Miércoles por la noche. Eduardo, un jubilado de 75 años, está en su casa cenando con su esposa. Suena su celular y como en su pantalla aparece el logo de Mercado Pago, billetera que usa habitualmente, atiende sorprendido.
– "Hola. Lo llamamos de Mercado Pago porque detectamos la compra de un aire acondicionado por $90.400 en nueve cuotas y necesitamos confirmar que efectivamente sea usted el que está realizando la operación"
Exaltado, el hombre lo niega rotundamente y de inmediato la voz del otro lado del teléfono le pide que no se preocupe. "Nosotros podemos cancelar la compra, pero necesitamos que siga los siguientes pasos", añade.
Todo sucede muy rápido. La voz de quien asegura ser empleado del unicornio le pide que instale una aplicación y, en simultáneo, le envía una serie de links (uno por cada cuota) "en el que debe hacer clic en el botón azul para que procedan a dar de baja la compra".
Él cumple (apresurado) con todas las indicaciones hasta que empieza a sospechar. Le pide que le mande los mensajes por la aplicación, pero la voz se resiste.
–"No hay tiempo, señor. Si quiere cancelar la compra tiene que seguir esos pasos", le reclama, mientras vuelve a mandarle otro link.
Eduardo repite la operatoria, pero sus dudas se vuelven más fuertes y decide cortar la comunicación. De inmediato, abre Mercado Pago y se lleva una desesperante sorpresa: le habían robado todo su dinero. También descubrió que la app que instaló es una de las más utilizadas para clonar datos.
Cuando intenta repasar el engaño, comprueba que la información que recibió por WhatsApp fue borrada y los links que seleccionó decían "Canselación de compra" (sic), error de ortografía que pudo advertirle del engaño, pero no vio a tiempo por la velocidad de la situación.
Billeteras digitales: por qué son cada vez maś atacadas
Las billeteras electrónicas son un preciado botín: tienen millones de clientes en la Argentina y, apuntaladas por el boom de los pagos digitales y los avances en "Transferencias 3.0", se consolidaron como uno de los medios más utilizados para abonar.
Además, dentro de estas plataformas funcionan opciones de inversión muy sencillas que estimulan a los usuarios a dejar su dinero allí para "ponerlo a trabajar" y que no pierda valor, en el marco de una economía en la cual tener la plata durmiendo en una caja de ahorro es muy mal negocio.
Proponen alternativas para obtener una renta y disponer del dinero inmediatamente, como la cuenta remunerada de NaranjaX (tasa del 65% anual), el fondo común de Mercado Pago y BIND, que rinde 62,4% al año y ya lo usan 5 millones de personas.
Si bien no alcanzan a empatarle a la inflación (95% anual en 2022), "le permiten al ahorrista contar con su plata enseguida e impiden que sufra un desgaste mayor por el alza de precios", remarca a iProUP el economista Joel Lupieri.
Los atacantes revisan los reclamos en redes sociales para "marcar" a las víctimas
Por ello, es habitual que estas billeteras tengan fondos disponibles, algo que buscan los estafadores para concretar sus delitos de manera efectiva.
Marcelo Fondacaro, CCO de Veritran, destaca a iProUP que el desarrollo de canales digitales facilita la gestión financiera, también estimula nuevas formas de cibercrimen.
Gabriel Zurdo, de la CEO de la firma de riesgo tecnológico BTR Consulting, indica a iProUP que los estafadores emplean formas muy innovadoras y sumamente eficaces para lograr sus objetivos.
"Nuestras investigaciones arrojan que el fraude combina herramientas tecnológicas y esfuerzos de ingeniería social para manipular y engañar a la víctima", advierte.
Desde NaranjaX aseguran a iProUP que el intento de estafa más común comienza con un ciberdelincuente que se hace pasar por asesor o integrante de la mesa de ayuda de la empresa. Así, lo contacta al cliente mediante un mensaje por WhatsApp o llamada telefónica.
Tanto desde esta fintech como desde Mercado Pago coinciden en que es clave no confiar en la foto ni descripción del WhatsApp del número que los contacte, ya que acondicionan ese canal para hacer más convincente el engaño, una modalidad conocida como phising.
Billeteras digitales: cómo te "marcan" los criminales
Los estafadores, explican desde NaranjaX, están "a la pesca" en redes sociales, observando si alguien pregunta algo en las cuentas oficiales de las billeteras digitales e inmediatamente lo contactan por privado para "asesorarlo".
