La falla de Mercado Pago a medida de estafadores: cómo con 6 simples pasos se quedan con tu plata y tus datos

La falla de Mercado Pago a medida de estafadores: cómo con 6 simples pasos se quedan con tu plata y tus datos
El uso de billeteras digitales explotó con la pandemia y ahora son cada vez más comunes los fraudes a través de esas apps. Qué hacer para estar protegidos
Por Sol Drincovich
30.06.2022 06.07hs Economía Digital

Las redes sociales abundan en comentarios de usuarios denunciando estafas, el vaciamiento de sus cuentas o la toma de un crédito, a través de billeteras y apps financieras como Mercado Pago o Ualá, luego del hurto de su celular.

Solo por mencionar algunos casos, el 30 de mayo, el usuario @flexderazo denunció la pérdida de al menos $192.000 a través de Mercado Pago, luego de que le robaran su teléfono, a pesar de haber seguido al pie de la letra las recomendaciones de la app para estos casos.

"Como me habían mandado el código de verificación al whatsapp del teléfono robado. Dicen que fui yo el que hizo la transferencia y compras, y cómo la transferencia fue desde una cuenta de MercadoPago a otra MercadoPago no era posible deshacer ni desconocer ni denunciar ni nada", señaló.

Otra usuaria, @loreinsanchez, expuso en Twitter que alguien solicitó un préstamo desde su cuenta de la billetera luego de que le sustrajeran el celular, aunque en este caso, después de haber realizado "mil reclamos" la aplicación reconoció su denuncia.

Otra de las aplicaciones que recibió un cimbronazo fue Ualá, que registró al menos 68 casos de usuarios que denunciaron que sus cuentas fueron vaciadas. Aunque la empresa aseguró que se trató de un caso de phishing (alguien que se hace pasar por la firma, copiando su aspecto en mensaje de redes y mails), expertos en seguridad informática afirman que la aplicación tiene vulnerabilidades.

"Siempre en los fines de semana largo hay ataques de phishing. Porque otros no responden. Nosotros sí. Es clave tener contraseñas seguras y nunca jamás compartir tus datos privados. Con nadie", respondió el CEO de la fintech, Pierpaolo Barbieri.

¿Cuáles son las billeteras más atacadas?

Según el último Informe de gestión de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), se registró un alza del 400% en cuanto a denuncias:

  • Mercado Libre y Mercado Pago fueron una de las principales plataformas afectadas
  • Así, superó a Whatsapp, Facebook e Instagram

La UFECI aclara que, en menor cantidad, se detectaron accesos a otras apps financieras (como PayPal), exchanges de criptoactivos (Ripio o Buenbit) y plataformas de juegos (Playstation) que tienen asociada una tarjeta de crédito.

Las billeteras son el principal blanco de los ciberatacantes
Las billeteras son el principal blanco de los ciberatacantes

"Es lógico que tengamos más denuncias porque la gente se volcó masivamente al uso de billeteras electrónicas. Además, antes de la pandemia había una sola y ahora muchas más", señala a iProUP Horacio Azzolin, titular de la UFECI.

Según el fiscal, "los ladrones van dónde está la plataantes estaba en la billetera, ahora está en los teléfonos. Lo que está pasando con los robos es la contracara del beneficio y la comodidad de tener el dinero en el celular".

¿Cómo operan los ciberdelincuentes?

"Los delincuentes se van poniendo cada vez más creativos", opina Jorge nieves, director de Innovación de Vortex, y detalla: "A los descuidos de los usuarios aplican técnicas de ingeniería social para pergeñar estafas una vez que se apropiaron del celular y las credenciales".

Entre todas las situaciones de fraude posibles, hay una falla de Mercado Pago que parece hecha "a medida" de los estafadores:

  • Un delincuente le roba el celular a un usuario. En caso de que no pueda desbloquearlo, inserta el chip en un nuevo dispositivo
  • Automáticamente obtiene la dirección de mail, número de teléfono y Whatsapp
  • Ingresa a la web de Mercado Pago, escribe el correo y pide resetear la contraseña
  • La billetera envía un código para cambiar la clave a través de un SMS, WhatsApp o llamado telefónico automático
  • Así, el delincuente cambia la contraseña, ingresa a la cuenta, la vacía, realiza compras o saca un crédito
  • También puede escribir a los contactos de la víctima y pedir, por ejemplo, que le presten plata o le hagan una transferencia

Desde el unicornio desmienten a los expertos y señalan que "cualquier intento de ingreso a una cuenta de Mercado Pago desde un dispositivo nuevo requiere dos factores de autenticación. Si bien un mensaje por SMS a la línea telefónica puede actuar como segundo factor de autenticación, es necesario sin excepción resolver el primer nivel: contraseña para ingreso a la app mediante reconocimiento facial, código numérico o huella digital: o validación por correo electrónico. Como medida adicional, el usuario de Mercado Pago puede configurar como segundo factor de autenticación, en lugar de un SMS, una contraseña de un sólo uso (One-Time-Password)".

Nieves advierte que no cambiar la contraseña del buzón de voz implica un riesgo extra, ya que los delincuentes no atienden el teléfono, pero el código para cambiar la contraseña queda registrado en un mensaje.

"Estos son factores de doble autenticación que comparten muchas billeteras, e incluso aplicaciones bancarias, y no necesariamente tienen que ver con vulnerabilidades de seguridad, sino con que el usuario no bloqueó su cuenta, cambió la contraseña rápidamente, actualizó sus datos ni generó una nueva clave de buzón de voz", añade Nieves.

