Fraudes de Clickbait: La curiosidad estafó al gato

Los fraudes de clickbait generan interés en las personas con noticias sorprendentes o alarmantes para conseguir que pinchen en enlaces maliciosos

«¿Podría colapsar el Golden Gate?», «La sorprendente noticia que ha lanzado el Real Madrid», «¿En qué soleada ciudad se celebrarán los próximos Juegos Olímpicos?»… Seguramente estés habituado a encontrarte con titulares que no te proporcionan el aspecto más relevante de una noticia, sino que buscan conseguir que hagas clic en el enlace y accedas a ella.

Esta práctica, en la que se busca llevar a la máxima expresión el sensacionalismo en los titulares, o presentar las ofertas más irrealistas, tradicionalmente utilizada por los medios de comunicación, se denomina clickbait y tiene como misión aumentar el tráfico de visitas que reciben sus contenidos.

Cada click hacia estas direcciones web se monetiza a través de publicidad, de ahí lo fundamental de llamar la atención del lector, pero, el mayor riesgo está en los sitios web que, no solo son falsos, sino que promueven fraudes de tipo phishing o incluso llegan a difundir malware.

Otra de las problemáticas asociadas a estas webs es que suelen utilizar software obsoleto o sin parches, incrementando su vulnerabilidad a ser comprometidas. Por ello, si bien el clickbait inicial pudiera no estar hecho para realizar fraude, su uso puede llegar a ser de riesgo para el lector por haber sido atacado.

Tal ha sido la expansión de su uso en los últimos años que la palabra «clickbait» ha pasado a formar parte del Oxford English Dictionary en el año 2016.

A continuación, vamos a desgranar las claves de los fraudes de clickbait y la manera de prevenirlos porque no, el título de este artículo no es clickbait.

1. ¿Dónde comienzan los fraudes de clickbait?

El hábitat natural de los fraudes de clickbait son las redes sociales. Los medios de comunicación, las administraciones públicas, las empresas y los ciudadanos comparten continuamente páginas webs en plataformas como Facebook, LinkedIn, Instagram o X.

Precisamente, X es la aplicación más empleada para realizar fraudes de clickbait, ya que se ha convertido con el paso de los años en la red social para informarse por antonomasia.

Sin ir más lejos, durante la crisis de la DANA que asoló Valencia, se han convertido en célebres los mensajes del ministro de Transportes en X informando sobre los avances en al reparación de las infraestructuras dañadas.

Así, cuando millones de personas desean estar al día de lo que sucede en el mundo, enterarse de los últimos acontecimientos polémicos o informarse sobre sucesos que están ocurriendo, acuden a X para obtener información.

Los ciberdelincuentes son conscientes de ello y aprovechan la necesidad de obtener información de los ciudadanos o su curiosidad por descubrir datos que no conocían para engañarlos a través de esta plataforma.

Más allá de las redes sociales, los actores maliciosos pueden combinar los fraudes de clickbait con otra técnica de ingeniería social como el envenenamiento SEO. ¿Con qué fin? Lograr que al emplear motores de búsqueda como Google o Bing se muestren en las primeras posiciones páginas webs maliciosas, a la vez que los titulares de las mismas generan la necesidad de hacer clic en ellas.

También es posible cometer fraudes de clickbait mediante el phishing, el smishing o mensajes enviados a través de aplicaciones de mensajería instantánea como WhatsApp o Telegram, aunque los ciudadanos están menos predispuestos a hacer clic por estas vías.

2. ¿Cómo se logra seducir a las víctimas?

La operativa que siguen los ciberdelincuentes a la hora de realizar fraudes de clickbait en redes sociales es muy sencilla.

2.1. Crean perfiles falsos en redes sociales

Los actores maliciosos crean perfiles en redes sociales desde cero y los dotan de contenido para no levantar las suspicacias de los usuarios y ganarse su confianza.

En algunos casos, estos perfiles suplantan la identidad de empresas, instituciones públicas y personas conocidas, de cara a dar mayor credibilidad a sus posts y a las páginas que comparten.

