En qué fijarse para detectar reseñas falsas en las tiendas digitales, en qué consiste el timo del ‘buzoneo’ y si es más seguro guardar nuestras contraseñas en papel: llega el 9º consultorio de Maldito Timo

Se acaba febrero, y eso solo puede significar una cosa: llega una nueva edición de nuestro consultorio mensual de Maldito Timo. Hoy os explicamos cómo evitar los casos de valoraciones falsas que existen en tiendas como Amazon. También nos habéis preguntado por el timo del ‘buzoneo’, un nuevo método con el que los estafadores se podrían hacer con nuestra cuenta de WhatsApp a través del buzón de voz. Y finalmente respondemos a un eterno debate que vuelve cuando hablamos de ciberseguridad: ¿es más seguro guardar nuestras contraseñas en un gestor o apuntarlas en papel?

Recuerda que puedes mandarnos cualquier duda sobre ciberestafas a nuestro ‘buzón de timos’ ([email protected]), a nuestros perfiles de Twitter y Facebook o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Empezamos!

¿Me puedo fiar de las opiniones de productos de Amazon? Cómo evitar caer en el timo de las reseñas falsas

Cuando navegamos por tiendas online hay muchos aspectos en los que nos fijamos antes de comprar un producto: el precio, el estado de lo que vamos a comprar, los gastos de envío… Pero a la hora de hacer una compra también miramos con atención el apartado de valoraciones para ver qué opinión tienen otros usuarios. Y no somos los únicos. Según una encuesta realizada en 2020 por la Organización de Consumidores y Usuarios (OCU), cerca del 90% de los consumidores se ha fijado en las opiniones de otros usuarios antes de adquirir un producto o contratar un servicio online.

Unas valoraciones que tienen peso a la hora de soltar nuestro dinero, ya que al menos un 41% de los encuestados asegura que estas reseñas han tenido una gran influencia a la hora de elegir por ejemplo productos electrónicos. Para ello nos fijamos en su valoración media o en que los comentarios sean de otros usuarios experimentados. Pero la autenticidad de estas reseñas también nos preocupa. Al menos un 75% de los usuarios han identificado valoraciones que parecen falsas en las tiendas digitales, según la OCU.

Esta preocupación se ha trasladado a la legislación española. Desde mayo de 2022 la Ley General para Defensa de los Consumidores y la Ley de Competencia Desleal permite al Ministerio de Consumo sancionar a las empresas por reseñas falsificadas, y obliga a empresas a indicar si las valoraciones han sido verificadas.

En octubre de 2022 Amazon presentó su primera demanda en España contra una página de compraventa de reseñas falsas, una acción que ya había llevado a cabo en otros países. Sin embargo, en la plataforma se siguen produciendo otros casos similares.

Una investigación de La Vanguardia muestra cómo uno de los discos duros más vendidos en la plataforma cuenta con valoraciones manipuladas, mientras que otro reportaje de el Periódico de España sobre cheques regalo a cambio de borrar valoraciones negativas ha llevado a la propia Amazon a iniciar una investigación interna.

Desde Maldita.es nos hemos puesto en contacto con Amazon, que nos ha asegurado que las políticas de la empresa “prohíben ofrecer o solicitar cualquier tipo de compensación (incluyendo productos gratuitos o con descuento) a cambio de crear, modificar o publicar contenido”, y advierte que estos actos conllevan la suspensión o la eliminación de la cuenta.

La compañía asegura que en 2020 bloqueó “200 millones de reseñas susceptibles de ser falsas”, argumenta que está tomando medidas para evitar la vinculación errónea de otros productos, y detalla que trabaja en “identificar y eliminar aquellos grupos que están generando reseñas engañosas”.

Alfonso Rodríguez, presidente de Consubal (Consumidores y Usuarios de Islas Baleares) y maldito que nos ha prestado sus superpoderes, explica cómo esta manipulación de las valoraciones es más común de lo que parece. “Existen empresas dedicadas a crear reputación online tanto para promocionar un producto a través de comentarios positivos como para, a la inversa, desacreditar a un producto y/o a la competencia”, incide el experto.

Dentro de este tipo de valoraciones manipuladas, lo más habitual es encontrarse con valoraciones que “magnifican las cualidades del producto”. “Este tipo de reseñas se pueden detectar porque son repetitivas y el texto suele ser traducción literal mecánica, por lo que muchas veces el mensaje es incoherente", señala Rodríguez.

