Una de las mayores amenazas que existen en Internet es la ingeniería social. No es más que la recolección de datos que puede hacer un ciberdelincuente sobre una persona para chantajearla, acceder a sus redes sociales, email o incluso a su cuenta bancaria. Pero, además, es una puerta digital a la vida “offline” de cualquier persona. Es decir, con la información que un hacker puede obtener de alguien en sus redes sociales, puede prever patrones de conducta, saber en qué colegio estudian sus hijos, o incluso donde tiene aparcado el coche.
El riesgo de usar redes sociales “en abierto” es algo en lo que los expertos en ciberseguridad llevan muchos años insistiendo, pero… ¿qué ocurre con aquellas plataformas que están ideadas para la compra-venta de productos?
Sin ir más lejos, cuando entramos en Wallapop o en Vibbo, tenemos a nuestro alcance una cantidad de información privada sobre cualquier persona que no debería estar al alcance de todo el mundo.
TE PUEDE INTERESAR: Así es el último phishing ‘casi perfecto’ a través de Wallapop
Las amenazas actuales que enfrentan los usuarios
Malware y spyware
Los cibercriminales pueden utilizar malware o spyware para infectar dispositivos y robar información personal, como contraseñas, datos bancarios o incluso información de las ubicaciones.
Deepfakes
La tecnología de deepfakes permite crear vídeos o audios falsos que pueden ser utilizados para suplantar la identidad de un usuario o para difundir información falsa.
Rastreo de la ubicación
Las aplicaciones como Wallapop recopilan datos de ubicación, lo que puede ser utilizado por cibercriminales para rastrear los movimientos de los usuarios.
QUIZÁS TE INTERESE TAMBIÉN: ¿Es buena idea compartir tu ubicación con tu pareja?
Los nuevos métodos de ingeniería social
Los cibercriminales han sofisticado sus técnicas de ingeniería social, utilizando métodos como el phishing, smishing y vishing para obtener información sensible de los usuarios.
Phishing
Envían correos electrónicos que aparentan ser de Wallapop o de una empresa de mensajería asociada, incitando a la víctima a revelar datos personales o financieros.
Smishing
El smishing, también conocido como phishing por SMS, es un tipo de ciberataque que utiliza mensajes de texto (SMS) para engañar a las víctimas.
Los cibercriminales pueden utilizar el smishing para estafar a los usuarios de Wallapop o plataformas similares de diversas maneras, algunas de las más comunes son:
- Suplantación de Wallapop:
Recibes a tu teléfono un SMS con un enlace que dice ser de Wallapop para confirmar una compra o venta que no has realizado. Al hacer clic, te lleva a una página web falsa que imita la de Wallapop, donde te piden que introduzcas tu nombre de usuario, contraseña e incluso datos bancarios.
- Oferta fraudulenta:
Un usuario te envía un mensaje privado en Wallapop mostrando un gran interés en un producto que vendes. Te ofrece un precio superior al que has puesto y te pide que le envíes tu número de teléfono para concretar la compra fuera de la plataforma. Luego, te envía un SMS con un enlace para realizar el pago a través de una plataforma de pago falsa.
- Problema con la compra:
Recibes un mensaje a tu teléfono de un supuesto transportista que dice tener problemas para entregar un paquete que has comprado en Wallapop. Te piden que confirmes tus datos personales o que descargues una aplicación para “resolver el problema”. La aplicación es en realidad malware que roba tu información.
- Aviso de seguridad:
Recibes un SMS que dice ser de Wallapop alertando de una actividad sospechosa en tu cuenta. Te piden que hagas clic en un enlace para “verificar tu cuenta”. Al hacerlo, te lleva a una página web falsa donde te piden que introduzcas tus datos de acceso.
Vishing
El vishing, una variante del phishing que utiliza llamadas telefónicas en lugar de correos electrónicos o mensajes de texto, se ha convertido en una amenaza cada vez más común en plataformas como Wallapop.
Los cibercriminales se aprovechan de la confianza y la inmediatez de las llamadas telefónicas para engañar a los usuarios y obtener información sensible o inducirlos a realizar acciones fraudulentas.
Consejos para aumentar la seguridad en sitios como WallaPop
Aunque plataformas de compraventa online como Wallapop o Vibbo cuentan con redes de seguridad efectivas y medidas antifraude robustas, es importante que los usuarios permanezcan atentos y sigan los consejos de seguridad de cada plataforma para evitar posibles inconvenientes.
