En los últimos días, se conoció la existencia de una "app falsa" de Mercado Pago, que invita a los usuarios a realizar transacciones pero no hace más que robarle las credenciales y su dinero.
Se trata de un caso más dentro de una ola de delitos vinculados con "dinero electrońico": se registró un alza del 3.000% en denuncias de fraude en los últimos dos años, según la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), .
Los ataques parecen teledirigidos a los más de 10 millones de usuarios de Mercado Pago. De hecho, Mercado Libre y su billetera encabezan el ranking con más denuncias (UFECI).
Horacio Azzolin, fiscal de UFECI, asegura a iProUP que "es lógico que tengamos más denuncias porque la gente se volcó masivamente al uso de billeteras digitales. Además, antes de la pandemia había una sola y ahora muchas más".
1. Mercado Pago: qué pasa si te roban el celular
Jorge Nieve, director de Innovación de Vortex, afirma a iProUP que "los delincuentes se van poniendo cada vez más creativos: a los descuidos de los usuarios, aplican técnicas de ingeniería social para pergeñar estafas una vez que se apropiaron del celular y las credenciales".
Sin embargo, existe una falla de Mercado Pago que parece hecha "a medida" de los estafadores:
- El criminal roba un celular: si no puede desbloquearlo, inserta el chip en otro teléfono
- Automáticamente obtiene la dirección de mail, número de teléfono y Whatsapp
- Ingresa a la web de Mercado Pago, escribe el correo y pide resetear la clave
- La billetera envía un código por SMS, WhatsApp o llamado telefónico automático para cambiarla
- Al hacerlo, ingresa a la cuenta, la vacía, realiza compras o saca un crédito
- Además, puede escribir a los contactos de la víctima y pedir que le presten plata o le hagan una transferencia
Nieves indica que no cambiar la contraseña del buzón de voz implica un riesgo extra, ya que los criminales no atienden la llamada pero el código para cambiarla queda registrado en un mensaje.
2. Mercado Pago y Mercado Libre: cómo es el cuento del tío
Juan Aguirre, Sales Engineering Sr. Manager Latam de Sophos, afirma a iProUP que un fraude muy común consiste en que "el estafador busca suplantar a Mercado Libre a través de emails o mensajes de texto, notificando al usuario problemas con el acceso a la cuenta y solicitando sus datos de ingreso para solucionarlo".
"Con esta información realiza transacciones de ecommerce que serán cargadas al usuario vulnerado", dice, y agrega que los ciberdelincuentes también crean web falsas de las marcas.
La modalidad es cada vez más frecuente en mensajes que circulan por WhatsApp. Hay que evitar entrar a Mercado Pago o Mercado Libre sin ingresar manualmente la dirección en el navegador o usar la app oficial. De hecho, si se abre un link de ambas plataformas y no dirige a la aplicación (siempre que esté instalada en el celular), es un motivo de alarma,
3. Mercado Pago: cómo te estafan con la oferta falsa
Una alternativa recurrente de los cibercriminales es lanzar grandes ofertas o regalos. "Buscan que la víctima envíe información creyendo que es una comunicación legítima", señala a iProUP Sol González, Security Researcher de ESET Latinoamérica.
La ejecutiva remarca que luego "se quedan con sus credenciales de acceso y datos, como números de tarjeta. Además del correo, son comunes las campañas que circulan a través de WhatsApp con un modus operandi similar".
4. Mercado Libre: cómo es la "doble estafa"
Hay criminales que se hacen pasar por Mercado Libre y otros por consumidores. Gonzáles desglosa el mecanismo de "fraude por triangulación", que tiene dos víctimas en lugar de una:
- "Compra algún objeto de valor con el fin de aprovechar los descuidos de los vendedores para desconocer la compra cuando reciben el producto"
- "El medio de pago que utiliza es una tarjeta de crédito asociada a una persona distinta al supuesto comprador"
- "Si el vendedor que recibe el dinero no se percata de esta diferencia de identidad, puede que sea demasiado tarde para reclamar la mercadería"
5. Mercado Libre: cómo es el método de "venta falsa"
Otro recurso es la venta de productos y devoluciones falsas. También ambas partes de la transacción pueden verse afectadas.
En esta línea, Azzolin indica que es un tipo de fraude que existió siempre: "El usuario hace la compra, avanza con el pago y al terminar la operación no obtiene más respuestas y lo bloquean". Y, obviamente, no recibe el producto.
6. Mercado Pago y Mercado Libre: cómo te estafan con ambas apps
Los expertos remarcan otro fraude que avanzó con fuerza y tiene como protagonista a las dos plataformas del unicornio:
- La víctima recibe un comprobante de pago falso del supuesto comprador por un monto mucho mas elevado del pautado
- Le notifica al vendedor que lo van a llamar de una fintech o banco para resolverlo
- Esa persona es cómplice que le saca al vendedor los datos de acceso a su cuenta para vaciarla
7. Mercado Pago: cómo es la estafa de débito inmediato
Miguel Rodríguez, director de Megatech, afirma a iProUP que crecen los incidentes a través de Débito Inmediato o Debin. "Si alguien vende productos o servicios, una persona que se hace pasar por un cliente dice que manda un pedido para hacer una transferencia de dinero como adelanto".
"El criminal le avisa al titular de la cuenta que le llegará un SMS para aceptar la recepción, pero al hacerlo en realidad está aceptando un pedido de débito inmediato: de la cuenta bancaria propia se descuenta esa suma en lugar de recibirla", completa.
8. Mercado Pago: cómo es la estafa con QR
Dentro del arsenal de técnicas se destaca la perpetrada mediante código QR o link de pago, para cobrar evitando la comisión de Mercado Libre y con un supuesto descuento al comprador.
"La mayoría no sabe que el QR está hecho para compras presenciales. Cuando abonás se supone que ya tenés el producto y, por lo tanto, se le acredita el dinero en el momento al vendedor", advierte la responsable de ESET.
Cómo evitar las estafas en Mercado Libre y Mercado Pago
Los expertos remarcan que los usuarios deben tomar todas las medidas de seguridad. Emiliano Piscitelli, especialista en Ciberseguridad y CEO de BeyGoo, comparte algunos consejos:
- Proteger el celular con huella, patrón, cara o pin. Evitar usar el mismo para entrar a la app
- Si la segunda capa de autenticación es un patrón numérico, que sea robusto: evitar claves como 0000 o 1234
- Activar un nivel de seguridad independiente para mover dinero
- Habilitar el segundo factor de autenticación o verificación en dos pasos en todas las aplicaciones
- Usar gestores de contraseñas que no solo permiten almacenar las claves, sino también generarlas: Keychain, KeePass, Authy, Google Autenticador, etcétera
Rodríguez agrega las siguientes recomendaciones:
- "Usar billeteras que en el alta solicitan fotos del DNI"
- "No usar un canal de pago no oficial de la plataforma"
- "Verificar el remitente real de las comunicaciones y no proporcionar información sensible"
- "Corroborar que la comunicación sea legítima por sus canales oficiales"
Si todo esto no alcanza y es víctima de un engaño, los pasos a seguir son:
- Hacer la denuncia en la comisaría de manera presencial y por mail a delitostecnologicos@policiafederal.gov.ar
- Informar el caso a la UFECI por correo electrónico a denunciasufeci@mpf.gov.ar
- Reportar el inicidente en las entidades y plataformas en las que se sufrió la estafa
Siempre la clave estará en la prevención: mantenerse atento, actuar sin prisa, conocer los riesgos y aplicar medidas de seguridad en la cuenta serán clave para cuidar el dinero. Los delincuentes 4.0 atacan las 24 horas.