Millones de argentinos depositan sus ingresos en billeteras virtuales como Mercado Pago, Personal Pay o Naranja X. Los ciberdelincuentes lo saben y perfeccionaron una técnica de fraude casi indetectable: el e-skimming, que permite robar datos financieros sin que la víctima se entere.
A diferencia de las estafas telefónicas clásicas, este método opera en silencio. Los atacantes inyectan código malicioso en sitios de comercio electrónico para capturar, en tiempo real, los datos de pago que los usuarios ingresan al comprar online.
Todo ocurre en el navegador del comprador, antes de que la información llegue al servidor de la tienda, lo que vuelve inútiles los sistemas de seguridad tradicionales de las empresas.
El proceso de compra transcurre con total normalidad y el pago se procesa sin errores. Pero en segundo plano, un programa basado en JavaScript copia cada tecleo y lo envía a servidores controlados por los delincuentes, detalla iProfesional.
El e-skimming (también llamado ataque Magecart) se ejecuta en tres pasos. Primero, los criminales detectan fallas en plataformas de comercio electrónico o (lo más peligroso) comprometen a proveedores externos que cargan servicios en esas páginas: chats de soporte, contadores de visitas o píxeles publicitarios. Al vulnerar a un solo proveedor, el código malicioso se expande a miles de sitios a la vez.
Después, integran ese código en los archivos legítimos de las páginas de pago, disfrazándolo para que pase inadvertido. Los scripts más avanzados incluso simulan el funcionamiento normal del sistema, como dar formato automático al número de tarjeta o mostrar mensajes de error creíbles.
Finalmente, cuando la víctima tipea sus datos, el programa los captura, los codifica y los transmite de forma disimulada (generalmente camuflados como simples solicitudes de imágenes) hacia dominios controlados por los atacantes.
Dejar de usar tarjetas de crédito físicas no protege contra esta amenaza. Las billeteras locales ofrecen tarjetas prepagas digitales respaldadas por marcas internacionales para pagos online. Si el usuario carga esos datos en un comercio infectado, la información y el CVV quedan expuestos igual que con cualquier plástico bancario.
Pero el riesgo va más allá. Los scripts de e-skimming también capturan usuarios y contraseñas de servicios financieros. Con esas credenciales, los delincuentes acceden directamente a la app de la víctima, vacían el saldo, liquidan inversiones o piden préstamos de acreditación inmediata para transferir los fondos a cuentas irrastreables.
Una causa judicial en Santa Fe dejó en evidencia estafas por casi $30.000.000, con cuentas abiertas usando documentos falsificados y sin doble factor de autenticación. A esto se suma que la ARCA actualizó los topes de información automática para operaciones en bancos y billeteras (ahora alcanzan los $50.000.000 para personas físicas), lo que incrementa el atractivo de estas cuentas para los ciberdelincuentes.
En la Argentina también se detectaron campañas masivas de correos que simulan alertas oficiales de soporte de Google, presionando al usuario con amenazas de suspensión de cuenta. Al tomar control del mail, los criminales restablecen contraseñas de apps financieras e interceptan los códigos de validación, causando un daño irreversible.
Señales de alerta para detectar el fraude:
Cómo proteger el dinero en billeteras virtuales:
Las billeteras virtuales democratizaron el acceso financiero de millones de argentinos, pero la brecha entre la velocidad de la innovación y la educación en seguridad del usuario generó un terreno ideal para amenazas invisibles como el e-skimming.
La prevención activa y el uso de herramientas de protección son hoy la mejor defensa para resguardar los fondos frente al crimen digital.