Advertencia sobre la nueva estafa viral ChiChi Call que usa deepfakes y phishing para sextorsión y robo de datos; guía rápida para no caer.
Las autoridades señalan que el esquema suele empezar con un MMS o un enlace que promete un clip que, supuestamente, podría volverse viral. A continuación, el usuario es conducido a una página de aterrizaje fraudulenta que imita un inicio de sesión de una red social o un reproductor de video.
Allí se le solicita introducir credenciales o descargar un supuesto 'reproductor multimedia' para ver el contenido supuestamente, y con ello los atacantes podrían obtener acceso a cuentas o instalar software espía en el dispositivo.
El mecanismo típico se difunde en plataformas como X (antes conocido como Twitter), Telegram y WhatsApp, con titulares sensacionalistas sobre un video supuestamente filtrado o viral.
El gancho es claro: las víctimas desean ver el supuesto material y hacen clic en el enlace. En algunos casos, la historia sugiere que la grabación contiene imágenes explícitas, lo que aumenta la presión para proceder. Los analistas advierten que estas prácticas buscan exponer a la persona y, en muchos episodios, facilitar el robo de datos personales, contraseñas y listas de contactos.
Supuestamente, también podrían instalarse software espía que registra teclas y capta información sensible del teléfono o la computadora.
Vera Hill sería la figura central asociada a este engaño
Presuntamente, #Vera Hill sería la figura central asociada a este engaño, ya que el nombre de la creadora digital aparece en varios ejemplos de la campaña.
Aunque de momento no hay confirmación independiente que certifique la identidad exacta de la persona detrás del alias, los rastros en la red apuntan a una estrategia de marketing negro que aprovecha la curiosidad y el morbo de los usuarios.
Además, la supuesta vinculación con un portal dedicado a la famosa creadora ha contribuido a escalar la difusión del engaño. Este fenómeno no es nuevo: se ha visto una reaparición de tácticas similares cuando ocurren eventos de interés público, como competencias deportivas recientes, lo que refuerza la hipótesis de que la campaña podría haber intentado aprovechar la atención generada por los últimos acontecimientos deportivos para sembrar mayor desconfianza entre los usuarios.
Presuntamente, el objetivo principal de los estafadores es doble: por un lado, robar credenciales para tomar control de cuentas en redes sociales, mensajería y correo; por otro, obtener datos privados (contactos, fotos, información financiera) para chantajear o vender a terceros.
En algunos escenarios, los atacantes han prometido soluciones para desbloquear cuentas o evitar consecuencias negativas, lo que aumenta la probabilidad de que las víctimas entreguen información sensible.
Los especialistas destacan que el mayor riesgo no es solo la pérdida de acceso, sino la posibilidad de que el dispositivo quede comprometido con malware que vigila la actividad del usuario.
Historias similares ya habían aparecido anteriormente. En una versión anterior de la campaña, conocida como un supuesto video de una deportista olímpica, los responsables buscaron capitalizar la curiosidad de los usuarios por eventos deportivos de alto perfiles para difundir enlaces maliciosos.
Is Zyan Cabrera un atleta? Esa verificación, sustancial para entender el contexto, fue objeto de chequeos periodísticos, y la conclusión fue que los responsables de la estafa pretenden confundir a los usuarios con identidades ajenas para aumentar la tasa de clics.
En conjunto, estos ejemplos sugieren una estrategia de rebranding para mantener la viralidad de la campaña, reduciendo así la probabilidad de ser detectada por filtros de seguridad y por verificación de cuentas.
Para reducir riesgos, las autoridades recomiendan medidas concretas. En primer lugar, evitar hacer clic en enlaces vinculados a promesas de videos supuestamente filtrados, especialmente cuando llegan a través de perfiles o canales poco verificados.
En segundo lugar, activar la autentificación de dos factores (2FA) en todas las cuentas de redes sociales y servicios de mensajería, ya que esto dificulta el acceso incluso si se obtienen contraseñas.
En tercer lugar, verificar antes de hacer clic mediante escáneres de URL o buscadores de reputación; si hay dudas, lo más seguro es no interactuar con el enlace.
Y si ya se cayó en la trampa, se recomienda cambiar todas las contraseñas, realizar un escaneo completo de malware y reportar el incidente a los portales oficiales de cibercrimen de cada país.
Desde el punto de vista económico, los analistas calculan que los daños podrían ser considerables. Supuestamente, las pérdidas globales associadas a este tipo de campañas podrían oscilar entre 2 y 5 millones de euros, dependiendo del alcance y de cuántas víctimas logren comprometer.
Estos costos no sólo cubren el robo de datos y la extorsión, sino también las inversiones necesarias para reforzar la seguridad de infraestructuras digitales y la educación de usuarios para reconocer señales de alerta.
En este contexto, las propias plataformas han intensificado la moderación de enlaces y la verificación de cuentas para dificultar la expansión de este tipo de estafas.
En definitiva, el mensaje a la audiencia es claro: la curiosidad puede salir cara cuando se trata de contenidos supuestamente virales, y la prudencia debe ganarle terreno a la tentación de hacer clic a ciegas.