Redes sociales abundan los comentarios de informes de usuarios estafasvaciar sus cuentas o tomar un préstamo, a través de billeteras y aplicaciones financieras como Mercado Pago o Ualátras el robo de su celular.

Solo por mencionar algunos casos, el 30 de mayo, el usuario @flexderazo reportó la pérdida de al menos $192,000 a través de Mercado Pagodespués de que le robaron su teléfono, a pesar de haber seguido las recomendaciones al pie de la letra de la aplicación para estos casos.

“Como me habían enviado el Código de verificación de whatsapp del teléfono robado. Dicen que yo fui quien hizo la transferencia y las compras, y como fue la transferencia de una cuenta de MercadoPago a otra de MercadoPago no se pudo deshacer ni ignorar ni denunciar ni nada“, detalló.

Otra usuaria, @loreinsanchez, afirmó en Twitter que alguien solicitó un préstamo de su cuenta de la billetera después van a robar el celularaunque en este caso, tras haber realizado “mil reclamaciones” la aplicación reconoció su denuncia.

Otra de las aplicaciones que recibió un susto fue oulaque registró al menos 68 casos de usuario quienes informaron que sus cuentas fueron vaciadas. Aunque la empresa aseguró que se trataba de un caso de suplantación de identidad (alguien que se hace pasar por la firma, copiando su apariencia en mensajes de red y correos electrónicos), Los expertos en seguridad informática dicen que el la aplicación tiene vulnerabilidades.

“Siempre en el fines de semana largos hay ataques de phishing. Porque los demás no responden. Hacemos. Es clave tener contraseñas seguras y nunca compartir sus datos privados. Con nadie”, respondió el CEO de la fintech, Pierpaolo Barbieri.

¿Cuáles son las billeteras más atacadas?

Según el último Informe de Gestión de la Unidad Fiscal Especializada en Delitos Cibernéticos (UFECI), hubo una 400% de aumento en las quejas:

• Mercado Libre y Mercado Pago fueron una de las principales plataformas afectadas
• Así superó a WhatsApp, Facebook e Instagram

La UFECI aclara que, en menor medida, el acceso a otros aplicaciones financieras (como Paypal), intercambios de activos criptográficos (grava cualquiera bueno) y plataformas de juego (Estación de juegos) que tienen una tarjeta de crédito asociada.

Las billeteras son el principal objetivo de los ciberatacantes

“Es lógico que tengamos más quejas porque la gente se volvió masivamente al uso de monederos electrónicos. Además, antes de la pandemia solo había uno y ahora muchos más”, explica a iProUP Horacio Azzolin, titular de la UFECI.

Según el fiscal, “la los ladrones van donde esta el dinero: antes estaba en la billetera, ahora está en los teléfonos. Lo que está pasando con los robos es la otra cara el beneficio y la conveniencia de tener el dinero en el celular“.

¿Cómo operan los ciberdelincuentes?

“Los delincuentes son cada vez más mas creativo“, dice Jorge Nieves, director de Innovación de Vortex, y detalla: “Ante el descuido de los usuarios se aplican técnicas de ingeniería social para idear estafas una vez que se apropiaron del celular y de las credenciales”.

Entre todas las posibles situaciones de fraude, hay una falla en Mercado Pago que parece “hecha a la medida” de los estafadores:

• Un delincuente roba el celular de un usuario. En caso de que no pueda desbloquearlo, inserte el chip en un nuevo dispositivo
• Obtiene automáticamente la dirección de correo electrónico, número de teléfono y WhatsApp
• Ingresa al sitio web de Mercado Pago, escribe el correo electrónico y solicita restablecer la contraseña
• La billetera envía un código para cambiar la clave a través de un SMS, WhatsApp o llamada telefónica automática
• Así, el delincuente cambia la contraseña, ingresa a la cuenta, la vacía, realiza compras o saca un crédito
• También puedes escribir a los contactos de la víctima y pedir, por ejemplo, que te preste dinero o te haga una transferencia

Desde el unicornio desmienten a los expertos y señalan que “cualquier intento de ingresar a una cuenta de Mercado Pago desde un nuevo dispositivo requiere Autenticación de dos factores. Aunque un mensaje SMS a la línea telefónica puede actuar como un segundo factor de autenticación, es necesario sin excepción para resolver el primer nivel: contraseña para ingresar a la aplicación mediante reconocimiento facial, código numérico o huella dactilar: o validación por correo electrónico. Como medida adicional, el usuario de Mercado Pago puede configurar como autenticación de segundo factoren lugar de un SMS, una contraseña de un solo uso (One-Time-Password)”.

Nieves advierte que no cambie la contraseña del correo de voz implica un riesgo extra, ya que los delincuentes no atienden el teléfono, pero el código para cambiar la contraseña está registrado en un mensaje

“Estos son factores de doble autenticación que comparten muchas billeteras, e incluso aplicaciones bancarias, y no necesariamente tienen que ver con vulnerabilidades de seguridad, sino con el hecho de que el usuario no bloqueó su cuenta, cambió rápidamente su contraseña, actualizó sus detalles o generó una nueva contraseña de correo de voz“añade Nieves.

