(Más) Confesiones de un estafador de soporte técnico

Marek Lelovič, un colega de ESET, me sugirió que leyera un asombroso enlace del sitio web Reddit, donde quien lo publicó aseguraba:

Trabajé en una estafa de soporte técnico por 6 meses. Acabo de renunciar porque odiaba el trabajo. Así que pueden preguntarme literalmente lo que sea.

No es la primera vez que veo una “confesión” de (aparentemente) un ex estafador de soporte técnico, ni tampoco es la más informativa en cuanto a las técnicas empleadas, ya que por ejemplo este blog tiene los comentarios de alguien que supuestamente trabajó en un call center de la India, pero que aún así es bastante interesante porque es un estadounidense.

me divertí muchísimo con un estafador que decía llamar desde Londres, una ciudad que evidentemente ni siquiera conocíaComo vivo en el Reino Unido, no espero recibir llamados desde call centers ubicados en los Estados Unidos. De todas formas, prácticamente en ningún lado se ven denuncias sobre estafas que no se hayan originado en la India. Eso sí, el estafador en general asegura llamar desde alguna ubicación local (me divertí muchísimo con un estafador que decía llamar desde Londres, una ciudad que evidentemente ni siquiera conocía, mientras que yo la conozco bastante bien, ya que pasé allí la mayor parte de mi vida laboral).

Yo ya sabía que algunas operaciones de estafas de soporte técnico en los Estados Unidos hacen publicidad en Internet, y esta no es la primera denuncia que leo de un estafador que parece llamar desde dicho país (como ocurre en uno de los incidentes aquí descritos). Al igual que en el caso de Lenny Zeltser que cité es este blog, el (ex) estafador dice que su trabajo consistía en contestar llamados telefónicos, en vez de llamar él a las víctimas de manera sorpresiva.

Sin embargo, la empresa para la que trabajaba fue mucho más lejos que hacer meros anuncios en medios sociales y sitios web:

Básicamente, teníamos “vendedores” que se encargaban de poner ventanas emergentes en las computadoras de los usuarios. Estos mensajes les advertían que sus equipos podrían estar infectados con un virus y les suministraban un número telefónico al cual podían llamar para solucionarlo. Luego nos redirigían las llamadas entrantes y nosotros debíamos convencerlos de que nos pagaran grandes sumas de dinero para arreglar la computadora. Díganles a sus padres que nunca den los datos de la tarjeta de crédito por teléfono […] Incluso cuando tengan problemas reales con el equipo, siempre deben llevarlo a un local de computación para hacerle el mantenimiento.

Esto probablemente no sea tan sorprendente: los call centers estadounidenses (o quizá también europeos, aunque aún no vi informes de centros en Europa que parezcan estar llevando a cabo estafas de soporte técnico) parecen tener leyes más estrictas de control que los de la India que atacan países extranjeros -es decir, países como Estados Unidos, Reino Unido y otros, donde el idioma principal es el inglés, así como ciertos países europeos donde el inglés se habla ampliamente como segunda lengua.

Sin duda, sabemos que los call centers de estafas que operan fuera de la India publican sus anuncios en redes sociales y en sitios web (con frecuencia, muy cambiantes). Hablé del tema por primera vez en este artículo (escrito en conjunto con Martijn Grooten, de Virus Bulletin, y Steve Burn). Pero no es conveniente para un call center estadounidense exponerse y tener consecuencias legales por realizar llamados aleatorios con la intención de engañar a los usuarios, ya que puede estar sujeto a leyes regionales más estrictas.

Otro comentario para resaltar:

“Trabajé para un call center que apenas se mantenía dentro de la legalidad como para que no lo cerraran. Algunos métodos típicos que tuvieron que dejar de usar consistían en abrir el Visor de eventos, mostrarse sorprendidos y decir “¡Mire toda esta lista de errores: eso no es normal!”

Seguramente te estarás preguntando por qué las personas están tan deseosas de engañar a los demás. Al fin y al cabo, es una pregunta que me viene intrigando desde hace bastante tiempo. Este es un extracto de un blog anterior:

“Se nota que algunos de ellos tienen muy pocos conocimientos sobre la tecnología que están vendiendo y, cuando tienen que apartarse de su discurso armado, pierden todo el sentido de lo que están diciendo…

Sin embargo, vale la pena reiterar que, en algunas de estas instancias, es bastante probable que los autores de la llamada ni siquiera comprendan que lo que están haciendo se basa en el engaño. Después de todo, no se trata de las personas más inteligentes; son meros “drones” mal remunerados que simplemente leen un guión preparado por mentes más retorcidas inclinadas al fraude absoluto.

