Los numerosos intentos de ciberestafas en apps es una realidad diaria. Hace ya dos años contábamos cómo las apps de compraventa de ropa y otros útiles como Wallapop eran un blanco fácil para que los hackers encontrasen información sobre nuestra vida digital y privada y cómo proteger al máximo nuestros datos en la red con el fin de evitar ser extorsionadas de cualquier forma.
Sin embargo, en esta ocasión PandaLabs, el laboratorio de Panda Security, ha detectado varios intentos de ciberestafa a través de Vinted y Wallapop cuya finalidad es el robo de datos bancarios. “En una app cuyo servicio se realiza una transacción económica cabe esperar que los ciberdelincuentes hayan pensado cómo poder aprovechar el sistema para cometer un delito”, apunta Hervé Hervé Lambert, Global Consumer Operations Manager de Panda Security. La estrategia consiste en crear perfiles de venta suplantando a otros con reconocimiento en redes sociales para atraer la atención hacia sus productos y entablar conversaciones, como se explica detalladamente más adelante.
Víctima por partida doble: estafas a compradores y vendedores en la app
Normalmente, la aplicación de Vinted se pliega a las necesidades del comprador. Es decir, protege su dinero hasta que este haya corroborado que está satisfecho con su compra y que no será necesario devolver el producto. Sin embargo, han sido varios los casos reportados en los que es el comprador quien intenta perpetuar la estafa.
Los ciberdelincuentes se hacen pasar por potenciales clientes e intentan sortear la comunicación de la app de compraventa de ropa para hacer todo el trámite por canales externos. El supuesto cliente pedirá al vendedor contactar a través de otras cuentas de mensajería como WhatsApp o Telegram y le enviará un enlace fraudulento con el falso “comprobante” del pago que redirige a una página web falsa, haciéndose pasar por la plataforma, donde se le pide que rellene sus datos bancarios para completar el proceso.
En el caso inverso, otra de las modalidades es a través del envío de un enlace que pide rellenar los datos bancarios para realizar la compra. En la práctica, ambos mecanismos se traducen en la infección con algún tipo de malware del dispositivo electrónico desde el que se opera o el robo de la identidad digital bancaria.
“Es importante recordar que no debemos salirnos nunca de las aplicaciones de venta de segunda mano u otras plataformas en las que también hay transacciones económicas, como AirBnB, mientras estamos haciendo o negociando una compra. Los ciberdelincuentes suelen intentar sacar a sus víctimas de la plataforma alegando que así se ahorran las comisiones u otros trámites. Sin embargo, lo que hacen es evitar la seguridad de la propia app y eliminar el rastro de sus fraudes. Una vez han timado a la víctima, recogen el dinero de la transferencia y desaparecen. Algo que, si se hubiera hecho dentro de la plataforma, no habría ocurrido”, apunta Hervé Lambert.
Cibercriminales que venden ropa falsa a precio de marcas exclusivas y se hacen pasar por influencers
Esta es una estafa tradicional en el mundo virtual y en la vida real, como ha ocurrido a lo largo de la historia, con tiendas o vendedores ambulantes. La cuestión es que las nuevas modalidades que ofrece la compraventa a través del e-commerce hacen que “sea mucho más difícil rastrear la identidad real de la persona que comete el delito”, comenta Hervé Lambert, Global Consumer Operations Manager de Panda Security: “Ya que cualquier persona puede crearse un perfil como vendedor sin aportar datos fidedignos. Y en el peor de los casos hasta pueden utilizar identidades falsas de personas con reconocimiento en las redes sociales, como influencers, para aumentar la notoriedad de su perfil e incrementar sus ventas de falsificaciones”.
Pautas para no caer en el cibertimo
- Nunca salir fuera de las apps de intercambio de productos. “En Wallapop es más fácil caer en la estafa que en Vinted, porque los usuarios pueden quedar para ver el producto e intercambiar teléfonos o email. Sin embargo, Vinted se asegura de guardar el dinero de la transacción hasta que el producto le ha llegado correctamente al comprador”, puntualiza Lambert. Por lo que lo correcto sería intentar hacer cualquier intercambio o compra cuya conversación siempre quede reflejada en los chats y la plataforma de pago de la propia aplicación y nunca abrir enlaces o links que envíen cualquiera de las dos partes.
- No caer en falsas promesas de “precios rebajados o lotes de productos más grandes”, señala el ciberexperto, quien explica que, en ocasiones, los vendedores utilizan esto como señuelo para que les hablen fuera del chat de la aplicación.
- Revisar exhaustivamente el perfil del comprador y/o el vendedor. Ambas apps permiten la opción de dejar opiniones de compras o ventas pasadas. Si un perfil no cuenta con reviews ni foto de perfil ni ventas o compras asignadas ni nombre completo, sino con símbolos y números, son varios datos a tener en cuenta y dudar sobre la veracidad del perfil.
- Reportar cualquier incidencia o sospecho de estafa a la propia app y, en segundo lugar, a las autoridades competentes si así fuese necesario.
Otro punto esencial, señala Hervé Lambert, Global Consumer Operations Manager de Panda Security,es “cambiar periódicamente las contraseñas de nuestras cuentas de dichas aplicaciones, más aún si uno ha sido víctima de un cibertimo, puesto que las apps tienen datos personales y bancarios guardados en su sistema”, finaliza.