Usuarios argentinos de Payoneer denunciaron el vaciamiento de fondos de sus cuentas a partir del fin de semana pasado.
La plataforma, reconocida como una aplicación popular de pagos en línea que facilita el envío y recepción de dinero en diversas monedas, es utilizada particularmente por aquellos que reciben pagos por trabajos realizados en el extranjero, siendo muy apreciada entre los trabajadores independientes.
El tipo de ataque experimentado está vinculado al segundo factor de autenticación mediante mensajes de texto (SMS), es decir, el sistema implementado por las aplicaciones para verificar la identidad de sus usuarios.
Los perjudicados informaron que comenzaron a recibir mensajes SMS con códigos de verificación y notificaciones de transacciones, y al intentar acceder a sus cuentas, descubrieron que sus contraseñas habían sido modificadas.
Después de recuperar el acceso, observaron que sus saldos fueron reducidos a cero. Dentro de los afectados, algunos usuarios que compartieron sus experiencias con Clarín revelaron pérdidas que van desde los u$s5.000 y los u$s60.000.
Otros mencionaron perder "años de trabajo", y prácticamente todos indicaron que utilizan servicios de Movistar o Tuenti, aunque también se registraron casos relacionados con Claro y Personal.
Aunque el número exacto de perjudicados aún no fue determinado con exactitud, el tema fue tendencia en las redes sociales durante esta semana, y se conocieron nuevos casos día tras día.
En la Argentina, el uso de Payoneer se debe a las complicaciones operativas asociadas con el cobro de trabajos desde el extranjero a través de la banca convencional.
Además, se percibe como una vía para eludir las regulaciones del Banco Central de la República Argentina (BCRA) y la AFIP. La principal ventaja radica en la posibilidad de acceder al dinero utilizando el tipo de cambio blue, en lugar del oficial, mediante el pago de una comisión.
Sin embargo, al no ser una entidad bancaria convencional, Payoneer carece de seguro y de la red de respaldo presente en los bancos regulados del país.
Payoneer se volvió popular entre los trabajadores independientes gracias a que muchos empleos en el ámbito de la tecnología de la información y la programación se remuneran en moneda extranjera.
Esto les permite aprovechar al máximo los ingresos en dólares y evitar pérdidas frente a una constante situación inflacionaria.
Qué es el "smishing" y por qué debes cuidarte del mismo
El smishing o phishing a través de SMS, es una táctica que se volvió muy popular entre los cibercriminales. Aunque podría creerse que los mensajes de texto o SMS son cosa del pasado, los delincuentes se aprovechan de su uso y en la confianza que tienen las personas en los mensajes que reciben de fuentes confiables, como de los bancos o de instituciones de gobierno.
Según Avast, una marca global de seguridad digital y privacidad de Gen, el phishing es una de las prácticas más comunes que realizan los cibercriminales para iniciar ataques maliciosos centrados en el robo de identidad o distribución de malware. Desde sus inicios, el número de estos ataques ha crecido y no parece que sea una tendencia que vaya a la baja.
De acuerdo con un estudio elaborado por Infobip, el 35,2% de los argentinos envía más de 50 mensajes de texto al día y el 47.8% recibe más de 50 mensajes de texto al día.
Además, los SMS tienen un mayor índice de apertura en comparación con los correos electrónicos y por si fuera poco, Infobip estima que casi 40% de las personas en Argentina (39,5%) abren los mensajes recibidos en menos de 5 minutos. El 38.8% los abre inmediatamente (en 1 min). En otras palabras, el 78.3% de las personas abren los mensajes en menos de 5 minutos.
¿Cómo funciona el smishing?
La forma de ataque es similar a las estafas por correo electrónico. Los mensajes de texto suelen transmitir un sentido de urgencia, ya que suelen estar redactados de tal forma que se motive a una acción o respuesta a la brevedad, lo que impide que la mayoría de las víctimas analicen la situación con detenimiento.
Los cibercriminales se aprovechan de que muchos de los filtros de spam están diseñados para detectar y bloquear emails de phishing pero no para los mensajes de texto. Por otra parte, los dispositivos móviles suelen ser considerados más seguros. No obstante, están menos protegidos por un antivirus que las computadoras personales, en las que los usuarios se mantienen más alerta de los riesgos potenciales a los que están expuestos en caso de no contar con la protección adecuada.
Es importante aprender a identificar cuáles son los tipos de conversaciones que los cibercriminales abordan a través de estos mensajes. Por ello, Luis Corrons, especialista en seguridad de Avast, enlista algunos de los temas más comunes, sin embargo, recomienda no subestimar hasta dónde pueden llegar los estafadores para alcanzar sus objetivos.
- Alertas Financieras: Los smishers aparentan ser bancos o instituciones financieras, que afirman haber detectado alguna actividad sospechosa en la cuenta de la víctima potencial para alentarla a dar clic a un link, que supuestamente la llevará al sitio adecuado para resolver el problema.
- Notificaciones de entregas de paquetes: Los atacantes envían notificaciones fraudulentas de entrega de paquetes, asegurando que el pedido no pudo ser entregado adecuadamente e insta a la persona a entrar a un enlace para poder tener más información al respecto.
- Alertas de impuestos: Al simular ser una institución tributaria, como el SAT, solicitan al cliente que ingrese a un sitio web para resolver algún problema que haya surgido con el pago de sus impuestos.
- Donaciones fraudulentas: Se aparenta ser una organización de caridad o sin fines de lucro y promueven donaciones a iniciativas apócrifas.
- Loterías falsas: Estos mensajes suelen anunciar a las víctimas potenciales que han ganado un concurso o lotería y les invitan a entrar a un vínculo para reclamar sus premios.
Para evitar caer en el smishing Luis Corrons detalla algunos consejos para ayudar a los usuarios:
- Siempre duda de la información recibida: Un mensaje a nombre de una compañía reconocida, una institución de gobierno o bancaria que solicita información personal, actualizaciones de datos u ofrece ofertas muy tentadoras es una buena razón para desconfiar. Es recomendable no darle clic a ningún enlace sin antes confirmar que es real, si es posible a través de sus medios de contacto oficiales en sus sitios web.
- Instala un software de seguridad: Un antivirus ayuda a protegerte contra una gran cantidad de amenazas.