Un caso ficticio
Pongamos el caso de Borja V.. Un usuario que hemos inventado para escribir este post, basándonos en personas reales que hemos encontrado al azar en WallaPop. Con solo mirar 2 minutos su perfil y hacer un par de búsquedas en Google, podríamos ponerle en un verdadero aprieto.
Veamos por pasos lo fácil que sería. En la app de venta de objetos de segunda mano tiene 122 productos en venta. Ha realizado 347 transacciones y ha recibido 72 opiniones de otros usuarios.
Uno de los productos que vende es un coche deportivo de gama alta a un precio muy razonable. En las fotos que ha subido a la plataforma no se ve la matrícula porque previamente la ha borrado con Photoshop. Pero ha dejado muchos detalles en las imágenes. Todas ellas han sido tomadas en un garaje, con lo que asumimos que han sido tomadas en su casa o en la oficina.
Como la aplicación funciona por geolocalización, ya sabemos que vive o trabaja cerca de dónde estamos.
Pero además, entramos en su perfil y vemos el resto de objetos que tiene en venta. Entre otras cosas, tiene discos en vinilo de grupos de los noventa, una silla para llevar un bebé en el coche, varios libros escolares y una impresora láser. Con esta información podemos deducir que tiene en torno a 45 años por sus discos, que tiene un hijo de más de 5 años y que seguramente tenga una pequeña empresa.
Como hemos visto, Borja V. tomó medidas de seguridad como borrar la matrícula de su coche, pero no se dio cuenta de que los libros de sus hijos dan muchas pistas sobre dónde estudian o que los alrededores de dónde estaba aparcado el coche también daban mucha información. Tampoco fue consciente de que poner su nombre y sus apellidos junto a productos que vende en Internet, da mucha información que se puede cruzar con una sencilla búsqueda en Google.
Consejos a seguir
Es muy importante no dejar pistas de quiénes somos en Internet. Y, sobre todo, evitar que lo que tenemos en las redes sociales y en páginas de venta, permita obtener información sobre nosotros o nuestras familias. Por ello, hay que crear perfiles con pseudónimos distintos para cada página de venta, así como evitar siempre la geolocalización.
Si, además, vendemos productos relacionados con nuestros hijos, es recomendable hacer perfiles distintos de venta para diversificar el riesgo de que alguien sepa quiénes son los niños y quiénes son sus padres.
Aunque estas redes sociales te recomiendan que uses una foto para que se vea que eres un vendedor de fiar, fíjate que hay muchas personas que suben un avatar y aun así tienen unas valoraciones muy positivas. Es mejor que hable de ti las valoraciones que una imagen de tu cara.
Por último, y aunque no es el caso de nuestro ficticio Borja V., es muy importante destacar que es un error subir fotos de ropa a modo selfie en las que se ve la cara del vendedor. Se trata de ‘un importante reclamo’ para los acosadores.
“El refranero español reza que ‘el sentido común es el menos común de los sentidos’ y en Internet es más cierto, si cabe, que en la vida offline. Por eso, al igual que no le decimos a nadie por la calle donde vivimos, ni a qué colegio van nuestros hijos, ni mantenemos la etiqueta con el precio de un abrigo para que se vea que es un artículo de lujo, tampoco deberíamos indicarles esas cosas a los desconocidos en Internet”, advierte Hervé Lambert, Global Retail Product Manager de Panda Security.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
También te puede interesar
Panda Antivirus Gratis
Soporte Técnico GRATUITO
2 comments
NO ENVIEIS POR WALLAPOP NI WALLAPAY.
Es una estafa, hoy por casi me estafan con el famoso método “estafa nigeriana”. Te dicen que te pagan el envío y que el dinero se activará en tu cuenta en cuanto tengan un recibo de envío (te dicen que han hecho un ingreso a tu banco imitando la plantilla de wallapop pero es un email falso que crean ellos) en mi caso: “wallapay.eu.pago@gmail*com” a nombre de torres olmo con tlf 666230534
Los envíos con wallapop son 100% seguros si se hacen con la app.
Si se usan empresas de transpote externas, ingresos, bizum, etc es cuando te pueden engañar.