Con el crecimiento de las ventas online y el uso de pagos electrónico también se incrementaron los ciberataques. ¿Cómo actúan los delincuentes 4.0?

En los últimos años, el uso del comercio electrónico posicionó a la Argentina como uno de los cinco mercados de mayor potencial de crecimiento, con un incremento proyectado de al menos 26% anual según cifras de Global Ecommerce Forecast 2021.

Esa tendencia es confirmada por la Cámara Argentina de Comercio Electrónico (CACE): según un estudio conjunto con Kantar provisto a iProUP, en el primer semestre la facturación se duplicó, hasta llegar a los $632.000 millones.

No es el único segmento que avanzó con fuerza. Los pagos digitales también aceleraron su expansión y ya hay 43 millones de argentinos que usan canales virtuales, señalan desde UDE Link. De hecho, la cantidad de firmas de este segmento se duplicó, destacan desde la Cámara Argentina de Fintech.

Con tantos usuarios haciendo operaciones online, también crecieron las estafas. Desde la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) remarcan que el fraude digital subió 3.000%. 

Horacio Azzolin, fiscal titular de la UFECI, afirma a iProUP que el ecommerce es uno de los rubros más impactados, con maniobras a través de Facebook, WhatsApp e Instagram. Preocupan también los ataques a usuarios de Mercado Libre y Mercado Pago.

«Los estafadores aprovechan el aumento de la actividad oline para vulnerar a consumidores y comerciantes desprevenidos«, plantea a iProUP Luis Corrons, experto en Seguridad de Avast. Añade que «el valor de las pérdidas por fraude irá en aumento, desde u$s17.500 millones de 2020 a más de u$s20.000 millones este año. Es decir, tendrá un crecimiento del 18%».

Miguel Rodríguez, director de Seguridad Informática en Megatech, indica a iProUP que los ataques a fintech superaron los 2.300 el último año, «lo que implica un aumento del 300% interanual«.

«La industria de la falsificación, que normalmente se desenvolvía de forma física, con puestos en la calle o ferias, se trasladó al online«, dice a iProUP Gabriel Pasqualini, Director de Pulpou.

Alerta máxima

Existen varios tipos de estafas a través de eCommerce o billetera digital. La más conocida y utilizada es el phishing: un cibercriminal se hace pasar por una empresa, imitando perfiles en redes, logos y diseño de correos electrónicos, para solicitar a su víctima claves y otros datos sensibles.

Según la firma especializada Avast, el 35% de los consumidores del país se topó con un intento de este tipo y casi una cuarta parte ha sido víctima. Entre estos últimos, Corrons señala que «al 21% le robaron datos personales, mientras que al 16% le quitaron dinero. Además, el 14% tuvo que cambiar su contraseña y el 13% canceló tarjetas de crédito o débito».

Con respecto a las pérdidas económicas, el ejecutivo indica que:

• «El 54% fue estafado por hasta 7.000 pesos»
• «El 15% entre 7.000 y 21.000 pesos»
• «El resto, por más de esta última cifra

«El actor criminal busca suplantar a Mercado Libre a través de emails o mensajes de texto, notificando al usuario problemas con el acceso a la cuenta y solicitando sus datos de ingreso para solucionarlo. Con esta información, realiza transacciones de ecommerce que serán cargadas al usuario vulnerado», explica a iProUP Juan Aguirre, Sales Engineering Sr. Manager Latam de Sophos.

Los ciberdelincuentes también crean web falsas de las marcas. «La vida útil de un sitio de phishing suele ser muy corta y los motores de búsqueda no tienen tiempo de indexarlo», asegura Corrons.

Más aún, han mejorado significativamente a lo largo de los años y resultan muy convincentes. «Incluso utilizan el protocolo HTTPS y el candado verde en la barra del navegador, lo que da una falsa sensación de seguridad. Los pequeños fallos de una página de phishing sólo se hacen evidentes cuando se compara con la original», remarca.

Otra alternativa recurrente de los atacantes en lugar de mensajes de advertencia es apelar a grandes ofertas o regalos. «El objetivo en estos casos es el mismo», agrega a iProUP Sol Gonzalez, Security Researcher de ESET Latinoamérica.

Triangulación: esta estafa perjudica tanto al vendedor como al comprador

Y añade: «Buscan que la víctima envíe su información creyendo que se trata de una comunicación legítima. Así, se quedan con sus credenciales de acceso y datos, como números de tarjeta. Además del correo, hoy en día son comunes las campañas que circulan a través de WhatsApp con un modus operandi similar».

Otra forma de estafa es el envío del producto por métodos no oficiales. Los cibercriminales tratan de realizar el cobro a través de medios que no están asociados a Mercado Libre para engañar a la víctima y dejarla sin el respaldo de la plataforma.

