Estafas en Mercado Pago: ¿cómo te roban plata y vacían tu cuenta?

Los celulares son cada vez más buscados por los ciberlincuentes que buscan quedarse con los datos de sus víctimas y cometer todo tipo de delitos

Por iProUP

Finanzas 4.0

05.01.2023 • 10:56hs • Finanzas 4.0

Muchas personas pueden olvidarse su billetera al salir de sus casas, pero casi nadie deja su celular, que ocupa un lugar central en sus vidas. No obstante, que el dinero quede en el hogar no significa que esté más seguro.

De hecho, hoy gran parte de la vida cotidiana pasa en el teléfono, incluso, el manejo de la plata. Esto lo convierte en un blanco muy atractivo para atacantes que utilizan softwares maliciosos (malware) e ingeniería social para vulnerar los dispositivos.

Apuntan a quedarse con datos sensibles, es decir, aquellos que les permitan acceder a los home bankings, billeteras digitales y otras apps financieras. Y robar todos los fondos que puedan.

¿Cuáles son las billeteras más atacadas?

A la hora de hablar de las aplicaciones financieras más atacadas, la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) asegura a iProUP que se registró un alza del 400% de denuncias:

Mercado Libre y Mercado Pago fueron las principales plataformas afectadas
Así, superó a Whatsapp, Facebook e Instagram

Desde el organismo indican que también se detectaron accesos a otras apps financieras (como PayPal), exchanges de criptomonedas (Ripio o Buenbit) y plataformas de juegos (Playstation) que tienen asociada una tarjeta de crédito.

"Es lógico que tengamos más denuncias porque la gente se volcó masivamente al uso de billeteras electrónicas. Además, antes de la pandemia había una sola y ahora muchas más", señala a iProUP Horacio Azzolin, titular de la UFECI.

Según el fiscal, "los ladrones van dónde está la plata: antes estaba en las billeteras, ahora en los teléfonos. Lo que está pasando con los robos es la contracara del beneficio y la comodidad de tener el dinero en el celular".

Sugiere instalar el doble factor de autenticación (2FA) para evitar la principal maniobra de robo en Mercado Pago, que es la que se describe a continuación:

Un delincuente roba un celular
Si no puede desbloquearlo, inserta el chip en un nuevo dispositivo
Automáticamente obtiene la dirección de mail, número de teléfono y Whatsapp
Ingresa a la web de Mercado Pago, escribe el correo y pide resetear la contraseña
La billetera envía un código para cambiar la clave a través de un SMS, WhatsApp o llamado telefónico automático
Así, cambia la contraseña, ingresa a la cuenta, la vacía, realiza compras o saca un crédito
También puede escribir a los contactos de la víctima y pedir que le presten plata o hagan una transferencia

Desde el unicornio indican que "cualquier intento de ingreso a una cuenta de Mercado Pago desde un nuevo dispositivo requiere de dos factores de autenticación. Si bien un mensaje por SMS a la línea telefónica puede actuar como segundo factor de autenticación, es necesario -sin excepción- pasar el primer nivel: contraseña para ingreso a la app mediante reconocimiento facial, código numérico o huella digital o validación por correo electrónico".

Y añaden: "Como medida adicional, el usuario de Mercado Pago puede configurar como segundo factor de autenticación, en vez del SMS, la contraseña de un sólo uso (One-Time-Password)".

Sin embargo, en los casos en los que el teléfono pueda ser desbloqueado se puede acceder al e-mail. Jorge nieves, director de Innovación de Vortex, señala a iProUP que no cambiar la contraseña del buzón de voz implica un riesgo extra. Es que los delincuentes no atienden el teléfono, pero el código para modificar el password queda registrado en un mensaje.

"Estos son factores de doble autenticación que comparten muchas billeteras, e incluso apps bancarias, no necesariamente tienen que ver con vulnerabilidades de seguridad, sino con que el usuario no bloqueó su cuenta, cambió la contraseña rápidamente, actualizó sus datos ni generó una nueva clave de buzón de voz", añade Nieves.

