Wallapop y las apps de compraventa, objetivo de cibercriminales

El mercado de aplicaciones móviles disponibles en la actualidad abarca cualquier tipo de necesidad o nicho de mercado. Uno de los más destacados es el de compraventa de productos (ropa, vehículos, etc.) donde empresas como Wallapop, Vinted, etc. cuentan ya con millones de usuarios en España. Este hecho las convierte en uno de los principales objetivos de los cibercriminales, ya que puede reportar tanto una gran cantidad de datos como beneficios económicos.

En este sentido, Check Point alerta de los principales ciberriesgos asociados a este tipo de servicios. “Cada vez son más las personas que se animan a comprar o vender productos de distinta índole a través de aplicaciones móviles. Para ello, es necesario descargar la aplicación y al dar de alta el perfil, introducir una serie de datos personales e incluso permitir que la aplicación tenga acceso a información del dispositivo, como puede ser localización a través del GPS o fotografías almacenadasen el smartphone”, advierte Eusebio Nieva, director técnico de Check Point para España y Portugal.

“Por este motivo, es fundamental que los usuarios extremen las precauciones, puesto que los cibercriminales lanzan cada vez más ataques para aprovechar cualquier fallo de seguridad o vulnerabilidad para robar todo tipo de datos personales a las potenciales víctimas”, añade Nieva.

De hecho, hace apenas unos meses el INCIBE (Instituto Nacional de Ciberseguridad), alertaba de un fraude en Wallapop por medio del cual un cibercriminal iniciaba una conversación con otro usuario para luego redirigir la comunicación hacia el correo electrónico, con lo que trata de engañar al vendedor para recibir dinero a través de tarjetas prepago, u obtener sus credenciales bancarias mediante un phishing realizado a DHL.

Hace apenas unos meses el INCIBE (Instituto Nacional de Ciberseguridad), alertaba de un fraude en Wallapop

Este tipo de aplicaciones ofrece un cóctel muy jugoso para los cibercriminales, como es la mezcla de datos personales y la posibilidad de obtener beneficios económicos. En primer lugar, al tratarse de un servicio de compraventa de productos, evidentemente uno de los riesgos más destacados son las potenciales pérdidas económicas que las víctimas puedan sufrir como consecuencia de que un cibercriminal tome el control de su cuenta y realice compras en su nombre. Para ello, los cibercriminales pueden intentar hackear la cuenta de un usuario para tener acceso a la cuenta de PayPal o datos bancarios de la víctima.

Sin embargo, y utilizando como gancho la propuesta de realizar las transacciones fuera de la aplicación para evitar pagar comisiones, es común ver cómo muchas de las conversaciones se trasladen al correo electrónico. El objetivo de los cibercriminales es muy claro: poder obtener una gran cantidad de datos personales sensibles como nombre completo, número de cuenta bancaria, dirección postal, etc.

“Conseguir que la compraventa del producto se produzca fuera de la aplicación es un paso clave para que el cibercriminal pueda obtener su tesoro, puesto que de esta forma son capaces de burlar las medidas de seguridad con las que cuentan estas aplicaciones, centradas fundamentalmente en la detección de actividades maliciosas y operaciones fraudulentas”, detalla Eusebio Nieva.

Una vez se establece la conexión vía email, el cibercriminal pone en marcha su estrategia, que consiste básicamente en un ataque de phishing suplantando la identidad de algún servicio de mensajería. Para ello, el cibercriminal pide a la víctima los datos personales y su dirección haciéndole creer que un mensajero irá a recoger el producto (una práctica que ha ganado impulso debido a la crisis del coronavirus), además de informarle de que realizará una transferencia como método de pago.

Tras esto, el atacante comparte un enlace que parece ser inofensivo, pero que en realidad lleva a un sitio web malicioso que suplanta la identidad de servicios de mensajería o pasarelas de pago, donde el usuario debe introducir sus datos (tanto personales como bancarios) para que se efectúe la transacción. Una vez obtiene toda esta información, el cibercriminal tiene a su disposición las credenciales de la víctima para poder obtener rédito económico realizando compras en su nombre o incluso vendiéndolos en el mercado negro.

Desde Check Point recuerdan que el phishing (suplantación de identidad) es una de las amenazas con mayor tasa de éxito, por lo que animan a todos los usuarios a extremar las precauciones cuando reciban algún tipo de comunicación de un emisor desconocido, incluso aunque hayan estado conversando a través de la aplicación de compraventa. Asimismo, para evitar convertirse en una nueva víctima del phishing, aconsejan utilizar herramientas de seguridad (sobre todo para dispositivos móviles, ya que estas aplicaciones se usan fundamentalmente a través de estos dispositivos) que impida el acceso a sitios web maliciosos.

Check Point, por su parte, cuenta con SandBlast Mobile, una solución contra amenazas móviles avanzadas con infraestructura On-device Network Protection. Al revisar y controlar todo el tráfico de red del dispositivo, SandBlast Mobile evita los ataques de phishing en todas las aplicaciones, correo electrónico, SMS, iMessage y aplicaciones de mensajería instantánea, evitando así el acceso a sitios web maliciosos o restringidos.