centenares de afectados
Inédito hackeo a cuentas en dólares: denuncian estafas a través de una app
Una vulnerabilidad de seguridad en el acceso a la cuenta permitió el robo de ahorros de una plataforma.
Una falla de seguridad, códigos enviados por SMS y miles de cuentas en dólares vaciadas. Así se puede resumir un episodio que afectó a usuarios argentinos en Payoneer, una plataforma digital para gestionar pagos y cobros, que vieron que sus ahorros habían desaparecido tras un hackeo online.
El caso tuvo rápida exposición en redes sociales y plataformas como Reddit, donde cientos de damnificados compartieron su experiencia y advirtieron a usuarios por esta falla, que implicó la desaparición de ahorros de sus cuentas. Si bien no hay cifras oficiales, hay quienes reclaman por la pérdida de cientos y hasta miles de dólares.
En la Argentina, Payoneer es una de las billeteras digitales que crecieron en popularidad entre trabajadores remotos, freelancers, propietarios de viviendas en alquiler para turistas y profesionales que brindan servicios para el exterior (diseñadores, programadores, etcétera), porque permite facturar por estas tareas en dólares o euros, evitando las restricciones que impone el cepo cambiario y sin la obligación de pesificar esos cobros al tipo de cambio oficial.
Si bien no se conoce cuál fue el origen del ataque, usuarios en las redes indicaron que habían recibido notificaciones engañosas en sus teléfonos a través de SMS, luego de que hackers violaran el ingreso a las cuentas y concretaran transferencias hacia otros destinos.
“Tenemos conocimiento de casos recientes en los que los estafadores engañaron a los clientes para que hicieran clic en enlaces a sitios de phishing y facilitaran las credenciales de sus cuentas. Por desgracia, algunos clientes hicieron clic en estos enlaces falsos y compartieron los datos de acceso a sus cuentas con los estafadores”, reconoció Payoneer en un comunicado. “Además, estamos al tanto de nuevas modalidades de fraude que comprometen los teléfonos móviles y que también podrían haber afectado a algunos de nuestros clientes”, agregó la empresa.
Según detallan informes en las redes sociales, los casos se vincularon únicamente con usuarios de Payoneer que utilizan a Movistar como proveedor de telefonía móvil.
El caso motivó un comunicado de la telefónica española, luego de que usuarios de su red móvil reclamaran por la recepción de SMS. “Movistar tomó conocimiento por publicaciones en redes sociales que clientes de la compañía que poseen cuentas en la plataforma Payoneer habrían sido estafados a través de la recepción de SMS que, mediante maniobras de smishing, capturaron sus credenciales de la mencionada plataforma”, sostiene el documento emitido por la firma, que se difundió en redes sociales.
En ese contexto, Movistar enfatizó que no es responsable de los mensajes (ni de su contenido) que terceros cursen utilizando su red. “No obstante lo anterior, hemos tomado medidas preventivas con aquellos números desde los cuales algunos clientes han reportado haber recibido dichas comunicaciones”, completa el comunicado.
La mecánica de la estafa
Usuarios en redes sociales adjudicaron el proceso de estafa a un caso de smishing vinculado al proceso de autenticación de dos pasos (2FA), que en el caso de Payoneer se realiza mediante SMS. En ese proceso, los usuarios deben, para ingresar a su cuenta, ingresar la contraseña habitual y un código de seis dígitos que reciben a través de un mensaje de SMS.
La plataforma permite también el cambio de contraseña de las cuentas solo con ingresar el código que llega a través del mensaje SMS. Y, según advierten los usuarios, hubo una vulnerabilidad de seguridad en estos envíos, gestionados por un operador tercerizado, que permitió a hackers ingresar a cuentas de Payoneer de forma fraudulenta y realizar envíos desde estas cuentas hacia otros destinos, en una estafa de miles de dólares y cientos de usuarios afectados.
“Las cuentas que utilizan 2FA vía SMS contra Movistar utilizan un proveedor de SMS para el envío y ese es el posible punto de falla”, comentó en su cuenta de X/Twitter Julio Ernesto López, especialista en temas de tecnología y estafas digitales.
“Estas empresas contratan y se soportan en distintos operadores de última milla para integrar el 2FA a la red móvil para el envío de SMS. Este tipo de operadores de SMS locales tienen como objetivo bajar el costo del envío del mensaje, poniendo acá el punto débil del stack de seguridad y ahora principal sospechoso”, completó el analista.
Con información de La Nación
Primera: 9 de Julio se aseguró la clasificación a cuartos de final
EL FMI prepara una visita a la Argentina para avanzar en la revisión del acuerdo
Boca sufrió una dura derrota ante Fortaleza y quedó lejos del primer puesto
Video: así actuaba el delincuente detenido con un inhibidor de alarma
Cómo impactaría en los plazos fijos la baja de la tasa de interés
viajaban hacia olavarríaMatrimonio se accidentó en la Ruta 51: el conductor murió en el hospital
avanza la investigaciónMuerte absurda: aseguran que el camillero no tenía experiencia
usaba un handieUn detenido por un robo con inhibidor de alarma
en chiclana e israelHospitalizan a una motociclista que chocó contra una combi
amplio operativoInfraccionan a 21 cazadores ilegales en un campo de Coronel Pringles
pelea de tránsitoAllanaron la casa de Alfa de “Gran Hermano” y estuvo detenido
MIRÁ EL VIDEOLa esposa de Lautaro Martínez vivió un repugnante momento en Italia
CONSECUENCIA DIRECTACómo impactaría en los plazos fijos la baja de la tasa de interés