Pero no todas las aplicaciones financieras funcionan de la misma manera. En ese sentido, Lucas Paus, Chief Information Security Officer de MODO, explica a iProUP que, ante el robo del celular:

  • La app detecta que se está instalando en un nuevo dispositivo y a través de la funcionalidad hard token obliga al usuario a realizar un nuevo onboarding 
  • De esta forma, debe pasar todas las validaciones de identidad, como foto y prueba de vida, que se constatan con la información de Renaper para comprobar que sea la misma persona
  • También tendrá que responder preguntas de seguridad

"MODO es una billetera que articula entre distintos bancos y cada uno, de por sí, tiene sus medidas de seguridad. Arriba de eso tenemos aplicaciones que hacen control biométrico para confirmar que vos seas quien decís ser", asegura el directivo.

Y añade: "Una vez que conseguimos que el usuario se registre en la app tenemos un motor que detecta movimientos sospechosos, bloqueando proactivamente intentos de fraude".

¿Son seguras las billeteras digitales?

Emiliano Piscitelli, especialista en Ciberseguridad y CEO de BeyGoo, afirma a iProUP que todas las aplicaciones pueden tener vulnerabilidades ya sea a nivel de código, funcionalidad o procesos, pero lo que hay que ver es hasta qué punto las personas que denunciaron eventos tenían configuradas todos los factores de seguridad.

Azzolin suma que no necesariamente las apps son inseguras, lo que es insegura es la calle. "Lo importante es que la gente sepa que está en riesgo y que se fije cuál es el uso que le va a dar a estas aplicaciones, que tienen todo lo bueno, pero también la potencialidad de vaciarte la cuenta. Hay que tener las mayores capas de seguridad posibles y una conducta preventiva más fuerte", completa.

Nieves señala que estos eventos no se limitan a una falla técnica de la app o a recibir el ataque de un hacker, sino que existen bandas que se dedican a esto y explotan vulnerabilidades relacionadas con los consumidores.

"Vamos a seguir viendo, y cada vez con mayor intensidad, la explotación de esos puntos que tiene más que ver con un mal uso de las tecnologías del usuario, que con una vulnerabilidad propia de la tecnología", añade. En ese sentido, Paus explica que detrás de estos eventos hay una gran ingeniería social que "ataca al eslabón más débil de la cadena, que es el usuario final". 

En este sentido, advierte que hacer denuncias a través de las redes sociales puede empeorar la situación, porque los ciberdelincuentes buscan contactarse con esa persona haciéndose pasar por la empresa en cuestión y cometen una nueva estafa.

¿Cómo protegerse de los robos de billeteras digitales?

Para los expertos en seguridad, estos eventos podrían minimizarse -sino evitarse- si los usuarios toman todas las medidas de seguridad. En ese sentido, Piscitelli comparte algunos consejos clave:

  • Proteger el celular con huella, patrón, cara o pin
  • No usar el mismo patrón que se utiliza para desbloquear el teléfono, para entrar a la aplicación
  • Si un celular está bloqueado con la cara o la huella, pero la segunda capa de autenticación es un patrón numérico, es fundamental que sea robusto: evitar claves como 0000 o 1234
  • Activar un nivel de seguridad independiente para mover dinero. De esta forma, que los delincuentes accedan a la aplicación no implicará necesariamente que puedan mover plata
  • Habilitar el segundo factor de autenticación o verificación en dos pasos en todas las aplicaciones donde sea posible: mail, Whatsapp, redes sociales, apps financieras, etcétera
  • Los dispositivos y aplicación también pueden protegerse con aplicaciones alternativas como gestores de contraseñas que no solo permiten almacenar las claves, sino también generarlas. Como Keychain,KeePass, Authy, Google Autenticador, etcétera

Piscitelli remarca que "esta suma de cosas hace que sea más seguro tener dinero en el celular, una tendencia que por otra parte lejos de quedar atrás está creciendo".

Algunas apps ofrecen doble factor de autenticación para evitar robo de cuentas
Algunas apps ofrecen doble factor de autenticación para evitar robo de cuentas

También señala que "sería ideal que las aplicaciones hicieran un chequeo del nivel de seguridad que activaron los usuarios y no permitirles usarla si no está completamente asegurada, pero eso no va a pasar. La gente a veces siente que estas medidas son una limitación, porque no toman conciencia del riesgo".

En ese sentido, Paus agrega que la seguridad no necesariamente tiene que generar una mala experiencia del consumidor. "Con MODO buscamos generar un refuerzo de la seguridad en todo el ecosistema y hacerlo de una manera que no genere fricción con los usuarios, sino buscando sumar calidad al producto", asegura.

Cabe preguntarse si funcionalidad mata seguridad, pero lo cierto es que, que las aplicaciones sean vulnerables no es un negocio para nadie. Los delincuentes están al acecho, con estrategias cada vez más sofisticadas para atacar donde detectan debilidad.

Por lo tanto los usuarios son responsables de implementar todas las medidas a su alcance, del mismo modo que cuidan sus pertenencias físicas, por ejemplo, en el transporte público.

Economía Digital en tu mail
Suscribite a nuestro newsletter y recibí diariamente las últimas noticias en economía digital, start ups, fintech, innovación corporativa y blockchain.
Lo más leído