Pero no todas las aplicaciones financieras funcionan igual. En este sentido, Lucas Paus, Director de Seguridad de la Información de MODOexplicar a iProUP que, ante él robo de celular:

• La aplicación detecta que se está instalando en un nuevo dispositivo y a través de la funcionalidad token duro obliga al usuario a realizar una nueva incorporación
• De esta manera, debe pasar todas las validaciones de identidadcomo foto y prueba de vida, los cuales son verificados con la información de Renaper para asegurarse de que es la misma persona
• También tendrás que responder preguntas de seguridad.

“MODO es una billetera que se articula entre diferentes bancos y cada uno, por sí mismo, tiene sus propias medidas de seguridad. Además tenemos aplicaciones que realizan un control biométrico para confirmar que eres quien dices ser”, dice el gerente.

Y añade: “Una vez que conseguimos que el usuario se registre en la app tenemos una motor que detecta movimientos sospechosos, bloqueo proactivo de intentos de fraude“.

¿Son seguras las billeteras digitales?

Emiliano Piscitelli, especialista en Ciberseguridad y CEO de BeyGoo, afirma a iProUP que todas las aplicaciones pueden tener vulnerabilidades ya sea a nivel de código, funcionalidad o proceso, pero lo que hay que ver es la medida en que las personas que informaron eventos tenían todos los factores de seguridad establecidos.

Azzolin agrega que las aplicaciones no son necesariamente inseguras, lo que es inseguro es la calle. “Lo importante es que el la gente sabe que está en riesgo y que mires el uso que le vas a dar a estas aplicaciones, que tienen todo lo buenopero también el potencial para vaciar su cuenta. Hay que tener las mayores capas de seguridad posibles y un comportamiento preventivo más fuerte”, completa.

Nieves señala que estos eventos no se limitan a un fallo técnico de la aplicación o al ataque de un hacker, sino hay bandas que se dedican a esto y explotan vulnerabilidades relacionadas con los consumidores.

“Vamos a seguir viendo, y cada vez con mayor intensidad, la explotación de aquellos puntos que tienen más que ver con un mal uso de las tecnologías de los usuarioseso con una vulnerabilidad inherente a la tecnología”, añade. En este sentido, Paus explica que detrás de estos hechos hay una gran ingeniería social que “atacar el eslabón más débil de la cadena, que es el usuario final“.

En este sentido, advierte que hacer denuncias por redes sociales puede empeorar la situación, porque la los ciberdelincuentes buscan contactar a esa persona haciéndose pasar por la empresa en cuestión y cometer una nueva estafa.

¿Cómo protegerse de los robos de billetera digital?

Para los expertos en seguridad, estos eventos podrían minimizarse, si no evitarse, si los usuarios toman todas las medidas necesarias. medidas de seguridad. En este sentido, Piscitelli comparte algunas consejos clave:

• Protege el celular con huella, patrón, rostro o pin
• No uses el mismo patrón. que se utiliza para desbloquear el teléfono, para ingresar a la aplicación
• Si un teléfono celular está bloqueado con rostro o huella dactilar, pero la segunda capa de autenticación es una patrón numérico, es fundamental que sea robusto: evita contraseñas como 0000 o 1234
• activar un nivel de seguridad independiente para mover dinero. De esta forma, el hecho de que los delincuentes accedan a la aplicación no implica necesariamente que puedan mover dinero
• habilitar el autenticación de segundo factor o verificación en dos pasos en todas las aplicaciones donde sea posible: correo, WhatsApp, redes sociales, apps financieras, etc.
• Los dispositivos y la aplicación también se pueden proteger con aplicaciones alternativas como gestores de contraseñas que no solo permiten almacenar llavespero también generarlos. Como llavero, KeePass, Authy, Google Authenticator, etc.

Piscitelli comenta que “Esta suma de cosas hace que sea más seguro tener dinero en el celular, una tendencia que, por otro lado, va en aumento, lejos de quedarse atrás”.

Algunas aplicaciones ofrecen autenticación de dos factores para evitar el robo de cuentas

También señala que “sería ideal para la aplicaciones para comprobar el nivel de seguridad que los usuarios tienen activado y no permitirles su uso si no está totalmente asegurado, pero eso no va a suceder. La gente a veces siente que eres las medidas son una limitanteporque no son conscientes del riesgo.

En este sentido, Paus añade que la seguridad no necesariamente tiene que generar una mala experiencia de consumo. “Con MODO buscamos generar un Fortalecimiento de la seguridad en todo el ecosistema y hacerlo de manera que no generar rozamiento con los usuarios, pero buscando sumar calidad al producto”, asegura.

Uno se pregunta si la funcionalidad mata la seguridad, pero lo cierto es que las aplicaciones vulnerables no es negocio para cualquiera. Los delincuentes están al acecho, con estrategias cada vez más sofisticadas para atacar donde detectan debilidad.

Por lo tanto, los usuarios son responsables de implementar todas las medidas a su alcance, de la misma manera que cuidan sus pertenencias físicas, por ejemplo, en el transporte público.