Es el ecosistema de preferencia en nuestro país para realizar operaciones de pagos y e-commerce ¿Cuáles son las claves para evitar fraudes?
Según el último informe de gestión de la Unidad Fiscal Especializada de Ciberdelincuencia (UFECI), se registró un alza del 400% en cuanto a denuncias:
–Mercado Libre y Mercado Pago fueron una de las principales plataformas afectadas
–Superan a Whatsapp, Facebook e Instagram
El titular de la UFECI, Horario Azzolín manifestó: “Es lógico que tengamos más denuncias porque la gente se volcó masivamente al uso de billeteras digitales. Además, antes de la pandemia había una sola y ahora muchas más”.
¿Cómo es la estafa en Mercado Pago cuando roban un teléfono?
El director de Innovación de Vortex, Jorge Nieves detalla que “a los descuidos de los usuarios aplican técnicas de ingeniería social para pergeñar las estafas una vez que se apropiaron del celular y las credenciales”, afirmando que los delincuentes son cada vez más “creativos”.
Además de las técnicas usualmente utilizadas, hay un vacío en los servicios de Mercado Pago que se ajusta a la necesidad de los “estafadores”.
-Si un delincuente roba un celular y no puede desbloquear, inserta el chip en otro teléfono.
-Automáticamente obtiene la dirección de e-mail, número de teléfono y WhatsApp.
-Ingresa a la web de Mercado Pago, escribe el correo y pide resetear la contraseña.
-La billetera envía un código SMS, WhatsApp, o llamado telefónico automático para cambiar la clave.
-Así, cambia la contraseña, ingresa a la cuenta, la vacía, realiza compras o saca un crédito.
-Además, puede escribir a los contactos de la víctima y pedir, por ejemplo, que le presten dinero o realicen una transferencia por una urgencia.
Nieves señala que no cambiar la contraseña del buzón de voz es un riesgo extra, porque los criminales no atienden la llamada, pero el código queda registrado en un mensaje.
¿Cómo es la estafa por Phising?
Juan Aguirre, ingeniero de Sophos explica qué: “el estafador busca suplantar a Mercado Libre a través de e-mails o mensajes de texto, notificando al usuario problemas con el acceso a la cuenta y solicitando sus datos de ingreso para solucionarlo. Con esta información, realiza transacciones de e-commerce que serán cargadas al usuario vulnerado”.
Los ciberdelincuentes crean también sitios webs falsos de las marcas. “la vida útil de un sitio phishing suele ser muy corta, los motores de búsqueda no tienen tiempo de indexarlo”, comenta el experto.
A lo largo de los años esta modalidad se ha mejorado, mostrando ser convincentes. “Incluso usan el protocolo HTTPS y el candado verde de la barra del navegador, que da una falsa sensación de seguridad. Los pequeños fallos de una página de phising sólo se hacen evidentes cuando se compara con la original”, remarca.
¿Cómo es la estafa a través de una “oferta falsa”?
Otra alternativa recurrente de los atacantes es apelar a grandes ofertas o regalos. “Buscan que la víctima envíe su información creyendo que se trata de una comunicación legítima”, sostiene Sol Gonzáles que está en la parte de seguridad de ESET.
Con esta modalidad, se extiende la ejecutiva los ciberdelincuentes “se quedan con credenciales de acceso y datos, como números de tarjeta. Además del correo, hoy en día son comunes las campañas que circulan a través de WhatsApp con un modus operandi similar”.
¿Cómo es la estafa por “triangulación”?
Además hay estafas donde los estafadores se disfrazan de consumidores. Gonzáles detalla que este mecanismo se denomina “fraude por triangulación”, donde hay dos víctimas en lugar de una, describiéndola cómo:
- Comprar un objeto de valor con el fin de aprovechar los descuidos de los vendedores para desconocer la compra cuando reciben el producto.
- El medio de pago que utiliza, que es clave en el engaño, es una tarjeta de crédito asociada a una persona distinta al supuesto comprador.
- Si el vendedor que recibe el dinero, no se percata de esta diferencia de identidad, puede que sea demasiado tarde para reclamar la mercadería.
La estafa del “falso producto”
Otra modalidad, es la venta de productos y devoluciones falsas, donde ambas partes pueden verse afectadas.
Azzolín indica que es un fraude que existió siempre: “El usuario hace la compra, avanza con el pago y al terminar la operación no obtiene respuestas y lo bloquean”.
¿Cómo es la estafa “doble unicornio”?
Otra modalidad que describe el experto y que tuvo crecimiento en este último tiempo, por su demanda y uso, tiene como protagonista a Mercado Libre y Mercado Pago.
-La persona recibe un comprobante de pago falso del supuesto comprador por un monto más elevado que el pautado.
-Notifica al vendedor que lo van a llamar de una fintech o banco para solucionarlo.
-El cómplice saca al vendedor sus datos de acceso a la cuenta, para después vaciarla.
¿Cómo es la estafa por “Debin”?
Miguel Rodríguez director de Megatech, suma a la lista de estafas, otra muy común que afecta a las billeteras virtuales y cuentas bancarias, conocidas como débito inmediato o Debin: “Si alguien vende producto o servicios, una persona que se hace pasar por un cliente dice que manda un pedido para hacer una transferencia de dinero como adelanto”.
Explica el experto, que de esta manera “la persona avisa al titular de la cuenta que le llegará un SMS para aceptar la recepción, pero al hacerlo en realidad está aceptando un pedido de débito inmediato: de la cuenta bancaria propia se descuenta esa suma en lugar de recibirla”.
¿Cómo es la estafa con QR?
Otra modalidad de estafa es mediante código QR o link de pago, que para cobrar evitando la comisión de Mercado Libre. “La mayoría no sabe que el QR está hecho para compras presenciales. Cuando abonás se supone que ya tenés el producto y, por lo tanto se acredita el dinero en el momento al vendedor”, advierte Gonzales.
¿Cómo evitar los robos en Mercado Libre y Mercado Pago?
Los usuarios deben tomar todas las medidas de seguridad para evitar robos. Emiliano Piscitelli, especialista en ciberseguridad de BeyGoo, comparte algunos consejos:
-Proteger el celular con huella, patrón, rostro o pin. No utilizar el mismo para entrar a la app.
-Si la segunda capa de autenticación es un patrón numérico, que sea robusto: evitar clases como 0000 o 1234.
-Activar un nivel de seguridad independiente para mover dinero.
-Habilitar el segundo factor de autenticación o verificación en dos pasos en todas las aplicaciones.
-Usar gestores de contraseñas que no solo permiten almacenar las claves, sino también generarlas: Keychain, KeePass, Authy, Google Autenticador, etcétera.
Rodríguez a su vez, señala otras recomendaciones para tener en cuenta
–Usar billeteras que en el alta soliciten fotos del DNI.
–“No usar un canal de pago no oficial de la plataforma”.
-Verificar el remitente real de las comunicaciones y no proporcionar información sensible.
-Corroborar que la comunicación sea legítima por sus canales oficiales.
No desesperar, los criminales tienen mecanismos cada vez más eficaces para atacar, pero los usuarios también las tienen para defenderse. Lo importante es conocerlos, aplicarlos, para evitar todo tipo de fraude.
