La estafa de hacerse pasar por Paypal llega a Twitter
El timo de pretender ser Paypal para robar datos y dinero es común en los usuarios de correo electrónico, pero es una novedad en las redes sociales
Paypal es objeto de algunas de las más grandes operaciones de «phishing» de la historia. Millones de personas han recibido alguna vez un mail de alguien que se hace pasar por la famosa empresa procesadora de pagos para robar datos financieros, y las alertas de este tipo de situaciones son recurrentes en muchos países. Pero la estafa ha escalado a niveles absurdos, y ahora llegó a Twitter.
Una nueva campaña de «phishing» que se hace pasar por Paypal consiguió colarse entre los anuncios publicitarios de Twitter. The Next Web informó de que una cuenta llamada @PaypalChristm pagó a Twitter para promover un anuncio de un presunto concurso de Paypal que en realidad tiene como objetivo hacerse con el número de tarjeta de crédito de sus víctimas.
Cuaquier par de ojos con algo de experiencia sobre timos en internet verá el anuncio y entenderá de inmediato que se trata de una estafa: el diseño parece hecho con lápices de color, tiene errores ortográficos, incluye un montaje de un coche contrapuesto a un teléfono móvil, y despliega el logo oficial de Paypal. Es una pieza que la compañía jamás difundiría, porque es muy poco profesional.
El tema aquí no es qué tan malo es el montaje con el que están tratando estafar a los usuarios de Twitter, sino cómo permite la red social que alguien pague publicidad para promocionar lo que a todas luces es una estafa.
Nueva campaña de «phishing» de Paypal en Twitter
Primero lo primero: es muy poco probable que una empresa como Paypal haga un sorteo de Navidad y que pase tan desapercibido que tenga que pagar un anuncio de Twitter para publicitarlo. Pero aparte de eso, todo en el anuncio hace pensar en un fraude, por lo que no se explica cómo nadie en Twitter pensó lo mismo cuando vio, por ejemplo, que en el vínculo dice «paypall», con dos letras L.
Pero eso no es todo: la cuenta desde la que se compró el anuncio tiene menos de 100 seguidores y no está verificada. Una vez abierto el link, cualquier navegador web alertará de que se trata de un sitio no seguro, en el tanto utiliza el protocolo HTTP y no el HTTPS, que es el que debe tener cualquier web decente en 2019, especialmente si es de una plataforma financiera.
Si un usuario navega Twitter y ve el anuncio y entra al vínculo, confiando en que es seguro porque está siendo anunciado en Twitter, entrará a un sitio que se ve exactamente igual a la web de inicio de Paypal, con la diferencia de que todos los datos allí compartidos –en cuenta el número de tarjeta– se utilizarán en su contra.
Ni Twitter ni Paypal respondieron a las consultas de la prensa sobre el asunto. En Twitter se están haciendo comunes este tipo de anuncios de estafas, siendo otro ejemplo reciente uno de una cuenta que se hacía pasar por Elon Musk para, presuntamente, regalar bitcoins entre sus seguidores (a cambio de datos, naturalmente).