Si bien los delitos digitales son cada vez más sofisticados, los ardides para poder concretarlos parecen tan antiguos como “el cuento del tío”. Esto es lo que dejó en evidencia Christian Cibelli, director de desarrollo de software en Mercado Libre, quien mostró una nueva forma de estafa que podrían sufrir no solo los clientes de la plataforma, sino que se extiende a todo tipo de transacciones virtuales.
De acuerdo con un hilo que publicó en su cuenta de Twitter, los delincuentes se contactan mediante redes sociales con clientes de Mercado Pago que pueden tener algún tipo de problema o reclamo y, después de asistirlos como si fueran empleados de la empresa y hacerles generar una nueva clave de home banking, acceden a sus cuentas bancarias y les roban el dinero.
El episodio no sorprende en un contexto donde los ingresos indebidos a cuentas de home banking crecieron un 3000 por ciento en 2020, de acuerdo con cifras de la Unidad Fiscal Especializada en Ciberdelincuencia del Ministerio Público Fiscal.
“Hace unos días conté que me llegó un DM de Anjela Lopez que se hacía pasar por atención al cliente de Mercado Pago”, comenzó Cibelli, y agregó las capturas de pantalla con el mensaje de la supuesta empleada ofreciéndole ayuda.
/cloudfront-us-east-1.images.arcpublishing.com/lanacionar/2URHAAFD75AIRGR3MILKSK6ASE.jpg)
El especialista en IT grabó las llamadas con los estafadores y publicó “los momentos más destacados para mostrar cómo operan y tratar de ayudar a evitar que nos estafen”.
“Ricardo Martínez es el nombre del estafador que nos tocó hoy. Con mucha amabilidad nos cuenta que nos va a ayudar a entender que pasó con una transferencia de $62.000”, señaló Cibelli y añadió: “Después de pedirme mi número de documento y ‘buscarme en el sistema’ confirma que me encontró y necesita que ‘emita dos tickets de banco certificados en el cajero’ para poder recuperar el dinero”.
“Ahora viene la parte donde Ricardo nos dice que los pasos con el cajero los vamos a tener que hacer ‘ahora’, que no puede mandarnos los pasos. ¡Me apura!”, contó. “Esto es clave porque no te deja pensar y en el paso a paso te engañan si no sabés del tema”.
“En el paso a paso lo que nos hace es poner una nueva clave para el home banking y luego poder robarnos. Para este momento Ricardo tiene acceso a nuestro home banking”, remarcó el desarrollador de Mercado Libre.
“Los bancos además piden generar un token en el cajero y al hacerlo te da un código en el ticket que permite asociar el celular/app, así cuando hagas transferencias puedas poner ese código aleatorio y autorizarlas”.
“Ahora viene la parte donde nos hace crear el token nuevo y leerle el código de asociación del ticket. Con ese dato más la clave del primer paso tendrá acceso completo para vaciarnos la cuenta”, detalló Cibelli, y explicó que, luego de que le dictara un código cualquiera, el estafador interrumpió la comunicación: “Ricardo se enoja y me corta”.
Cibelli no se quedó con su experiencia personal y contactó a especialistas: “Me dijeron que suma mucho hacer la denuncia en la policía local con la grabación de la llamada. Al grabarla con el número de teléfono más el audio pueden triangularlas y hacer cruces para desbaratar bandas”.
Las recomendaciones de Mercado Pago para evitar fraudes
“Hay cuentas de todo tipo haciendo estas estafas, en todos los casos lo que hacen es buscar personas reclamando en redes a cualquier empresa, las siguen de la nada y les mandan DM ofreciendo ayuda. El objetivo siempre es el mismo: sacarte información personal y robarte”, sumó Cibelli, quien remarcó que la mayoría de las plataformas “tienen altísimas medidas de seguridad y es muy seguro operar en ellas”.
“Como se ve en la llamada la estafa se termina dando siempre de un modo ‘social’, nos guían paso a paso para obtener acceso a la cuenta con información que nosotros mismos le damos y que justamente por la seguridad de las cuentas sin nuestra intervención no podrían acceder”, concluyó.
En diálogo con LA NACIÓN, fuentes de Mercado Pago indicaron que, si bien se detectaron casos similares al relatado por Cibelli, la proporción de estafas es muy baja respecto del volumen de transacciones de la plataforma, aunque deben tenerse en cuenta distintas recomendaciones de seguridad para no convertirse en víctima de un fraude. “Hay personas que, cuando alguien deja un reclamo en redes sociales, le dicen ´llamá acá y te lo van a solucionar’. Es mentira, no hay un teléfono donde tengan que llamar. Es muy importante prestar atención a no caer en lo que llamamos ‘ingeniería social’”, subrayaron. La expresión hace referencia a las diferentes técnicas de manipulación que usan los ciberdelincuentes para obtener información confidencial de los usuarios.
“Nuestra prioridad es la seguridad y confianza del usuario, y el resguardo tanto de sus datos como de cualquier información asociada a su experiencia dentro del ecosistema de Mercado Libre. Trabajamos activamente desde la prevención con profesionales y herramientas de clase mundial”, agregaron.
Desde Mercado Pago brindan una serie de pautas y consejos a sus usuarios para la protección de su información:
- No compartir los datos personales. La empresa no pide información personal, como el número de tarjeta de crédito, identificación, claves de seguridad o número de identificación fiscal, por e-mail, por teléfono, redes sociales o mensaje de texto. Si se detecta una irregularidad en una cuenta, se debe contactar a la plataforma mediante la app o web para recibir ayuda o hacer una denuncia.
- En el portal de Ayuda hay secciones específicas para resolver dudas sobre problemas de seguridad.
- Nunca se solicitan contraseñas, token, códigos de autenticación, tarjetas o datos personales por teléfono.
- Revisar detenidamente los emails recibidos. Verificar el dominio y corroborar la autenticidad del emisor. Todas las comunicaciones de Mercado Pago son enviadas por cuentas @mercadopago.com.ar y nunca se piden datos personales. Muchos estafadores usan palabras similares con modificaciones muy sutiles.
- Si el contacto es por redes sociales o WhatsApp, revisar que sea un perfil verificado. En Twitter los canales de ayuda son @MP_ayuda y @ML_Ayuda.
- La empresa no solicita información por mensaje privado.
- Utilizar sitios reconocidos al momento de pagar. Comprobar la veracidad de la url verificando el candado que aparece junto a la dirección web o el término “Https”. Es importante no ingresar datos personales en sitios sospechosos o sin antes chequear que la dirección de acceso al site es correcta.
- Fuente: La Nación
Sea el primero en comentar en "Alerta por una nueva estafa en Twitter para robar claves bancarias: de qué se trata y cómo prevenirla"