Mercado Pago fue la billetera que más creció en ataques recibidos

Pero no todas las aplicaciones financieras funcionan de la misma manera. Lucas Paus, Chief Information Security Officer de MODO, explica a iProUP que, ante el robo del celular:

La app detecta que está siendo instalada en un nuevo dispositivo
A través de la funcionalidad hard token obliga al usuario a realizar un nuevo onboarding
De esta forma, debe pasar todas las validaciones de identidad (foto y prueba de vida)
Las mismas se constatan con la información de Renaper (para comprobar que sea la misma persona)
También tendrá que responder preguntas de seguridad

"MODO es una billetera que articula entre distintos bancos y cada uno, de por sí, tiene sus propias medidas de seguridad. Además, tenemos aplicaciones que hacen control biométrico para confirmar que vos seas quien decís ser", asegura el directivo.

¿Cómo saber si hackearon el celular y prevenirlo?

De acuerdo con datos de Kaspersky Labs provistos a iProUP, los indicios que permiten sospechar que el celular pudo haber sido hackeado son:

La batería se descarga rápidamente (las aplicaciones fraudulentas consumen mucha energía)
El celular presenta fallas, lentitud, bloqueos o reinicios inesperados
Movimientos raros en cuentas de redes sociales o mails (indicaciones para restablecer contraseña, ubicaciones inusuales de inicio de sesión o verificaciones de registro de nuevas cuentas)
Llamadas y SMS desconocidos en los registros (pueden estar interviniendo el teléfono o hacerse pasar por la víctima para robar información de sus contactos)

Las medidas de seguridad pueden sonar bastante obvias, pero son clave para evitar ataques. En ese sentido, los expertos recomiendan:

Usar contraseñas difíciles de adivinar
Descargar aplicaciones solo en tiendas oficiales, como Apple Store o Google Play.
No abrir archivos adjuntos, ni aplicaciones extrañas.
Bloquear el teléfono configurando una clave (PIN) a la tarjeta SIM
Cifrar parcialmente o en su totalidad el dispositivo, si el modelo del celular y la versión del sistema operativo lo permiten
No usar SMS como factor de doble autenticación. En su lugar, utilizar algún software de autenticación de contraseñas como Google Authenticator
Evitar manejar información sensible o entrar a la cuenta bancaria cuando se está conectado a redes públicas. Se recomienda instalar una VPN en el celular
Prestar atención a los permisos que se otorgan cuando se instala una app
Desconfiar de todos los mensajes, incluso cuando provienen de alguien conocido

Otro tipo de estafas frecuente es de acción psicológica: a través de la ingeniería social, consiguen información personal de usuarios y realizan engaños personalizados. Esta modalidad fue tomando más fuerza y abundan los casos de fraude que resultan del contacto telefónico de un atacante que se hace pasar por el operador móvil, oficial bancario o empleado de un organismo público.

Los expertos recomiendan no descargar apps de fuentes no reconocidas ni revelar datos sensibles por mail, teléfono, redes sociales o WhatsApp

Emiliano Piscitelli, especialista en Ciberseguridad, señala a iProUP que hay que tener en cuenta el Método P.I.C.O, que él mismo diseñó y que define cuatro constantes a considerar:

Pretexto: "El atacante se contactará con una excusa que nos llamará la atención y generará una emoción positiva, como un premio, subsidio o descuento"
Impostor: "Se presentará cómo una persona, empresa u organismo reconocido para darle validez al pretexto"
Contexto: "Se va a aprovechará de una situación específica de salud, económico, social, etcétera"
Oportunidad: "Va a ofrecer una chance 'única' e 'increíble' teniendo que acceder con urgencia y en un tiempo limitado"

El celular es el centro de la vida actual y trajo grandes soluciones, pero también nuevos riesgos. La prevención es la clave para hacer de la tecnología una aliada y no la puerta a ser víctima de fraudes.