los creadores a mostrar tanta “generosidad”. Eso sí, hay muchas reseñas de clientes agradecidos que confirman que los códigos “generados” funcionaron (si no el primero, el décimo o el centésimo).

Un sitio generador de códigos diseñado por profesionales…

Cabe señalar que los algoritmos usados por grandes empresas, como Apple o Google tienen una buena protección contra este tipo de ataques. Y el único caso de gran resonancia, cuando (supuestamente) los hackers chinos lograron emular el algoritmo de generación de códigos de iTunes en 2009, según los expertos en seguridad informática más parecía un sistema de lavado de dinero. Por su parte, las tarjetas de regalo de tiendas de menor tamaño están menos protegidas, pero los estafadores tienen escaso interés en ellas.

…y una versión más simple del diseño

Para obtener un código, el usuario debe seleccionar la tarjeta de regalo deseada en el sitio, y a continuación el sistema comienza la “generación de código” o el “hackeo”. Para generar mayor confianza, y al igual que en las películas sobre hackers, en la pantalla se muestran líneas de texto que simulan mensajes de conexión a servidores, etc.

El código “generado” no se muestra entero al visitante: primero, debe confirmar que es una persona y no un robot. Para hacerlo, debe seguir el enlace propuesto y completar una tarea.

Para obtener el código, el usuario debe demostrar que no es un robot

Dependiendo del país de residencia del usuario, se le exige responder a las preguntas de una encuesta, tomar parte en una lotería, enviar su teléfono y dirección postal, suscribirse a mensajes SMS de pago, instalar adware (que redirigirá todas sus búsquedas, recopilará información sobre sus actividades en Internet y hará todo lo posible para que no se lo desintale), etc. El número y el tipo de tareas están determinados por la red de afiliados, a uno de cuyos sitios se remitirá al usuario. La red, a su vez, se escoge en función del país de residencia: según la zona de dominio se activan diferentes redes de afiliados que se ajustan los idiomas y las leyes de publicidad vigentes en diferentes países.

Para demostrar que no es un robot, el usuario tiene que participar en una lotería, revelar sus datos personales y en general, hacer cosas que van en contra de sus intereses.

El resultado final de la ejecución de las tareas es desagradable, pero natural: se induce a que la víctima  visite varios sitios de la red de afiliados hasta se fastidia de rellenar cuestionarios y jugar loterías, o bien le dan como recompensa un conjunto aleatorio de símbolos que no tiene nada que ver con los códigos verdaderos y que sólo tiene un formato similar.

Vale decir que los propietarios de sitios generadores de códigos intentan no recurrir al fraude directo o al phishing. Les bastan los fondos provenientes de la “venta de las acciones” de los usuarios en los sitios afiliados: los ingresos van desde unos pocos centavos por hacer clic en un determinado enlace, hasta varias decenas de dólares si el visitante completa un formulario o se suscribe a servicios de pago. Sin embargo, los anunciantes de buena fe (¡que también existen!) de la red asumen que reciben los datos del usuario que está interesado en su producto o servicio. A los anunciantes inescrupulosos no les importa si los datos son verdaderos y les dan diversos usos, por ejemplo, enviar spam.

El que estos sitios engañen al usuario y, en ocasiones, al anunciante es la razón por la que comenzamos a considerar los sitios de generadores como fraudulentos. Las redes de afiliados, sean honradas o fraudulentas, son tema para un material aparte.

Excepciones

Existen sitios y servicios legítimos que brindan al usuario varios descuentos y tarjetas de regalo como parte de un programa de lealtad (por ejemplo, por puntos ganados o por haber hecho compras en tiendas afiliadas). También existen aplicaciones legítimas, como Tokenfire o Swagbucks, que compran códigos de tarjeta al vendedor y se los dan al cliente que haya gastado suficiente dinero para que la compañía compense sus gastos y obtenga ganancias. En otras palabras, para recibir un regalo, el usuario debe gastar una cantidad significativa de dinero o tiempo. En este contexto, los sitios de generador parecen mucho más atractivos, ya que no requieren prácticamente nada. Sin embargo, como muestran nuestros estudios, lo único que les dan a los usuarios son falsas expectativas.