El 17 de julio, la Policía de la Ciudad de Buenos Aires desbarató una banda que robaba celulares para vaciar cuentas de Mercado Pago, tras una denuncia del unicornio. Los criminales habían conseguido casi $7 millones.
No fue un hecho aislado. Según el último Informe de gestión de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), se registró un alza del 400% en cuanto a denuncias:
- Mercado Libre y Mercado Pago fueron una de las principales plataformas afectadas
- Así, superó a Whatsapp, Facebook e Instagram
"Es lógico que tengamos más denuncias porque la gente se volcó masivamente al uso de billeteras digitales. Además, antes de la pandemia había una sola y ahora muchas más", señala a iProUP Horacio Azzolin, titular de la UFECI.
1. ¿Cómo es la estafa en Mercado Pago por robo de celular?
"Los delincuentes se van poniendo cada vez más creativos", indica a iProUP Jorge nieves, director de Innovación de Vortex, quien detalla que "a los descuidos de los usuarios aplican técnicas de ingeniería social para pergeñar estafas una vez que se apropiaron del celular y las credenciales".
Entre todas las situaciones de fraude posibles, hay una falla de Mercado Pago que parece hecha "a medida" de los estafadores:
- Un delincuente roba un celular. Si no puede desbloquearlo, inserta el chip en otro teléfono
- Automáticamente obtiene la dirección de mail, número de teléfono y Whatsapp
- Ingresa a la web de Mercado Pago, escribe el correo y pide resetear la contraseña
- La billetera envía un código por SMS, WhatsApp o llamado telefónico automático para cambiar la clave
- Así, cambia la contraseña, ingresa a la cuenta, la vacía, realiza compras o saca un crédito
- También puede escribir a los contactos de la víctima y pedir, por ejemplo, que le presten plata o le hagan una transferencia
Los celulares robados pueden ser utilizados para conseguir las credenciales de la víctima
Nieves indica que no cambiar la contraseña del buzón de voz implica un riesgo extra, ya que los criminales no atienden la llamada pero el código para cambiarla queda registrado en un mensaje.
2. ¿Cómo es la estafa por phising?
"El estafador busca suplantar a Mercado Libre a través de emails o mensajes de texto, notificando al usuario problemas con el acceso a la cuenta y solicitando sus datos de ingreso para solucionarlo. Con esta información, realiza transacciones de ecommerce que serán cargadas al usuario vulnerado", explica a iProUP Juan Aguirre, Sales Engineering Sr. Manager Latam de Sophos.
Los ciberdelincuentes también crean web falsas de las marcas. "La vida útil de un sitio de phishing suele ser muy corta y los motores de búsqueda no tienen tiempo de indexarlo", asegura Corrons.
Más aún, han mejorado significativamente a lo largo de los años y resultan muy convincentes. "Incluso utilizan el protocolo HTTPS y el candado verde en la barra del navegador, lo que da una falsa sensación de seguridad. Los pequeños fallos de una página de phishing sólo se hacen evidentes cuando se compara con la original", remarca.
3. ¿Cómo es la estafa "oferta falsa"?
Otra alternativa recurrente de los atacantes es apelar a grandes ofertas o regalos. "Buscan que la víctima envíe su información creyendo que se trata de una comunicación legítima", señala a iProUP Sol González, Security Researcher de ESET Latinoamérica.
De esta forma, sigue la ejecutiva, "se quedan con sus credenciales de acceso y datos, como números de tarjeta. Además del correo, hoy en día son comunes las campañas que circulan a través de WhatsApp con un modus operandi similar".
4. ¿Cómo es la estafa "por triangulación"?
También hay estafadores que se disfrazan de consumidores. Gonzáles detalla el mecanismo del "fraude por triangulación", que tiene dos víctimas en lugar de una, y la describe así:
- "Compra algún objeto de gran valor con el fin de aprovechar los descuidos de los vendedores para desconocer la compra cuando reciben el producto"
- "El medio de pago que utiliza, que es clave en el engaño, es una tarjeta de crédito asociada a una persona distinta al supuesto comprador"
- "Si el vendedor que recibe el dinero no se percata de esta diferencia de identidad, puede que sea demasiado tarde para reclamar la mercadería"
5. ¿Cómo es la estafa "falso producto"?
Otro recurso es la venta de productos y devoluciones falsas. También ambas partes de la transacción pueden verse afectadas.
En esta línea, Azzolin indica que es un tipo de fraude que existió siempre: "El usuario hace la compra, avanza con el pago y al terminar la operación no obtiene más respuestas y lo bloquean".
6. ¿Cómo es la estafa "doble unicornio"?
Otra modalidad que describe el experto y que ha crecido mucho tiene como protagonista a Mercado Libre y Mercado Pago:
- La persona recibe un comprobante de pago falso del supuesto comprador por un monto mucho mas elevado del pautado
- Le notifica al vendedor que lo van a llamar de una fintech o banco para resolverlo
- Esa persona es cómplice que le saca al vendedor los datos de acceso a su cuenta para vaciarla
7. ¿Cómo es la estafa "paga Dios"?
Miguel Rodríguez, director de Megatech, suma a la lista otra estafa muy común que afecta a billeteras virtuales y cuentas bancarias, a través de la transferencia conocida como Débito Inmediato o Debin: "Si alguien vende productos o servicios, una persona que se hace pasar por un cliente dice que manda un pedido para hacer una transferencia de dinero como adelanto".
Los expertos recomiendan tener un segundo factor de autenticación para evitar robos de cuentas
De esta forma, explica el experto, "la persona le avisa al titular de la cuenta que le llegará un SMS para aceptar la recepción, pero al hacerlo en realidad está aceptando un pedido de débito inmediato: de la cuenta bancaria propia se descuenta esa suma en lugar de recibirla".
8. ¿Cómo es la estafa "con QR"?
Otra estafa se realiza mediante código QR o link de pago, para cobrar evitando la comisión de Mercado Libre. "La mayoría no sabe que el QR está hecho para compras presenciales. Cuando abonás se supone que ya tenés el producto y, por lo tanto, se le acredita el dinero en el momento al vendedor", advierte la responsable de ESET.
¿Cómo evitar los robos en Mercado Libre y Mercado pago
Para los expertos, los usuarios deben tomar todas las medidas de seguridad para evitar robos. Emiliano Piscitelli, especialista en Ciberseguridad y CEO de BeyGoo, comparte algunos consejos:
- Proteger el celular con huella, patrón, cara o pin. Evitar usar el mismo para entrar a la app
- Si la segunda capa de autenticación es un patrón numérico, que sea robusto: evitar claves como 0000 o 1234
- Activar un nivel de seguridad independiente para mover dinero
- Habilitar el segundo factor de autenticación o verificación en dos pasos en todas las aplicaciones
- Usar gestores de contraseñas que no solo permiten almacenar las claves, sino también generarlas: Keychain,KeePass, Authy, Google Autenticador, etcétera
Rodríguez agrega las siguientes recomendaciones:
- Usar billeteras que en el alta solicitan fotos del DNI
- "No usar un canal de pago no oficial de la plataforma"
- "Verificar el remitente real de las comunicaciones y no proporcionar información sensible"
- "Corroborar que la comunicación sea legítima por sus canales oficiales"
A no desesperar: los criminales tienen mecanismos cada vez más eficaces para atacar, pero también los usuarios para defenderse. Conocerlos y aplicarlos serán la clave para evitar fraudes.