Ciberdelincuencia

La estafa phishing que suplanta a Netflix y de la que alerta la Guardia Civil y el INCIBE

La popular plataforma de streaming es uno de los ganchos habituales que usan los ciberdelincuentes para engañar a las víctimas

Fotografía de archivo que muestra una vista del logo de Netflix en un teléfono móvil. La eliminación de las cuentas compartidas de dicha firma para los usuarios en Canadá es uno de los clics tecnológicos de la semana en América. Si usted está en Canadá y le piden compartir una cuenta de Netflix, no va a pasar por egoísta si dice que no la puede dar... es que no lo va a poder hacer o va a tener que pagar más por ello. Netflix comenzó a comunicarle a sus suscriptores canadienses que cobrará una cuota extra para permitir las cuentas compartidas entre distintas ubicaciones y dispositivos.
La estafa phishing que suplanta a Netflix y de la que alerta la Guardia Civil y el INCIBE.Sedat Suna EFE

El phishing es una de las tácticas más recurridas por los ciberdelincuentes debido a su bajo coste, especialmente cuando se realiza a través de correo electrónico, su alcance y su efectividad. Netflix, la plataforma de streaming con más usuarios del mundo, es una de las empresas que suele ser utilizada en este tipo de engaños debido a su popularidad. Según un reciente estudio de la Asociación para la Investigación de Medios de Comunicación en España, el 51,7% de la población en España accede a Netflix, lo que la convierte en un gancho atractivo para campañas de phishing. Por ese motivo, no sorprende que tanto el INCIBE como la Guardia Civil hayan alertado de una nueva que vuelve a utilizar a Netflix para engañar a sus víctimas.

La estafa comienza con la recepción de un correo electrónico fraudulento, aparentemente de Netflix, en el que se indica a la víctima que su suscripción al servicio ha sido suspendida o va a serlo inminentemente debido a un problema con el cargo bancario para su renovación.

Para poder hacer efectiva la renovación se facilita un enlace a la víctima que lleva a una web fraudulenta que se hace pasar por la de Netflix y donde encontrará diferentes formularios para introducir sus credenciales de la cuenta y los datos personales y bancarios.

Estos correos emplean asuntos como 'Fw: Último recordatorio antes del cierre de la cuenta [DD-XXXXXX-DXXXX]' o 'Fw: Netflix: Suspensión de su cuenta', aunque también pueden presentarse con otros.

Uno de los mails phishing utilizados en la campaña.
Uno de los mails phishing utilizados en la campaña.INCIBE.

No es el más sofisticado de los phishing, dado que ninguna empresa envía un correo a sus clientes con el 'Fw' que indica que es un mensaje reenviado, las direcciones remitentes no tienen nada que ver con Netflix ni utilizan el logo de la plataforma, pero basta con que un pequeño porcentaje de los receptores del correo pique para que el fraude sea rentable para los perpetradores.

Otra señal de alerta es el enlace a la web que suplanta a Netflix bajo un dominio que no es netflix.com. Cuando se accede, la página web avisa al usuario, a través de una notificación, de una supuesta suspensión de la cuenta debido a un impago.

Web fraudulenta de Netflix utilizada en esta campaña.
Web fraudulenta de Netflix utilizada en esta campaña. INCIBE.

Con este mensaje se pretende que el usuario haga clic en 'Siguiente' para completar sus datos de facturación. Tras pulsar el botón, la página redirige a un formulario en el que se solicitan datos personales como nombre, fecha de nacimiento, número de teléfono, dirección y código postal. En este paso la web ya muestra un error claro que debería hacer desconfiar, la duplicidad del campo para introducir el nombre.

Cuando la web fraudulenta pide datos personales, muestra el campo Nombre duplicado.
Cuando la web fraudulenta pide datos personales, muestra el campo Nombre duplicado. INCIBE.

Si se introducen los datos y se pulsa en Continuar, lo siguiente que piden los ciberdelincuentes son los datos de una tarjeta de crédito o débito como medio de pago. Una vez que la víctima lo haya hecho y pulse en el botón 'Comprobar y terminar', la estafa se habrá consumado y los datos bancarios habrán sido sustraídos. Tras esto, la página muestra un supuesto mensaje de error en el proceso escrito en húngaro.