El reciente hackeo a la CNV vuelve a poner en agenda la creciente ola de ataques para quedarse con los datos (y la plata) de millones de usuarios a nivel global. El fenómeno también pisa fuerte en el país, con un alza del 3.000% en denuncias de fraude en los últimos dos años, según la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI).
1. Robo de celular: cómo te afecta en Mercado Pago
"Los delincuentes se van poniendo cada vez más creativos: a los descuidos de los usuarios, aplican técnicas para pergeñar estafas una vez que se apropiaron del celular y de las credenciales", asegura a iProUP Jorge Nieve, director de Innovación de Vortex.
Entre todas las amenazas, existe una falla en Mercado Pago, la billetera líder con más de 7 millones de usuarios argentinos, que pone en alerta a los expertos en seguridad
- El criminal roba un celular: en caso de que no pueda desbloquearlo, saca el chip y lo inserta en otro móvil
- De esta forma, puede obtener automáticamente la dirección de mail, número de teléfono y Whatsapp
- Luego, ingresa a la web de Mercado Pago, escribe el correo y pide recuperar la clave
- Le llegará un código por SMS, WhatsApp o llamado telefónico automático para cambiarla
- Con los datos recibidos, ingresa a la cuenta, la vacía, realiza compras o saca un crédito
- También puede escribir a los contactos de la víctima y pedir que le presten plata o le hagan una transferencia alegando cierta urgencia
Según Nieves, no cambiar la contraseña del buzón de voz implica un riesgo extra, ya que los ciberdelincuentes no atienden la llamada pero el código para cambiarla queda registrado en un mensaje de texto.
2. Cuento del tío: cómo pueden robarte en Mercado Pago y Mercado Libre
"El estafador busca suplantar a Mercado Libre a través de emails o mensajes de texto, notificando problemas en el acceso a la cuenta y solicitando al usuario sus datos de ingreso para solucionarlo", advierte a iProUP Juan Aguirre, Sales Engineering Sr. Manager Latam de Sophos.
Remarca que esta técnica, conocida como phising, "le permite recopilar información para realizar transacciones de ecommerce que serán cargadas al usuario vulnerado".
Para ello, los ciberdelincuentes también crean web falsas de las marcas. Para no caer en esta estafa, cada vez más frecuente, conviene entrar a Mercado Pago o Mercado Libre ingresando de forma manual la dirección en el navegador, o usar la app oficial.
Otra señal de alarma es que si un link (que simula ser de alguna de estas plataformas) no abre automáticamente la app, entonces se está ante un intento de robo.
3. Ofertas falsas en Mercado Pago: cómo evitarlas
Sol González, Security Researcher de ESET Latinoamérica, alerta a iProUP que cada vez más cibercriminales lanzan grandes ofertas o regalos.
"Buscan que la víctima envíe información creyendo que es una comunicación legítima: se quedan con sus credenciales de acceso y datos, como números de tarjeta", completa.
Además del correo, González asegura que "son comunes las campañas que circulan a través de WhatsApp con un modus operandi similar".
4. La "doble estafa": cómo evitar este fraude en Mercado Libre
González añade que hay delincuentes que se hacen pasar por Mercado Libre y otros por consumidores. Así, lanzan un "fraude por triangulación", con dos víctimas en lugar de una:
- "Compra algún objeto de valor para aprovechar los descuidos de vendedores y desconocen la operación al recibir el producto"
- "El medio de pago usado es una tarjeta de crédito asociada a una persona distinta al supuesto comprador"
- "Si el vendedor que recibe el dinero no se percata de esta diferencia de identidad, puede que sea demasiado tarde para reclamar la mercadería"
Cada vez más ciberdelincuentes aprovechan las plataformas de ecommerce para ejecutar sus delitos
5. La "venta falsa": cada vez más común en Mercado Libre
Dentro del arsenal de mecanismos, los estafadores utilizan la venta de productos y devoluciones falsas. En este caso, también pueden afectar al comprador y vendedor.
