El fraude comienza de la siguiente manera: un usuario pone un anuncio en un portal inmobiliario para alquilar un inmueble. El ciberdelincuente utiliza la técnica del phishing y haciéndose pasar por un posible cliente envía un correo electrónico al anunciante con un enlace malicioso. Ya sabemos que el envío de correos electrónicos es un procedimiento muy habitual para realizar un ataque de phishing: En el tercer trimestre de 2022, la institución APWG Phishing Activity Trends Report observó 1.270.883 ataques de phishing en total, un nuevo récord, según este organismo. La razón es la eficacia de este ataque: una de cada tres personas hace clic en el enlace.
Pero la pericia del ciberdelincuente puede llevarles más allá del robo de credenciales. Un hacker puede ser capaz, incluso, de secuestrar los hilos de los correos electrónicos para hacerse pasar por el interlocutor original. Lamentablemente, el phishing sigue en alza, ya que está previsto que en 2023 siga creciendo esta técnica, que resulta tan rentable para los hackers y que van perfeccionándola y adaptándola cada vez más al perfil de la víctima.
En el ciberataque del alquiler, el atacante suele decir en email que está muy interesado en la propiedad, pero que no está seguro de si es esa la que se alquila. Naturalmente, el enlace es falso y no se corresponde con el anuncio real, sino con una dirección web engañosa pero muy similar a la del sitio donde está alojada la información sobre el alquiler.
El anunciante y propietario del bien, deseoso de alquilar o vender su propiedad a este potencial cliente, cae en la trampa y pincha en el enlace. Es cuando se produce el robo de credenciales sin que, probablemente, el propietario del inmueble haya sido consciente de este robo. Por supuesto, el falso cliente no vuelve a dar señales de vida y jamás vuelve a contestar los emails del vendedor preguntándole si sigue interesado. Los ciberdelincuentes son expertos en ghosting tras haber conseguido lo que quieren.
Acto seguido el delincuente crea un nuevo anuncio en el portal inmobiliario digital utilizando las credenciales robadas y comienza el timo. Los interesados en el inmueble que supuestamente se alquila -en realidad no existe tal inmueble- envían sus mensajes a través de la plataforma para conocer más detalles. Y la posibilidad de esconder su condición de delincuente simulando ser el vendedor a través del chat es lo que le ayuda a rematar la faena: pedir dinero para reservar el inmueble a través de un bizum, por ejemplo.
Cerca del 96% de este tipo de cibercrimen se hace a través del email. Las estadísticas fijan en 3.400 millones de correos spam enviados cada día, con el principal objetivo de robar credenciales.
“Los ciberdelincuentes abusan de la necesidad que tienen las personas de agradar y captar potenciales clientes para el alquiler de sus inmuebles. Utilizando tretas que simulan que ya hay una relación de confianza previa entre ellos, les piden vía correo electrónico que pinchen en un enlace para robar las credenciales asociadas al anuncio en el portal. Como usuarios tenemos que permanecer atentos y ser conscientes de que cuando exponemos en Internet productos y bienes para vender o alquilar a través de plataformas digitales, podemos ser víctimas de un ciberataque”, afirma Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Ataques y ciberestafas por whatsapp
Este tipo de ciberataque se puede perpetrar por diferentes canales. No solo a través de un mensaje de phishing que llega en un email, sino también por whatsapp. Veamos otro ejemplo:
El hacker detecta que hay un inmueble en alquiler en uno de los portales digitales inmobiliarios. Se hace pasar por una agencia inmobiliaria que tiene un cliente interesado en el inmueble, que ya están comercializando porque “trabajan en abierto”, sin que curiosamente nadie les haya dado permiso para ello. Nuevamente, utilizan la treta de “necesito asegurarme de que este es su inmueble”, así que le solicita que pinche en el enlace para confirmarlo.“Muchos de estos intentos de ataque no llegan a materializarse porque los portales inmobiliarios digitales son conscientes de esta situación y cuentan con herramientas tecnológicas como las de Panda Security, capaces de detectar que se ha producido un intento de hackeo. Pero es muy importante que todas las organizaciones que sean utilizadas como cebo por los delincuentes sean conscientes de los riesgos y evangelicen a sus profesionales para ayudar a los clientes cuando son víctimas de un ataque de ciberdelincuencia”, añade Lambert.
Otros ejemplos de cibercrimen en los alquileres
Aunque existen tantos intentos de fraude como dé de sí la creatividad del ciberdelincuente, os exponemos otros ejemplos frecuentes: No funciona el formulario para comunicarte con el anunciante pero ponen un mail opcional. Desconfía de este tipo de anuncios, ya que lo que quieren es sacarte de la plataforma para que esta no pueda avisarte si ven algo raro.
Un potencial inquilino te hace una transferencia superior al importe acordado. Tras darte cuenta de que la cantidad es mayor, le transferirás de vuelta el importe extra y sin quererlo, podrías estar colaborando para blanquear capitales.
Recibes un email que aparentemente es del portal inmobiliario en el que te piden que ingreses tu contraseña y resulta ser un mail falso.
El sentido común es la mejor baza que tenemos para no caer en la trampa. Desconfía de cualquier correo que te incite a pinchar en un enlace. Y avisa rápidamente a la plataforma digital que comercialice tu inmueble ante la mínima duda de estar siendo objeto de un engaño.