Además, también se debe contemplar la posibilidad de que los delincuentes realicen hackeos de cuentas en redes sociales para hacerse con el control de perfiles legítimos y usarlos para cometer fraudes de clickbait y otra clase de estafas.

2.2. Elaboran las publicaciones

El siguiente paso de la operativa de los fraudes de clickbait gira en torno a la elaboración del contenido que se va a compartir. En este sentido son fundamentales tanto la forma en la que se previsualiza la web maliciosa en plataformas como X o Facebook, como el mensaje que la acompaña y que debe generar el deseo de hacer clic en el enlace.

2.2.1. Estrategias de comunicación

Dado que el clickbait requiere de un volumen significativo de visitas estos sitios suelen utilizar las siguientes estrategias de comunicación para aumentar su tráfico:

• Sensación de urgencia. Por ejemplo, informando sobre una supuesta última hora de gran trascendencia.
• Ambigüedad. Uso de títulos vagos que alientan a querer saber más sobre la cuestión en sí.
• Manipulación emocional. Los mensajes apelan a nuestras emociones más profundas como el miedo, la pasión, el odio o la esperanza. De esta manera se busca que las víctimas hagan clic de manera poco reflexiva.
• Sensacionalismo e imágenes sorprendentes. Una de las últimas campañas de fraudes de clickbait detectada en X consiste en que la imagen de previsualización de la web maliciosa tenga la apariencia de un video o una imagen a la que X le ha aplicado su filtro de contenido sensible. De tal forma que cuando los usuarios de X clican en la imagen para desactivar el filtro, son redirigidos a webs maliciosas. En el caso de esta campaña, se atraía a las víctimas usando como cebo un terremoto de gran magnitud en Japón y una invasión ucraniana de la ciudad rusa de Kursk.
• Obtención de una oferta o un descuento especial también conocido como malvertising. Pocas cosas nos gustan más a los seres humanos que las ofertas. Por eso, muchos fraudes de clickbait prometen a las víctimas descuentos exclusivos si hacen clic en los enlaces. Esta tipología es común a la hora de cometer fraudes de criptomonedas.

Una alternativa a la creación de posts, es la publicación de comentarios en los contenidos que comparten los medios de comunicación. Dichos comentarios aportan información adicional a la noticia, como supuestos videos o fotografías sobre un acontecimiento que se pueden ver si se hace clic en el enlace.

2.2.2. Estrategias técnicas

Además de las estrategias anteriores, también se utilizan estrategias técnicas que buscan maximizar el tráfico o enmascarar la acción que hay detrás de la pretendida comunicación. Algunos ejemplos:

a. Uso de plataformas de distribución de contenido

Con objeto de disfrazar la finalidad buscada, uno de los métodos más utilizados es la denominada «publicidad nativa». Se trata de vestir el contenido del anuncio de tal forma que adquiera el aspecto físico del sitio en el que aparece o bien de un medio de información de conocida reputación. El objetivo es generar dificultades en el eventual lector final en discernir si se trata de contenido oficial o no.

b. Suplantación de identidad

Es muy frecuente detectar publicaciones de este tipo que suplantan a terceras personas, organizaciones o medios para revestir de mayor credibilidad el contenido que se busca sea consultado.

c. Clickbait enmascarado en PDFs

De sobra es conocido el riesgo que puede suponer la descarga de PDFs de procedencia sospechosa que, tradicionalmente han sido enviados vía email. La novedad en este caso es el uso de PDFs no benignos que se presentan como si fueran legítimos cuando hacemos búsquedas ordinarias como, por ejemplo, vinculadas a un manual de instrucciones, u formulario oficial que se necesita cumplimentar o un informe de reciente publicación.

