Mercado Pago es la billetera digital más usada del país, con más de seis millones de usuarios. Sin embargo, los consumidores pueden perder todo su dinero en caso de que sea robado su celular por una falla en el diseño de la plataforma.
En efecto, si a un usuario le roban el celular y el delincuente coloca el chip en otro teléfono, puede restituir la clave de Mercado Pago mediante un SMS, un WhatsApp o una llamada de teléfono. Es decir, todos mecanismos para los que no necesita otra cosa que el chip. En cambio, otras wallets, como MODO, requieren hacer el onboarding contra el sistema del Registro Nacional de las Personas (Renaper) cada vez que se usa la app en un nuevo teléfono.
Alejandro Botter, gerente de ingeniería de Check Point para el sur de Latinoamérica le comentó a iProUP que para proteger la cuenta de Mercado Libre no hau reutilizar claves, y hay que configurar una clave robusta.
"Cambia la clave con regularidad, Activar la verificación en 2 paso No compartir tus datos con otras personas para evitar que accedan a la cuenta desde un dispositivo infectado, mantenerlo actualizado y contar con una protección antimalware. En el caso del dispositivo móvil : Activar la autenticación biometrica , Definir un pin de desbloqueo que no sea simple (evitar números como por ejemplo 1111)", recomienda.
En el caso de que te roben el teléfono: Ingresar cuanto antes al sitio de Mercado Libre e informa lo ocurrido, "Una vez en tu cuenta, desvincula el dispositivo de tu perfil (Clic en Nombre de Usuario -> Mi perfil -> Seguridad -> Dispositivos vinculados)> Cambia la contraseña. Si hay algún otro servicio que tenia la misma contraseña, sugerimos cambiarla", recomienda.
La vulnerabilidad encendió las alarmas de los usuarios en Twitter, donde se reportaron varios hechos de este tipo:
"El 21/4 me robaron el celular, me vaciaron la cuenta de Mercado Pago y sacaron un crédito. Mientras tanto, yo no podía acceder porque me enviaba códigos de seguridad al celular, incluso cuando pedí verificar mi identidad. MP canceló el crédito pero no quiere devolverme la plata", relató un usuario que se identificó como Juli.
Además, aseveró que cuando manifestó su descontento ante la empresa no obtuvo la respuesta esperada.
"Mercado Pago fue casi una burla: que le pregunte a algún familiar o conocido si no me usó la cuenta cuando ellos saben perfectamente quién recibió mi dinero y pretenden que yo me contacte con ellos cuando yo no tengo ningún tipo de información y ellos sì".
Sin embargo, este incidente no culminó allí y días más tarde al tratar de validar su identidad, el usuario se sorprendió:
"Una hora después me estaban vaciando la cuenta. ¿Con un evento de seguridad en curso ustedes dejan que se utilice una cuenta como si nada, ¿Así protegen a sus usuarios? Porque parece que protegen más a los ladrones"; cuestionaba.
Lejos de ser un incidente aislado, en marzo pasado, Mercado Libre reportó inconvenientes de seguridad.
En marzo de este año, Mercado Libre comunicaba: "Recientemente hemos detectado que parte del código fuente de Mercado Libre Inc. ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo".
En aquella ocasión, los hackers accedieron a los datos de aproximadamente 300.000 usuarios (de casi 140 millones de usuarios activos únicos),
"Según nuestro análisis inicial- no hemos encontrado ninguna evidencia de que nuestros sistemas de infraestructura se hayan visto comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta, inversiones, información financiera o de tarjetas de pago. Estamos tomando medidas estrictas para evitar nuevos incidentes", señalaron desde la firma.
Por último, al usuaria aclaró que desde Mercado Pago volvieron a escribirle y le aseguraron que "el equipo especializado está analizando las operaciones, cuando ayer según el área encargada, era directamente imposible anular el pago".
Ante esta falta de información, crece la preocupación actual de los usuarios por temor a que esta filtración derive en multiples intentos de hackeos y estafas.
Los antecedentes tampoco son un buen augurio: el leak fue anticipado por el grupo cibercriminal "Lapsus$".
Este grupo de extorsionadores de internet hackeó a Samsung y luego publicó una encuesta preguntando quién debería ser su próxima víctima. En aquella ocasión, una de las opciones fueron Mercado Libre y Mercado Pago.
Por su parte, Lucas Paus, CISO de MODO comento a iProUP: "Más allá de cualquier incidente puntual, siempre es importante que el usuario esté alerta a posibles engaños. Los ataques van en aumento y los ciberdelincuentes hacen uso de la información obtenida en muchos casos en redes sociales o Dataleaks para perpetrar nuevas estafas".
En ese escenario, "es clave que las personas no compartan información por canales públicos, ni tampoco datos sensibles como códigos de recuperación, SMS, contraseñas, tarjetas, etc"..
Ya que no existe una regla de oro, pero se pueden recomendar varias buenas prácticas para no caer en ciberestafas como: Activar el doble factor de autenticación o Verificación de dos pasos en redes sociales.Jamás compartir información sensible como códigos enviados por sms, claves o tarjetas de crédito.No publicar en redes o portales públicos información de algún problema, sino hacerlo en los canales indicados y responder solo si la cuenta se encuentra verificada por un canal oficial.
"En caso de observar alguna actividad sospechosa comunicarse rápidamente con la entidad afectada.Con el objetivo de educar cada vez más en relación a ciberseguridad, desde MODO llevamos adelante distintas campañas alertando a los usuarios sobre que, por ejemplo, nunca vamos a pedir información personal o claves de seguridad desde un canal no oficial, entre otros puntos", remarco.