Las apps de compraventa, en el punto de mira de la ciberdelincuencia

Recomendados:  2021, ¿el año de la ciberdefensa? Webinar Por qué adoptar una infraestructura inteligente en la atención médica Leer

Este tipo de aplicaciones son cada vez más utilizadas y ofrecen un cóctel muy jugoso para los cibercriminales, al combinar la posibilidad de obtener datos personales y beneficios económicos.

Como explica el especialista en ciberseguridad, en primer lugar, al tratarse de un servicio de compraventa de productos, uno de los riesgos más destacados son las potenciales pérdidas económicas que las víctimas puedan sufrir como consecuencia de que un cibercriminal tome el control de su cuenta y realice compras en su nombre. Para ello, los cibercriminales pueden intentar hackear la cuenta de un usuario para tener acceso a la cuenta de PayPal o datos bancarios de la víctima.

Sin embargo, y utilizando como gancho la propuesta de realizar las transacciones fuera de la aplicación para evitar pagar comisiones, es común ver cómo muchas de las conversaciones se trasladen al correo electrónico. El objetivo de los cibercriminales es muy claro: poder obtener una gran cantidad de datos personales sensibles como nombre completo, número de cuenta bancaria, dirección postal, etc. “Conseguir que la compraventa del producto se produzca fuera de la aplicación es un paso clave para que el cibercriminal pueda obtener su tesoro, puesto que de esta forma son capaces de burlar las medidas de seguridad con las que cuentan estas aplicaciones, centradas fundamentalmente en la detección de actividades maliciosas y operaciones fraudulentas”, detalla Eusebio Nieva, director técnico de Check Point para España y Portugal.

Una vez se establece la conexión vía email, el cibercriminal pone en marcha su estrategia, que consiste básicamente en un ataque de phishing suplantando la identidad de algún servicio de mensajería. Para ello, el cibercriminal pide a la víctima los datos personales y su dirección haciéndole creer que un mensajero irá a recoger el producto (una práctica que ha ganado impulso debido a la crisis del coronavirus), además de informarle de que realizará una transferencia como método de pago. Tras esto, el atacante comparte un enlace que parece ser inofensivo, pero que en realidad lleva a un sitio web malicioso que suplanta la identidad de servicios de mensajería o pasarelas de pago, donde el usuario debe introducir sus datos (tanto personales como bancarios) para que se efectúe la transacción. Una vez obtiene toda esta información, el cibercriminal tiene a su disposición las credenciales de la víctima para poder obtener rédito económico realizando compras en su nombre o incluso vendiéndolos en el mercado negro.

El phishing (suplantación de identidad) es una de las amenazas con mayor tasa de éxito, por lo que la firma de seguridad insta a los usuarios a extremar las precauciones cuando reciban algún tipo de comunicación de un emisor desconocido, incluso aunque hayan estado conversando a través de la aplicación de compraventa.

Asimismo, para evitar ser víctimas de este tiempo de ataques, se deben emplear herramientas de seguridad (sobre todo para dispositivos móviles, ya que estas aplicaciones se usan fundamentalmente a través de estos dispositivos) que impidan el acceso a sitios web maliciosos.