Esta estrategia se ve potenciada por el funcionamiento que presentan los navegadores comerciales en la actualidad, los cuales permiten el visionado de PDF de forma integrada, abriéndose estos como si fueran una web más. Esta funcionalidad es especialmente más confusa para los usuarios más desprevenidos.

d. Explotación de vulnerabilidades de webs de terceros

Si bien se trata de una acción que requiere de conocimientos técnicos, cada vez son más los sitios de noticias afectados. Para poder explotar vulnerabilidades en estas webs es necesario conocer los detalles que arroja la pila web (o web stack), pues esta aporta información del conjunto de software asociado en el desarrollo web como puede ser el sistema operativo, el servidor, el lenguaje de programación o el software utilizado como base de datos. Conocer esta información permite a los actores fraudulentos advertir también si alguna de estas tecnologías está desactualizada, escenario que facilita la detección de vulnerabilidades y exploits para comprometer su uso.

Esta técnica unida a la mayor desactualización y descuido de actualizaciones que suelen tener las webs de anuncios, las hace más vulnerables, al igual que a sus lectores, a acciones de phishing y malware entre otras

e. Utilización de aplicaciones de IA generativa

Si bien su uso es novedoso, cada vez es más habitual el empleo de herramientas tipo AIPRM o Jasper para automatizar la generación de contenido ya optimizado bajo parámetros SEO, redundando así en un mayor tráfico hacia el sitio.

2.3. Redirigen a los usuarios a webs falsas y peligrosas

En el resto de canales empleados para cometer fraudes de clickbait la operativa es similar. En el caso de los delincuentes que recurren al phishing, estos actores maliciosos suplantan la identidad de empresas conocidas, elaboran emails que capten la atención de las víctimas y que sean coherentes con la identidad de la compañía suplantada, finalmente, las redirigen a webs falsas.

3. ¿Qué sucede tras hacer clic?

Llegados a este punto los fraudes de clickbait funcionan igual que muchas otras técnicas de ingeniería social: las víctimas aterrizan en páginas falsas en las que:

• Se les pide que introduzcan credenciales de acceso a plataformas y aplicaciones legítimas cuya identidad ha sido suplantada.
• Los usuarios se ven conminados a aportar información de índole personal que puede ser de gran valor para futuros ataques.
• Se conduce a las víctimas a descargar un archivo que está infectado con malware.
• Se convence a las víctimas de que instalen extensiones de su navegador que parecen legítimas, por ejemplo, para poder visualizar un supuesto video y que, sin embargo, son maliciosas.

De esta manera, los delincuentes detrás de los fraudes de clickbait pueden cumplir sus objetivos:

• Hacerse con el control de cuentas en redes sociales de ciudadanos y empresas.
• Acceder de manera ilegítima a aplicaciones de índole personal o corporativa como gestores de correo o entornos de trabajo.
• Entrar a aplicaciones bancarias o cuentas online y cometer estafas económicas.
• Engañar a los usuarios para que realicen pagos en plataformas de inversión o adquieran productos en falsos e-commerce.
• Usar ransomware para secuestrar información personal o empresarial, exigir un rescate y comercializar los datos en la Dark Web.
• Emplear spyware con el fin de espiar a los usuarios de los dispositivos infectados.
• Recopilar información que pueda resultar útil a la hora de realizar futuros ataques contra ciudadanos y empresas.

Así, una acción a priori tan intrascendente como hacer clic en una publicación de redes sociales puede acabar provocando un incidente de seguridad grave no solo para la persona que clicó, sino también para la empresa en la que trabaja.

4. Hugh Jackman no te va a dar consejos sobre inversión

Si los peligros asociados a las fake news y los fraudes de clickbait no fuesen lo suficientemente graves ha entrado en juego un factor que complica, aún más, le detección de las estafas: la IA generativa.

Sistemas de Inteligencia Artificial como ChatGPT, Midjourney o Sora abren un amplio abanico de posibilidades a las empresas y los profesionales a la hora de desenvolver sus funciones. Pero también traen consigo consecuencias indeseadas. Puesto que los delincuentes pueden emplear la IA generativa para realizar deepfakes de voz e imagen o generar ilustraciones y textos que sirvan para engañar a los usuarios de las redes sociales.

