En México, un grupo opera un extenso ecosistema de sitios web, redes sociales e incluso cuentas de mensajería cifrada que aprovechan información de programas sociales para llevar a poblaciones vulnerables, como adultos mayores y menores de edad, a realizar pagos de manera poco transparente. Esto los expone al riesgo de que sus cuentas sean drenadas mes tras mes a través de la plataforma Google Pay.
En una investigación conjunta entre Publimetro México y especialistas en ciberseguridad, se descubrió la estrategia detrás de esta compleja red en la que sitios como Becas News (becas[.]news), Convocatorias México (convocatoriasmexico[.]com) y Becas Subes (becassubes[.]com) utilizan prácticas predatorias para posiblemente engañar a los beneficiarios de los programas sociales.
Estas páginas web despliegan automáticamente, de manera completamente opaca, plataformas para realizar “colaboraciones mensuales” o “contribuciones únicas” a cambio de información sobre becas y programas sociales; a pesar de que esta información es proporcionada gratuitamente por el gobierno.
La delgada línea de la legalidad
En relación con este ecosistema predatorio, el analista de seguridad informática Nicolás Azuara advirtió que, si bien en la práctica podría no constituir un delito en sí mismo, existen interpretaciones legales debido al posible engaño hacia estas poblaciones: “Hay una delgada línea entre la ética y la legalidad. Si bien este ecosistema de sitios web comparte información real, la solicitud de micropagos al navegar por sus páginas resulta preocupante considerando que promueve becas a estudiantes menores de edad y adultos mayores, quienes pueden aceptar suscripciones mensuales sin saber que son opcionales”.
Azuara también señaló que, aunque estos sitios cuentan con las políticas de privacidad y de cookies, estas son bastante básicas y hacen referencia a la legislación española, a pesar de que su audiencia y supuesta sede social están en México. Por lo tanto, se encuentran fuera de la legislación local.
Por ejemplo, las políticas mencionadas no hacen referencia al servicio de micropagos, lo que genera incertidumbre sobre cómo exactamente se están implementando.
“Esos molestos avisos de ‘aceptar o rechazar las cookies’ son legalmente necesarios”
— Nicolás Azuara
Cabe destacar que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), autoridad que vigila el cumplimiento de las leyes en la materia, establece que cuando un responsable utiliza tecnologías como cookies o web beacons para recabar datos personales de manera automática al momento de que el usuario interactúa con su sitio web, este debe informar de manera clara y visible sobre el uso de estas tecnologías y cómo se utilizan para obtener datos personales, lo cual incumplen los sitios mencionados.
Asimismo, esta información debería incluirse en un aviso de privacidad que detalle qué datos se recaban, las finalidades del tratamiento y cómo el usuario puede desactivar estas tecnologías, a menos que sean esenciales por razones técnicas.
“Si recabas datos personales mediante cookies de forma automática, en México también estás obligado a dar aviso y permitir elegir si está de acuerdo o no el visitante”
— Nicolás Azuara
Potencial daño económico
Al revisar uno de los grupos de WhatsApp promocionados desde estos sitios, se descubrió que cuentan con al menos 27 mil seguidores. Además, poseen varias cuentas con un número significativo de seguidores, como más de 200 mil según la investigación de Publimetro México. Esto sugiere que los ingresos potenciales para los desarrolladores de esta estrategia predatoria podrían ser considerablemente altos.
Por ejemplo, si solo el 1% de estos seguidores cae en la trampa de las suscripciones, pagando la contribución mínima mensual de 18 dólares establecida por el sistema, los estafadores podrían obtener mensualmente hasta 36 mil dólares o 663,120 pesos mexicanos, según el tipo de cambio actual.
Asimismo, estos sitios web también gestionan cuentas en redes sociales como @avisosbienestar, y publican videos a través de diversas cuentas, como Melissa Melissa Bienestar, que además administra un grupo en la red de mensajería cifrada Telegram con más de 16 mil seguidores. Además, destacan Avisos Bienestar Avisos, con 167 mil seguidores, y Becas Benito Juárez News, que cuenta con más de 40 mil seguidores.
¿Estrategia para usurpar la identidad?
Uno de los sitios más perturbadores, según Azuara, es “Portal SUBES 2024-2025 (Sistema Único de Beneficiarios de Educación Superior)”, que utiliza un nombre que sugiere una afiliación oficial con programas de becas reconocidos, por lo que podría engañar fácilmente a los usuarios menos familiarizados con las prácticas en línea.
Es importante destacar que este sitio aparece en los resultados de búsqueda de Google y es accesible sin complicaciones, sin ningún mensaje de advertencia para los beneficiarios sobre su autenticidad. Además, el logo utilizado en la metadata de la pestaña del navegador es similar al del gobierno federal, lo que aumenta la confusión sobre la legitimidad del sitio.
Recomendaciones para no caer en estafas
1. Verificar la autenticidad
Antes de proporcionar cualquier información personal o financiera, verificar que el sitio web o la entidad es oficial y confiable.
2. Leer términos y condiciones
Siempre revisar los términos y condiciones de las suscripciones y pagos.
3. Desconfiar de solicitudes de pagos
Ser cauteloso con cualquier solicitud de contribuciones o pagos recurrentes.
4. Usar herramientas de ciberseguridad
Emplear bloqueadores de anuncios y revisar configuraciones de privacidad y cookies en los navegadores.