También hay estafadores que se disfrazan de consumidores. Gonzáles detalla el mecanismo del «fraude por triangulación«, que tiene dos víctimas en lugar de una:

• «El estafador realiza la compra de algún objeto de gran valor con el objetivo de utilizar los descuidos de los vendedores para desconocer la compra cuando reciben el producto»
• «El medio de pago que utiliza, que es clave en el engaño, es una tarjeta de crédito asociada a una persona distinta al supuesto comprador»
• «Si el vendedor que recibe el dinero del pago no se percata de esta diferencia de identidad, puede que sea demasiado tarde para reclamar la mercadería»

Otro recurso es la venta de productos y devoluciones falsas. En este caso, ambas partes de la transacción pueden verse afectadas, tanto el comprador como el vendedor. En esta línea, Azzolin indica que es un tipo de fraude que existió siempre: «el usuario hace la compra, avanza con el pago y cuando termina la operación no obtiene más respuestas y lo bloquean«.

Otra modalidad que describe el experto y que ha crecido mucho tiene como protagonista a Mercado Libre y Mercado Pago:

• La persona recibe un comprobante de pago falso por parte del supuesto comprador por un monto mucho mas elevado del pautado
• Le notifica al vendedor que lo van a llamar de una fintech o banco para resolverlo
• Esa persona es cómplice que le saca al vendedor los datos de acceso a su cuenta para vaciarla

Rodriguez, de Megatech, suma a la lista otra estafa muy común, que afecta a billeteras virtuales y cuentas bancarias, a través de la transferencia conocida como Débito Inmediato o Debin: «Si alguien vende productos o servicios, una persona que se hace pasar por un cliente dice que manda un pedido para hacer una transferencia de dinero como adelanto«.

De esta forma, explica el experto, «la persona le avisa al titular de la cuenta que le llegará un SMS para aceptar la recepción del pago, pero al hacerlo en realidad está aceptando un pedido de débito inmediato. Eso implica que de la cuenta bancaria propia se descuenta esa cantidad de dinero en lugar de recibirla».

Las billeteras virtuales aceptaban usar tarjetas y cuentas de terceros. Rodríguez señala que «si se obtenían los datos algún plástico, lo asociaban a la billetera de un tercero y sacaban dinero. Eso, a partir del mes que viene no lo van a poder hacer más debido a una nueva norma del BCRA».

Otra estafa se realiza mediante código QR o link de pago, para cobrar evitando la comisión de Mercado Libre. «La mayoría no sabe que el QR está hecho para compras presenciales. Cuando abonás se supone que ya tenés el producto y, por lo tanto, se le acredita el dinero en el momento al vendedor», advierte la responsable de ESET.

Más vale prevenir que pagar

Para prevenir estas estafas, las billeteras deben verificar la identidad. Por ejemplo, plantea Rodríguez, «solicitando fotos del DNI, las que también comparan con una selfie sacada en el momento, que «ofrece una cierta seguridad de que la persona que está abriendo en la cuenta es realmente quién dice ser».

Expertos recomiendan nunca ingresar datos de acceso al ecommerce o home banking solicitados por correo electrónico o Whatsapp. «Ni comercios ni bancos solicitan la recuperación de datos de acceso por estos medios», dice el ejecutivo de Sophos. En el caso puntual de Mercado Libre, «no debe usarse un canal de pago no oficial de la plataforma propuesto por el vendedor«.

Además, la ejecutiva de Eset afirma que en caso de recibir una comunicación, hay que «verificar el remitente real y no proporcionar información sensible, ya que las propias compañías aseguran que jamás solicitarán por correo o mensajería, como datos financieros o bancarios y DNI, entre otros». Aconseja «corroborar que la comunicación sea legítima por sus canales oficiales».

Otra recomendación importante es usar mecanismos fuertes para acceder a las billeteras virtuales, como la autenticación de doble factor que, además de usuario y clave, envía un código vía mail o SMS, reduciendo los robos de identidad. También hay que utilizar una contraseña robusta.

Desde Avast, aconsejan prestar atención para ver si la web tiene un aspecto diferente. «Los sitios populares no suelen modificar su diseño a menudo. Si hay un cambio, comprobar al menos al menos que la URL sea la misma del sitio original»,  afirma Corrons.

El ejecutivo remarca «teclear la dirección en la barra del navegador y no hacer clic en los enlaces, sobre todo en los compartidos en correos o SMS en los que es difícil verificar el remitente».

Además, Polpou recomienda a los usuarios de ecommerce:

• Desconfiar de precios demasiado bajos respecto de otros sitios
• Prestar atención a quién es el vendedor y los comentarios y opiniones que figuran en el sitio
• No comprar por fuera del Marketplace, ya que se estaría perdiendo la protección que brinda la plataforma

Azzolin concluye con un consejo que parece obvio, pero se practica poco y puede ser la llave para evitar caer en estos fraudes: «Usar el sentido común de la misma forma que lo usarías al comprar algo de manera física, fuera de Internet».