Los atacantes apuntan a los usuarios de billeteras digitales ante el furor de estas apps tras la pandemia
Se hacen pasar por un empleado de la compañía, pero las verdaderas intenciones son robarle los datos a su presa y guiarla para comprometerle la cuenta.
"Nunca un asesor real o alguien de la mesa de ayuda te va a pedir que cambies la clave, o que le des un código de verificación, o que realices acciones en tu cuenta, como transferir dinero", enfatizan desde la compañía.
Zurdo añade que, en general, el fraude se ejecuta iniciando extracciones, retiros o pagos de las cuentas de las víctimas, con el pretexto de otorgar servicios o beneficios en una corta ventana de tiempo para evitar la reacción de la víctima.
"En la mayoría de las ocasiones, se emplean páginas de medios de pago con opción de ser efectuados a través de servicios de dinero electrónico o transferencias a cuentas pertenecientes a titulares cuya identidad ha sido fraguada o suplantada", advierte el CEO de la firma BTR Consulting.
Billeteras digitales: cómo evitar los ataques
La primera acción que recomiendan las compañías y los expertos en ciberseguridad consultados por iProUP consiste en cambiar de inmediato la contraseña de la plataforma vulnerada desde los canales oficiales y hacer la denuncia en la comisaría o fiscalía más cercana.
Los ataques de phising se incrementaron 200% en los últimos años y Zurdo comparte cifras inquietantes sobre esta modalidad:
- Representa el 45% de los incidentes con probabilidad de generar perjuicio económico
- Su tasa de efectividad es del 40%
- El 75% de los damnificados entrega todos los datos
Además, el experto da cuenta de otro dato significativo: dos de cada diez usuarios de billeteras virtuales y tarjetas ya fue víctima de una estafa.
Algunas billeteras permiten "congelar" la cuenta en caso de descubrir transacciones sospechosas
Desde NaranjaX advierten que, por seguridad, ante cualquier actividad sospechosa que detectan, proceden a inhabilitar la cuenta para resguardar la información y el dinero del cliente.
"Sólo podrá ser desbloqueada por el usuario. En caso de que los canales oficiales de comunicación no logren resolver alguna duda sobre este punto, recomendamos acercarse personalmente a cualquier sucursal cercana de Naranja X para un mayor asesoramiento", aconsejan.
En el caso de Mercado Pago, aconsejan habilitar todos los factores de autenticación posibles. "Si está habilitado reconocimiento facial, el atacante no tendrá forma de ingresar a la cuenta atacada", aseguran.
Añaden que las denuncias de usuarios se analizan caso por caso y se les da respuesta a cada uno teniendo en cuenta los detalles de cada situación en particular. "Si se detecta una irregularidad en la cuenta, las personas se pueden contactar inmediatamente con el Centro de Atención al Cliente mediante la app o web para recibir asistencia o hacer una denuncia", completan.
Billeteras digitales: quién se hace cargo ante una estafa
Si bien existe cierto vacío legal en cuanto a diferentes tipos de fraudes, Zurdo remarca que esta actividad "seguirá aumentando y la cuestión de quién es responsable de las pérdidas se está convirtiendo en una preocupación cada vez más seria".
"Los bancos generalmente están obligados a reembolsar en los casos en que el defraudador inicia el pago ilícito. Pero aquellos en los que la víctima lo hace, generalmente han podido evitar la responsabilidad", advierte.
Fondacaro agrega que si bien no existe un sistema que garantice la eliminación total del cibercrimen, "la multiplicidad de mecanismos de seguridad aumenta las chances de combatir estas situaciones y brindar mayor seguridad y confianza a los clientes". Entre estos, el experto destaca:
- Biometría: se basa en comparar las características físicas y patrones de comportamiento de un individuo para confirmar su autenticidad
- Soft-token: sirve como segundo factor de autenticación al ofrecer un método adicional de validación mediante una contraseña de un sólo uso u OTP (One Time Password)
- Notificaciones push: facilitan un doble control, pues solicitan su aprobación por medio de mensajes de texto, email o notificaciones en la misma app
"Los fraudes evolucionan y tienen éxito al explotar el miedo, la ansiedad y la disposición de sus víctimas a confiar en mensajes que parecen provenir de fuentes oficiales", concluye Zurdo.