Además, sufren la presión de los estratos más altos, que los obligan a alcanzar metas específicas de rentabilidad por cualquier medio necesario, como lo han indicado algunas  denuncias de personas anónimas que aseguran haber sido contratadas por empresas como  iYogi. ”

no es fácil adoptar una postura moralista cuando hay una larga cola de personas dispuestas a tomar tu empleo si te rehúsas a hacer lo que te pidenDespués de todo, no es fácil adoptar una postura moralista cuando hay una larga cola de personas dispuestas a tomar tu empleo si te rehúsas a hacer lo que te piden. Y si tu jefe te asegura que el trabajo es legal y que realmente estás ayudando a la gente, quizá sea más fácil hacer a un lado el escepticismo cuando se trata de conservar tu trabajo. Para volver a citar al estafador misterioso:

Al principio es como si te lavaran el cerebro para que creas que estás ayudando a estas personas, pero en mi caso, cuando me di cuenta de lo que estaba haciendo, fue mucho más difícil concretar las ventas. Llegué al punto en que esperaba al lado de mi computadora y me aterrorizaba la idea de recibir otra llamada […]

Siempre tuve mis sospechas, desde un comienzo, pero no me había dado cuenta del alcance de la situación. Cuando empecé a trabajar allí, me dijeron que todo era legal y que la empresa era partner de Microsoft.

Se observó un autoengaño similar en los estafadores de soporte técnico indios: Craig Johnston denunció en 2011 a un estafador que “admitió que los métodos utilizados para convencer al ‘cliente’ eran dudosos [pero]… me aseguró muy decididamente que el producto ofrecido era legítimo y que beneficiaría al cliente.”

Craig observó: “Creo que este hombre en verdad creía que él y sus colegas estaban ayudando a las personas” pero también observó que sus consejos no solo se basaban en el miedo, la incertidumbre, la duda y el engaño, sino que también tenían errores técnicos:

“La afirmación de que Registry Mechanic es un producto antivirus para la protección de los usuarios ante malware es incorrecta. El producto es legítimo, y hace muy bien su trabajo, pero no está diseñado para suministrar una protección completa ante malware.”

Otros comentarios a este enlace también indicaban que los empleados contratados en los Estados Unidos no eran seleccionados según su experiencia técnica:

  • Yo no tenía ningún conocimiento técnico en absoluto además del hecho de que sabía usar más o menos una computadora y hablaba bien el inglés”.
  • Contrataban a empleados de ventas que sabían tan poco sobre computadoras como las personas a quienes les vendían los productos”.

Lamentablemente, en los últimos años, los scammers de la India parecen haber perdido la inocenciaLamentablemente, en los últimos años, los scammers de la India parecen haber perdido la inocencia. Por un lado, parecen estar mucho más dispuestos a cortar la comunicación a cualquiera que muestre signos de escepticismo o que trate de hacerles perder el tiempo para que no pasen a otra víctima más vulnerable.

No obstante, también demostraron ser considerablemente más agresivos, ya que pasaron del abuso puramente verbal de los últimos años a directamente destruir el sistema de las víctimas incautas que llegaron a otorgarles acceso remoto a sus PC, pero luego se rehusaron a darles los detalles de la tarjeta de crédito. Como expliqué en un blog reciente:

“Asimismo, el estafador puede dejar instalada una trampa apenas accede al sistema, ya sea para destruirlo en caso de que la víctima no siga su juego o para volver a obtener acceso a la PC (y a la tarjeta de crédito de la víctima) en un futuro.”

¿Podemos esperar el mismo comportamiento destructivo de los estafadores estadounidenses? Supongo que no: no lo digo necesariamente porque confíe más en su benevolencia, sino porque las operaciones estadounidenses para el cumplimiento de la ley son mucho más efectivas cuando se trata de scammers con presencia en su propio territorio que en territorio extranjero. Pero no prometo nada.

Autor David Harley, ESET

Síguenos