La Comisión Federal de Comercio (FTC) advirtió sobre una estafa de phishing que circula como falsas invitaciones a fiestas por correo electrónico y mensajes de texto. La maniobra busca robar credenciales de acceso, tomar control de cuentas de email y, en algunos casos, abrir la puerta a fraudes bancarios, reportó ABC News.
La agencia explicó en una alerta publicada en su sitio que los mensajes inesperados con frases como “estás invitado” imitan plataformas conocidas como Evite o Paperless Post y pueden solicitar el usuario, la contraseña del correo o un código especial para confirmar asistencia. Esa solicitud no forma parte del funcionamiento normal de una invitación auténtica.
Testimonios de víctimas: cómo operan las estafas
En Nueva York, Alyssa Williamson relató a Good Morning America, de ABC News, que recibió un correo de una excompañera universitaria sobre un evento de exalumnos: “Cuando hice clic en el enlace, se abrió una pantalla de inicio de sesión de Gmail“.
Horas después, empezó a recibir mensajes de amigos que le preguntaban por una invitación electrónica que ella había enviado sin saberlo: “Les mandé mensajes de texto a muchos de mis amigos para decirles que no lo abrieran y cambié todas mis contraseñas”.
Otro testimonio que difundió el programa fue el caso de Alexis Moser, quien dirige un preescolar en Whittier, California, y explicó que recibió una invitación similar y creyó que era auténtica: “Puse mi contraseña, hice la autenticación multifactor, que ya hice muchísimas veces en muchos otros sitios web, así que realmente no pensé nada raro”.
Más tarde, comenzó a recibir una gran cantidad de correos de personas con las que no hablaba desde hacía años. Moser contó que los estafadores usaron la información que ingresó para ver la invitación e ingresaron en su cuenta bancaria.
“Abrí el historial de transacciones y noté que había tres transacciones diferentes que sumaban aproximadamente USD 5.500“, detalló Moser. Según ABC News, su banco repuso luego los fondos faltantes en una cuenta nueva y ella restableció sus contraseñas.
Qué señales permiten detectar una invitación falsa
Las empresas de invitaciones en línea consultadas por ABC News describieron varios indicios de fraude. Alexa Hirschfeld, presidenta de Paperless Post, alertó: “Cualquier cosa que te pida descargar un archivo adjunto, iniciar sesión o registrarte para hacer algo básico como responder son señales de alerta”.
Matt Douglas, director ejecutivo de Sincere Corporation, propietaria de Punchbowl, dijo a ABC News que también hay señales visuales claras cuando una invitación es falsa. Mencionó imágenes que no cargan, logotipos con tamaño incorrecto o textos desalineados.
Douglas añadió que conviene revisar con atención las direcciones web: “Recomendamos enfáticamente que la gente pase el cursor sobre esa URL y que nunca, jamás, ingrese información si algo no parece correcto”. Por su parte, Evite señaló que el indicador más confiable para determinar si una invitación es real es la dirección de correo del remitente.
La FTC pidió no abrir el enlace y actuar rápido si ya hubo un clic
La recomendación de la FTC ante una invitación inesperada es no hacer clic y confirmar con el supuesto anfitrión si el mensaje es real. La agencia añadió que algunos correos indican que una persona conocida organiza el evento, mientras que otros piden un número de teléfono y un código especial para confirmar asistencia.
Para reducir el riesgo, se recomienda mantener actualizado el software de seguridad, configurar las computadoras para instalar actualizaciones automáticas y actualizar con regularidad el sistema del teléfono. La agencia insistió, además, en usar autenticación en dos pasos para dificultar el acceso a las cuentas.
Si una persona cree que un estafador ya obtuvo la información de su correo electrónico, la FTC indicó que debe cambiar la contraseña de inmediato por una frase de acceso nueva y segura.
Asimismo, solicita reenviar los correos de phishing al Anti-Phishing Working Group a reportphishing@apwg.org, los mensajes de texto al 7726 y denunciar el intento de fraude en ReportFraud.ftc.gov, además de consultar IdentityTheft.gov para seguir pasos específicos según los datos comprometidos.