Pero el presidente de Consubal incide enla dificultad a la hora de identificar este tipo de valoraciones, “sobre todo si carecemos de experiencia en compras online o en el manejo de las nuevas tecnologías, ya que este tipo de trabajos se encarga a empresas especializadas”, si bien algunas claves nos pueden dar la pista. Por ejemplo, que sean “exageradas y dramáticas” cuando son valoraciones negativas falsas, o “moderadas y escuetas” cuando son positivas.

Amazon pide a sus clientes que cuando sospechen de algún contenido notifiquen el problema a través de la plataforma o a su correo electrónico ([email protected]). En caso de recibir una supuesta comunicación de la empresa es importante verificar la dirección del remitente, que terminará siempre en @amazon.es, para evitar casos de phishing. Si el correo llega con cualquier otra dirección, desconfía.

La OCU también ha elaborado una serie de consejos para detectar comentarios o valoraciones falsas:

¿Hackear WhatsApp a través del buzón de voz? Cómo funciona la táctica del ‘buzoneo’

A través de nuestro chatbot de Whatsapp +34 644 22 93 19 nos habéis preguntado por diferentes contenidos que aseguran que nuestra cuenta de WhatsApp puede ser hackeada con un simple gesto: una llamada por parte de los estafadores. Es lo que se conoce como la técnica del ‘buzoneo’, y su funcionamiento sería el siguiente.

Los estafadores ingresarían nuestro número de teléfono en WhatsApp, y solicitarían el código de verificación (necesario para iniciar sesión) a través de la opción de llamada telefónica, en lugar de código por SMS. Si no contestamos a esta llamada, el código de verificación sería enviado a nuestro buzón de voz, al que accederían los estafadores para hacerse con la llave que les permitiría adueñarse de nuestra cuenta.

Nos lo explica en detalle Iván Forcada, licenciado en Telecomunicaciones, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes. “WhatsApp no envía el código mediante llamada salvo que lo pidas. No obstante, desde el punto de vista de un atacante que te quiere robar la cuenta, basta con iniciar el proceso en WhatsApp, introducir el número de teléfono de la víctima y seleccionar el envío del código mediante llamada”, detalla el experto.

En este momento, si nuestro teléfono no está disponible, esta llamada con el código de verificación sería, en teoría, desviada al buzón de voz. En este punto Forcada señala que los timadores necesitarían conocer nuestro operador, “una información fácilmente obtenible en Internet”, y un número para acceder a este servicio de buzón de voz, que dependerá de cada operadora y que es de dominio público.

“Cada operador tiene su número de acceso a los buzones de voz desde teléfonos ajenos al operador. Es decir, no es que el buzón de voz se redirija a un número, sino que todos los operadores proporcionan un número de teléfono para acceder a tus mensajes”, asegura el experto, que incide en que “ese número es público y el mismo para todos los clientes”.

Por ejemplo, en el caso de Vodafone los teléfonos que pertenezcan a esta operadora tendrían que marcar el 221199, y si son externos al 607 177 177, seguido del número móvil y el símbolo #, junto a su contraseña y el símbolo #.

Son las posibles vulnerabilidades de este buzón de voz la que los timadores aprovecharían para acceder a nuestro código de verificación, señala Forcada. “Depende de cómo asegure el buzón cada operador. Si la seguridad es pobre, claro que es posible. Puede que algún operador tenga un PIN por defecto. Si no lo cambias, tu buzón es vulnerable”, señala el experto.

Santiago Casteleiro, maldito e informático experto en técnicas de hacking, también señala que “los timadores podrían acceder al buzón de voz de un teléfono si logran conocer o adivinar el código de acceso al buzón de voz”, y que para ello no es necesario ocupar la línea o que el teléfono no esté disponible. “Los timadores pueden intentar realizar el buzoneo en cualquier momento, siempre y cuando tengan acceso al número de teléfono de la víctima”, incide.

Forcada señala también otras vulnerabilidades, por ejemplo contraseñas fáciles de adivinar o a la falta de mecanismos para evitar que un bot fuerce esta contraseña, por ejemplo probando todas las combinaciones de 4 dígitos. Algunas operadoras como Vodafone exigen que el usuario ponga una contraseña propia con algunas restricciones, por ejemplo, que no coincida con su número de teléfono y sea diferente a 0000 y 1234.