Por ejemplo, en Australia se detectó este año una campaña de fraudes de clickbait que suplantaba la identidad de personas famosas como el actor Hugh Jackman mediante deepfakes generados con IA.

Este actor, célebre por interpretar a Lobezno en varias películas, recomendaba invertir en plataformas de inversión maliciosas que requerían un pago previo para acceder a ellas y que engañaban a los usuarios para que ingresaran más dinero a cambio de supuestos beneficios que jamás se obtenían.

5. ¿Qué recomendaciones básicas pueden seguir los ciudadanos y las empresas para evitar los fraudes de clickbait?

La mejor receta frente a los ataques de ingeniería social es una combinación entre sentido común y prudencia.

Las redes sociales ya forman parte de nuestro día a día y se han transformado, incluso, en importantes herramientas de negocio para las empresas.

Los delincuentes son conscientes de ello, de ahí que consideren que estas plataformas son un terreno próspero para realizar estafas como los fraudes de clickbait. Por eso, es fundamental que los ciudadanos:

• No hagan clic en enlaces que provienen de cuentas que no conocen.
• Lean los posts de las redes sociales con atención y evalúen si pueden estar ante fake news.
• Confirmen posibles noticias de gran relevancia en medios de comunicación fiables, antes de hacer clic en un enlace sospechoso.
• Si una publicación en redes sociales les lleva a una página web que no conocen o que les solicita información como credenciales de acceso, salgan de inmediato sin realizar ninguna acción en ella.
• Evitar descargar ningún archivo o instalar una extensión proveniente de una web a la que se accedió a través de una publicación de redes sociales.
• Observar con atención videos e imágenes para detectar posibles deepfakes.
• Y recordar siempre, las gangas no existen.

Por su parte, las empresas pueden disponer de un protocolo de buenas prácticas en el uso de las redes sociales para evitar sus trabajadores hagan clic en enlaces maliciosos mientras estén en el trabajo o cuando empleen dispositivos corporativos.

Asimismo, pueden contratar un test de ingeniería social para comprobar su resiliencia frente a los fraudes de clickbait y formar a sus plantillas para que estén preparadas para hacer frente a estas estafas.

6. ¿Qué papel juega la ciberinteligencia en la lucha contra la ingeniería social?

Como hemos ido señalando a lo largo de este artículo sobre fraudes de clickbait, dos de las estrategias habituales de los actores maliciosos son:

• El hackeo de cuentas en redes sociales para hacerse con ellas y emplearlas de manera delictiva.
• La suplantación de identidad de compañías conocidas popularmente y de prestigio.

Tanto en un caso como en el otro, las empresas se ven afectadas directamente por los fraudes de clickbait aunque no sean el objetivo de las estafas. ¿Cómo pueden luchar contra esta actividad fraudulenta? Los servicios de ciberinteligencia son claves a la hora de identificar con rapidez los casos de fraude y obtener información crítica sobre ellos: campañas que se han puesto en marcha, actores hostiles que están detrás de ellas, tecnología que usan a lo largo del proceso y patrones de comportamiento.

De tal forma que la información obtenida y analizada por los profesionales de ciberinteligencia resulta fundamental para bloquear las campañas de fraudes de clickbait en sus fases iniciales y evitar que dañen la reputación empresarial y repercutan negativamente en los clientes de las compañías.

Pero no solo se trata de evitar el impacto directo, sino también de advertir los fraudes asociados, por ejemplo, a anuncios. Pues la suplantación ilegítima de la organización puede derivar también en pérdidas de confianza y otros impactos reputacionales.

En definitiva, los fraudes de clickbait suponen una nueva vuelta de tuerca de los ciberdelincuentes a la hora de engañar y estafar a ciudadanos y empresas. Las fake news ya no son solo un problema sociopolítico, sino que suponen, también, una amenaza directa para la ciudadanía y el tejido productivo.