Varios medios de comunicación han advertido esta semana a los estadounidenses de que estén alerta ante una nueva estafa de phishing que llega en un mensaje de texto en el que se informa a los destinatarios que aún no están registrados para votar. Un poco de investigación revela que los mensajes fueron enviados por una empresa de consultoría política de California como parte de un esfuerzo de movilización de votantes bien intencionado pero potencialmente contraproducente que tenía todas las características de una campaña de phishing. Imagen: WDIV Detroit en Youtube. El 27 de agosto, la filial local del Canal 4, WDIV en Detroit, advirtió sobre una nueva ola de mensajes SMS que, según ellos, podría impedir que los votantes registrados emitieran su voto. La historia no explicaba cómo ni por qué la estafa podría impedir que los votantes elegibles emitieran su voto, pero sí mostraba uno de los mensajes de texto relacionados, que enlazaba con el sitio all-vote.com. “Lo tenemos en nuestros registros como no registrado para votar”, advertía el SMS no solicitado. “Verifique su estado de registro y regístrese en 2 minutos”. Una estación de ABC en Arizona y una filial de NBC en Pensilvania emitieron advertencias similares, donde los funcionarios electorales acaban de emitir una alerta para estar atentos a los mensajes fraudulentos procedentes de all-vote.com. Algunas personas entrevistadas que recibieron los mensajes dijeron que pensaron que se trataba de una estafa porque sabían a ciencia cierta que estaban registrados para votar en su estado. WDIV incluso entrevistó a un estudiante de séptimo grado de Canadá que dijo que también recibió el SMS que decía que no estaba registrado para votar. Alguien que intente determinar si all-vote.com era legítimo podría visitar primero la URL principal (en lugar de simplemente hacer clic en el enlace del SMS) para obtener más información sobre la organización. Pero visitar all-vote.com directamente presenta una página de inicio de sesión en un servicio en línea llamado bl.ink. DomainTools.com descubre que all-vote.com se registró el 10 de julio de 2024. Señal de alerta n.º 1. La información solicitada a las personas que visitaron votewin.org a través de la campaña de SMS. Otra versión de esta campaña de SMS les decía a los destinatarios que verificaran su estado de votante en un sitio llamado votewin.org, que según DomainTools se registró el 9 de julio de 2024. Hay poca información sobre quién administra votewin.org en su sitio web, y la página de contacto conduce a un formulario de contacto genérico. Bandera roja #2. Además, Votewin.org pide a los visitantes que proporcionen su nombre, dirección, dirección de correo electrónico, fecha de nacimiento, número de teléfono móvil, mientras que verifican previamente las opciones para registrar al visitante para recibir más notificaciones. Gran bandera roja #3. Los Términos de servicio de Votewin.org hacían referencia a una plataforma de participación de votantes con sede en California llamada VoteAmerica LLC. El mismo formulario de consulta de registro de votantes anunciado en los mensajes SMS está disponible si uno hace clic en el enlace «verifique su estado de registro» en voteamerica.org. La fundadora de VoteAmerica, Debra Cleaver, le dijo a KrebsOnSecurity que la entidad responsable de las campañas de SMS que le dicen a las personas que no están registradas es Movement Labs, una firma de consultoría política en San Francisco. Cleaver dijo que su oficina había recibido varias consultas sobre los mensajes, que violan un principio clave de la divulgación electoral: nunca decirle al destinatario cuál puede ser su estado de votante. «Esa es una de las peores prácticas», dijo Cleaver. «Nunca le dices a alguien lo que dice el archivo de votantes porque los archivos de votantes no son confiables y a menudo están desactualizados». Contactado por correo electrónico, el fundador de Movement Labs, Yoni Landau, dijo que las campañas de SMS estaban dirigidas a «grupos subrepresentados en el electorado, jóvenes, personas que se mudan, hogares de bajos ingresos y similares, que no están registrados en nuestras bases de datos, con la intención de ayudarlos a registrarse para votar». Landau dijo que completar el formulario en Votewin.org simplemente verifica si el visitante está registrado para votar en su estado y luego intenta ayudarlo a registrarse si no lo está. «Entendemos que muchas personas se sienten perturbadas por los mensajes: probamos cientos de variaciones de mensajes y descubrimos que estos tenían el mayor impacto en la probabilidad de que alguien se registre», dijo. “Lamento profundamente que alguien que esté registrado para votar haya recibido el mensaje por error. Ahora estamos analizando nuestro contenido para ver si hay variaciones que puedan ser menos seguras, pero que sean igualmente efectivas para generar nuevos registros legales”. Cleaver dijo que la campaña de SMS de Movement Labs puede haber sido incompetente, pero no maliciosa. “Cuando trabajas en la movilización de votantes, no basta con querer hacer el bien, en realidad necesitas ser bueno”, dijo. “Al final del día, el resultado final de la incompetencia y la malicia es el mismo: mayor caos, menor participación electoral y daño a largo plazo a nuestra democracia”.