Usuarios perdieron ahorros de meses o años. La mayoría asegura no haber entrado en ningún enlace extraño y teme no recuperar la plata.

Montos altísimos en dólares, ahorros producto de mucho esfuerzo o una cobertura contra la inflación. Ésas son algunas de las definiciones que utilizan los damnificados por el vaciamiento de cuentas argentinas de la billetera Payoneer para explicar lo que perdieron. El total alcanza, en ciertos casos, a los u$s60.000.

La situación se conoció el fin de semana. Usuarios de Reddit postearon diversos casos con un patrón común: recibieron un correo electrónico falso que parecía ser de la plataforma preferida de los freelancers locales para cobrar sus honorarios del profesional.

Allí se les solicitaba que ingresaran sus datos de acceso. Quienes avanzaron, perdieron su dinero en cuestión de segundos. Ninguna víctima consultada por iProUP sostuvo haber ingresado a un enlace "raro" o haber ingresado credenciales.

Hackeo a Payoneer: qué pasó

En general, los usuarios de plataformas de pago están al día respecto a las distintas modalidades de estafa. Usualmente son profesionales 4.0 que trabajan para afuera y rara vez ingresan a un enlace desconocido.

Mateo, programador que trabaja para una empresa de Costa Rica, relata a iProUP: "Recibí un SMS, lo descarté y al toque quise entrar en Payonner. Ahí me piden resetear la clave y cuando logro entrar el saldo era 0. Esto fue el viernes, mi cuenta tenía u$s3.000. Eran mis ahorros de varios meses de laburo y ahora estoy desesperado", confiesa.

Muchos de los afectados aseguraron que tenían a Movistar como prestadora de servicio, aunque en el total de afectados figuran todas las compañías.

Los usuarios recibieron que buscaban robar sus credenciales

"En este sentido, informamos que Movistar no es responsable de los mensajes (ni de su contenido) que terceros cursen utilizando su red. No obstante, hemos tomado medidas preventivas con aquellos números desde los cuales algunos clientes reportaron haber recibido dichas comunicaciones", sostiene la firma a iProUP.

Payonner, por su lado, afirma a iProUP: "Tenemos conocimiento de casos recientes en los que estafadores engañaron a los clientes a través de mensajes SMS para que hagan clic en enlaces a páginas de phishing y faciliten las credenciales de sus cuentas. Algunos hicieron clic en sitios falsos y compartieron los datos de acceso con los estafadores".

Hackeo a Payoneer: cómo protegerse

La definición original del concepto smishing apareció cuando un ciberdelincuente empezó a usarlo para simular un usuario válido, con el fin de engañar, haciéndose pasar por una entidad oficial a través de mensajes de texto.

En época de pandemia, muchos los recibían con la excusa de la reserva de los turnos de vacunación, por ejemplo. En realidad se trataba de un criminal que trataba de acceder a una plataforma, que es la que envía al usuario original un código de validación temporario de un solo uso, para certificar la identidad de la persona.

"Se lo observa hoy en día tanto en Whatsapp como SMS: el ciberdelincuente trata de engañar haciéndose pasar por alguna organización para luego robarle la cuenta", afirma a iProUP Enrique Dutrá, especialista en seguridad informática.

El abogado Daniel Monastersky, director del Centro de Estudios en Ciberseguridad y Protección de Datos de la Universidad del CEMA (CECIB), señala que "el smishing es una técnica de estafa en la que los delincuentes intentan engañar a las personas a través de SMS fraudulentos".

Payoneer es una plataforma de pagos muy usada por los freelancers

"Estos mensajes suelen contener enlaces maliciosos o solicitudes para revelar información confidencial, aprovechándose de la confianza, desesperación, necesidad o urgencia de la víctima", dice.

El segundo factor de autenticación (2FA) es un paso extra de seguridad que se usa en la validación de identidad online. Dutrá remarca que "es una forma de evitar que nos roben las cuentas de acceso a las diferentes plataformas, ya que valida al usuario haciéndole llegar un token o un código de validación".

"Ahora, si la plataforma, como este caso SMS, posee una vulnerabilidad, es posible que sea usada por los ciberdelicuentes para obtener ese acceso. Es todo un problema", completa.

El experto sostiene que "el talón de Aquiles del 2FA precisamente es el SMS: hay otras maneras más seguras de recibir ese código".

"Por ejemplo, en las aplicaciones que tenemos en el celular, cuando accedemos a un sitio web, muchas veces lo recibimos en la app en el celular propia de la plataforma de compra o el banco", añade. Monastersky comparte el criterio de Dutrá en cuanto a la falta de seguridad del 2FA, ya que "se demostró a lo largo de los años que esta opción no es segura".

"En su lugar, se recomienda el uso de métodos más seguros, como aplicaciones de autenticación, tokens físicos o códigos generados dinámicamente, para mejorar la protección contra accesos no autorizados", asegura.

Los expertos ofrecen cuatro recomendaciones para evitar caer en estas estafas:

No hacer clic en enlaces de correos electrónicos que no sean de confianza

No ingresar datos de acceso en sitios web que no sean los originales de la plataforma

Activar la autenticación de dos factores

Cambiar la contraseña con regularidad

"Nos tomamos el fraude muy en serio y colaboramos con los organismos reguladores y las fuerzas de seguridad para combatir la delincuencia financiera", aseguran a iProUP desde Payonner.

Las causas del escenario actual no han sido establecidas. Lo concreto es que hay una gran cantidad de usuarios afectados, cuyo dinero no saben si será repuesto. Lo que parece quedar en claro es que una plataforma que use SMS como segundo factor no es un lugar seguro para proteger ahorros.