Jonay Peñate, redactor de la revista HackerCar, nos escribía hace ya unos días para pedirnos colaboración con una serie de artículos que están preparando sobre diferentes tipos de fraude.
En particular, acordamos que un servidor le pasaría unos cuantos párrafos sobre el funcionamiento del Brushing, sobre el que casualmente había escrito hacía apenas una semana en mi página personal.
Las coincidencias temporales no acaban aquí, sino que justo cuando me ponía a escribir la pieza, saltaba una alerta del Departamento de la División de Investigación Criminal del Ejército de Estados Unidos informando de una evolución del brushing, así que aproveché también para explicarla.
Dejo por aquí un resumen de lo que le pasé al medio, y al final del mismo dejaré el enlace al artículo que acabaron por publicar.
Ponte en situación.
Un buen día, llaman a la puerta de casa, y al abrir ves que es el repartido de una conocida plataforma de compraventa en Internet, con un paquete a tu nombre.
Jurarías que no has pedido nada, pero hoy en día hacemos tantos pedidos online, cada uno con sus tiempos de entrega, que a veces hasta no recordamos lo que hemos comprado.
Pues bien, lo abres y te encuentras con un gadget para el coche. Uno que no recuerdas haber pedido.
Abres la app del marketplace de turno y revisas tus pedidos, para constatar que, en efecto, no lo habías pedido. Revisas el packaging, y frente a todo pronóstico, los datos de entrega son tuyos. Ahí aparece tu nombre y apellidos, y también tu dirección postal.
Vamos, que no es una confusión. Que no se trata de un pedido que haya hecho tu vecino.
¿Qué ha pasado?
Pues algo cada vez más habitual. Has sido víctima de un fraude. Uno llamado brushing.
Primero de todo, ¿qué es el brushing?
Lo expliqué recientemente en un tutorial en profundidad en mi página, pero básicamente estamos ante un tipo de fraude dirigido no al usuario final, sino a los marketplaces como Amazon o Aliexpress.
En él, se envían paquetes a usuarios de estas plataformas con pedidos que no han realizado, usando para ello cuentas que en muchos casos han sido previamente hijackeadas (robadas), y con la información postal también obtenida generalmente de forma ilícita.
Y el objetivo primario de este timo es aparentar que ese producto en particular se vende muy bien, para que el marketplace lo posicione mejor que la competencia, además de poder escribir reseñas positivas en nombre del en teoría comprador, que por supuesto busca nuevamente engañar los sistemas de posicionamiento dentro de la plataforma.
A partir de ahí, ya depende de los objetivos finales que tenga el que esté detrás del ataque. En algunos casos son supuestas empresas que ofrecen este «servicio» para ayudar a vendedores a posicionar artificialmente mejor su catálogo. En otro, cibercriminales que luego venderán o usarán ese perfil de producto con muy buenas reseñas y pedidos para vender productos falsos, o incluso realizar timos.
¿Qué consecuencias podría tener para ti?
Como todo en esta vida, hay una parte positiva y una negativa de haber sido víctima del brushing.
- La positiva es que la mayoría de plataformas no obligan a devolver el producto. Empresas como Amazon, eso sí, instan a los usuarios que hayan recibido pedidos no solicitados a que les informen mediante un formulario que tienen disponible en la web (EN), precisamente para controlar estas técnicas, que sea como fuere, acaban impactando en el consumidor (cada vez podemos fiarnos menos de las reseñas).
- La negativa, sin embargo, es que probablemente hayan obtenido tus datos personales y fiscales de algún filtrado anterior, lo que quiere decir que hay información tan sensible tuya como es la dirección donde vives expuesta en algún foro o base de datos que circula por los bajos fondos de Internet. Servicios como Eliminamos Contenido pueden ayudarte a localizarla y eliminarla, pero ojo porque el mal a veces ya está hecho, y no siempre es posible lo primero y/o lo segundo.
De cara al marketplace, y en general a la confianza de la plataforma, por supuesto el brushing no es más que algo negativo. Están engañando al sistema para posicionar artificialmente primero productos que no deberían estar ahí, generando además reseñas y comentarios positivos que son falsos, lo que enturbia aún más la calidad de la plataforma.
Una evolución del burshing que sí es peligrosa para el receptor del paquete
Sin embargo, recientemente la División de Investigación Criminal del Ejército de los Estados Unidos emitía una alerta (EN) en la que instaba sobre todo a los militares, pero en última instancia a toda la ciudadanía, a tener muchísimo cuidado con el brushing en el país.
Al parecer, alguien ha estado últimamente «regalando» con esta técnica relojes inteligentes a ciudadanos aleatorios de EEUU. Sin embargo, un análisis pericial de este dispositivo ha demostrado que los smartwatches venían con un spyware, un «virus» que permite espiar todo lo que hacemos, conectándose automáticamente a la WiFi del hogar y sincronizándose con los dispositivos móviles cercanos.
Una vez hecho esto, lo demás es historia: Robo de datos personales, agenda, acceso a la cuenta bancaria de las víctimas… Incluso son capaces de espiar comunicaciones mediante el micrófono y las cámaras de los dispositivos.
Un ejemplo más de que nadie da nada de forma gratuita.
Por aquí el artículo que acabaron publicando en el medio (ES).
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.