Kaspersky descubre estafa de pagos falsos para engañar a cajeros
La pandemia jugó un papel importante en la adopción de pagos digitales en América Latina y este éxito ha llamado la atención de los delincuentes que están desarrollando mecanismos para realizar fraudes explotando los nuevos métodos de pago en tiempo real más populares de la región, como PIX (adoptado en Brasil), Yape y PLIN (Perú) y MercadoPago (ampliamente adoptado en Argentina y otras naciones). Una nueva investigación del equipo Kaspersky descubrió grupos en Telegram que vendían aplicaciones falsas para simular transferencias online y así, engañar a los cajeros y abandonar el establecimiento sin pagar. Las versiones de estas aplicaciones están disponibles principalmente en Brasil, Argentina y Perú.
Según el estudio de Kaspersky “El estado de uso y seguridad de los pagos digitales en América Latina”, un tercio de los latinoamericanos comenzó a utilizar servicios de billetera digital durante el período de aislamiento social. Los países que mostraron mayor adopción de esta tecnología fueron Guatemala (50%), Panamá (46%), Perú (41%), Costa Rica (37%), México (34%), Colombia (30%) y Argentina (21%). Brasil y Chile están al final de la lista con un 16% cada uno, pero también son los lugares donde la tecnología ya era más popular antes de la pandemia.
Los datos muestran cuán populares se han vuelto los métodos de pago, y esta fama no ha pasado desapercibida para los ciberdelincuentes. La investigación realizada por expertos de Kaspersky muestra cómo los estafadores utilizan aplicaciones falsas para salir de las tiendas sin pagar por los productos. En este nuevo esquema hay dos tipos de delincuentes: los que crean apps que simulan pagos y las personas que compran estos programas falsos para ir a las tiendas, realizar sus compras e intentar engañar al cajero.
«De la misma manera que las abejas se sienten atraídas por las flores, los delincuentes siempre buscan nuevas formas de ganar dinero sin trabajar. En este nuevo esquema que descubrimos, explotan los pagos digitales que ocurren de manera presencial, es decir, en tiendas y comercios. Hay dos técnicas que se utilizan en este fraude: además de la aplicación falsa que simula el pago, también existe la ingeniería social, que son técnicas para manipular una situación explotando errores humanos», explica Leandro Cuozzo, analista de seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.
El error en este caso es la confianza, e incluso un poco de ingenuidad por parte del cajero. El experto explica que la aplicación falsa se crea con el objetivo de parecerse a la aplicación legítima y simular el proceso paso a paso, pero no se realizan transacciones y la aplicación no está conectada a ningún sistema de pago. En este contexto, el defraudador debe elegir cuidadosamente a sus víctimas. «Lo ideal son los establecimientos comerciales que operan con sistemas de pago offline o desconectados de los sistemas de gestión. Otro punto importante es un lugar con muchos clientes, ya que una larga fila será una presión favorable para los delincuentes que intentan engañar al cajero con una transacción que no existe».
Así como hay dos tipos de delincuentes en este esquema, la monetización se produce de dos maneras. Cualquiera que utilice la aplicación gana directamente con los productos comprados sin pago. Los delincuentes que crean aplicaciones falsas ganan de dos maneras: vendiendo la aplicación mediante un modelo de suscripción y con apoyo para ayudar a los estafadores con técnicas de ingeniería social a llevar a cabo la estafa. En algunos casos, también se identificó que se cobraba un pago extra para acceder a nuevas funciones que aumentan la efectividad de la estafa.
«En una versión que analizamos, el estafador de la tienda puede enviar un SMS al dueño de la tienda con una confirmación falsa de que se ha realizado el pago. Para adquirir este servicio premium, se requirió el pago de 50 mensajes. En otra comunicación analizada durante la investigación, el delincuente dijo que el sistema de pagos atacado había llegado a Bolivia, y otros mercados que pronto serían cubiertos eran Colombia y Chile», comenta Cuozzo.
Para el analista de seguridad de Kaspersky, estas estafas están creciendo rápidamente debido a la masificación de los pagos digitales y la facilidad para manejar aplicaciones falsas. Para protegerse, Kaspersky advierte de la necesidad de formar a los empleados de los comercios de la región: «La persona que esté instalando la aplicación falsa tiene la intención de cometer fraude y probablemente desinstalará nuestro producto para poder utilizar el programa falso. Por lo tanto, la protección contra este esquema debe ocurrir dentro de la tienda», destaca Cuozzo.