Azzolin aclara: "El usuario hace la compra, avanza con el pago y, al terminar la operación, no obtiene más respuestas y lo bloquean". Por supuesto, tampoco recibe el producto.
6. Fraude "doble unicornio": cómo te estafan con Mercado Libre y Mercado Pago
En el "top" de fraude con mayor crecimiento se destaca un mecanismo que aprovecha las dos plataformas del unicornio:
- La víctima recibe un comprobante de pago falso del supuesto comprador por un monto superior al pautado
- Le notifica al vendedor que lo van a llamar de una fintech o banco para resolverlo
- Esa persona es cómplice: le robará al vendedor los datos de acceso a su cuenta para vaciarla
7. La estafa con Debin: cómo evitarla en Mercado Pago
Miguel Rodríguez, director de Megatech, confía a iProUP que los incidentes a través de Débito Inmediato o Debin crecen fuertemente.
En especial, porque es un pedido de envío de dinero a una cuenta que puede "disfrazarse" como transferencia. Según el experto, "si alguien vende un producto o servicio, la persona (que se hace pasar por cliente) dice que manda un pedido para hacer una transferencia como adelanto".
"El delincuente avisa al titular de la cuenta que le llegará un SMS para aceptar la recepción. Al hacerlo, en realidad está validando un pedido de débito inmediato; de la cuenta bancaria propia se le descuenta esa suma en lugar de recibirla", describe.
8. Estafa con QR: cómo evitarla en Mercado Pago
En tiempos de crisis, pagar el precio más bajo posible se convirtió en un tema escencial para cuidar el bolsillo.
Por eso crece en popularidad el fraude realizado con código QR o link de pago para cobrar, evitando la comisión de Mercado Libre, con el pretexto de un presunto descuento.
"La mayoría no sabe que el QR está hecho para compras presenciales. Cuando abonás, se supone que ya tenés el producto y, por lo tanto, al vendedor se le acredita el dinero en el momento ", advierte González.
Estafas con Mercado Libre y Mercado Pago: claves para evitarlas
Si bien existen diferentes herramientas para prevenirse de ataques, el punto más frágil sigue siendo el usuario.
Por ello, Miguel Ángel Mendoza, Investigador de Seguridad Informática de ESET Latinoamérica, subraya a iProUP que existe un conjunto de buenas prácticas para reducir el riesgo de ser estafados, y recomienda las siguientes medidas:
- Ingresar al sitio web escribiendo la URL y no hacerlo a través de un link de Google.
- Verificar además si está cifrado mediante HTTPS (aparece un candado verde) y posee certificado de seguridad
- Cancelar cualquier descarga de archivos automática. menos aún si provienen de fuentes no confiables
- Recordar que ninguna institución solicita información sensible a través la web, email o redes sociales
- Desconfiar de los mensajes de email, WhatsApp o redes sociales que incluyan enlaces acortados
- No responder mensajes o publicaciones sobre concursos, premios o peticiones de ayuda
- Utilizar la función de navegación privada cada vez que sea necesario y no compartir información sensible (dirección, teléfono, etc.) en redes y sitios dudosos
- Instalar una solución de seguridad integral y mantenerla actualizada, al igual que el sistema operativo y demás aplicaciones instaladas
- Utilizar siempre que se pueda el doble factor de autenticación (2FA)
Dario Opezzo, Regional Sales Manager at Palo Alto Networks, asegura a iProUP que los ciberdelincuentes pueden utilizar algoritmos de aprendizaje para enviar emails de phishing personalizados y creíbles, más difíciles de detectar y bloquear por los sistemas de seguridad.
Por ello, remarca que "en la mayoría de los casos existe un componente de error humano que contribuye al éxito de la estafa". No queda otra: los usuarios deben educarse e implementar buenas prácticas para evitar los ataques cada vez más avanzados.