Forcada da una serie de consejos sobre cómo evitar este tipo de timo:

¿Es más seguro guardar las contraseñas en papel o es mejor usar un gestor de contraseñas?

Siempre que hablamos de seguridad en Internet y consejos sobre cómo protegernos de los peligros de la red, nos hacéis la misma pregunta: “¿Es más seguro guardar nuestras contraseñas en papel?”. La duda también ha surgido en nuestra propia redacción, por lo que nos hemos puesto en contacto con los expertos en ciberseguridad para ver que esta opción, por bien que parezca sobre el papel, precisamente, no es la más recomendable para proteger nuestros datos.

Así lo explica Carolina Torrent Sánchez, analista en Cyber Threat Intelligence, experta en ciberseguridad y maldita que nos ha prestado sus superpoderes, que asegura que no es partidaria de esta solución. “No solo por seguridad, sino por practicidad a la hora de tener que teclear contraseñas complejas que incluyan mayúsculas, letras y símbolos”, asegura la experta, que también apunta a que tendemos a crear contraseñas más vulnerables al prescindir de un generador de claves.

Pero no es el único riesgo que existe al tener nuestras credenciales en un soporte físico ya que corremos el riesgo de que “ese papel se pierda o sea encontrado por un tercero, ya que incluso en casa tenemos visitas”. Una amenaza que aumenta si llevamos nuestras claves con nosotros, “una muy mala práctica ya que podrían ser robadas fácilmente”, incide Torrent.

La experta considera mejor el uso de un gestor de contraseñas como Keepass, del que ya os hemos hablado en Maldita.es. La aplicación permite tener nuestros datos en nuestro ordenador local, por lo que “no tienes que subir tus contraseñas a un sitio expuesto a Internet, puesto que estos servicios son objetivos habituales de ciberataques”. Una característica que a ojos de la experta hace de este gestor “la opción más segura”.

José Alberto Orejuela, experto en privacidad y software libre, y maldito que también nos ha prestado sus superpoderes, incide en que un gestor de contraseñas es más seguro que tenerlas en papel ya que cualquier persona que encuentre nuestra libreta podría quedarse con nuestros datos, mientras que con un gestor “si alguien encuentra tu archivo de contraseñas no podrá descifrarlo si no conoce la contraseña maestra”. También señala que en el papel tenemos tendencia a crear contraseñas más fáciles de teclear, y por tanto más vulnerables.

Por otro lado José María de Fuentes, profesor Titular de la Universidad Carlos III de Madrid y especialista en ciberseguridad, insiste en que, si bien el formato físico “traslada la seguridad a la custodia del papel”, sí que podría tener sentido en los casos en los que el usuario sea “una persona con dificultades cognitivas o de memoria” o cuando haya “un riesgo cierto de olvidarlas” en un sistema que empleemos repetidamente.

Para Juan Javier Chacón, director y CEO de HDD Informática, y maldito que nos ha prestado sus superpoderes, el mantener seguras las contraseñas “sigue siendo un deporte de riesgo” y ambos soportes corren un riesgo similar de extraviarse o “ser sustraídas por un externo, llámese delincuente informático o cuñado”. Mientras que en papel corremos el riesgo de que nuestra libreta se “moje si llueve o que el gato la rasgue mortalmente”, los dispositivos también pueden dañarse o, en el peor de los casos, que un extraño consiga acceso a todas nuestras contraseñas a través del gestor.

Eso sí, esta aplicación ofrece no solo cierta comodidad y mayor movilidad, sino unas garantías de seguridad adicionales que no permite el papel ya que “siempre irá acompañado de unas pautas obligatorias de precaución” como el factor de doble autenticación o la posibilidad de crear copias de seguridad.

Y para terminar…

Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen.

En este artículo han colaborado con sus superpoderes los malditos Alfonso Rodríguez, Iván Forcada, Santiago Casteleiro Castro, Carolina Torrent Sánchez, José Alberto Orejuela y Juan Javier Chacón.

Carolina Torrent forma parte de Superpoderosas, un proyecto de Maldita.es en colaboración con FECYT que busca aumentar la presencia de científicas y expertas en el discurso público a través de la colaboración en la lucha contra la desinformación.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.