Después de que el pasado verano S2 Grupo avisara que habían aumentado los ciberriesgos en las aplicaciones de citas, ahora Check Point ha advertido que los ciberdelincuentes han puesto el foco en otro nicho de este mercado. Se trata de las aplicaciones de compraventa de productos, donde hay empresas tan populares como Wallapop o Vinted que ya cuentan con millones de usuarios en España.
Según alerta la compañía de ciberseguridad, estas apps se han convertido en uno de los principales objetivos de los ciberdelincuentes porque les puede reportar una gran cantidad de datos así como beneficios económicos.
"Cada vez son más las personas que se animan a comprar o vender productos de distinta índole a través de aplicaciones móviles. Para ello, es necesario descargar la aplicación y al dar de alta el perfil, introducir una serie de datos personales (nombre, teléfono, cuenta bancaria, etc.) e incluso permitir que la aplicación tenga acceso a información del dispositivo, como puede ser localización a través del GPS o fotografías almacenadas en el Smartphone", señala Eusebio Nieva, director técnico de Check Point para España y Portugal. Y agrega: "Por este motivo, es fundamental que los usuarios extremen las precauciones, puesto que los cibercriminales lanzan cada vez más ataques para aprovechar cualquier fallo de seguridad o vulnerabilidad para robar todo tipo de datos personales a las potenciales víctimas".
Tal y como recuerda Check Point, hace unos meses el Instituto Nacional de Ciberseguridad (INCIBE) alertó de un fraude que se estaba llevando a cabo en Wallapop. A través del mismo, el cibercriminal iniciaba una conversación con otro usuario para luego redirigir la comunicación hacia el correo electrónico, con lo que trata de engañar al vendedor para recibir dinero a través de tarjetas prepago, u obtener sus credenciales bancarias mediante un phishing realizado a DHL.
En busca de datos personales y de beneficios económicos
Check Point también explica que este tipo de aplicaciones son muy atractivas para los ciberdelincuentes al ofrecer la mezcla de datos personales y la posibilidad de obtener beneficios económicos.
Para obtener los datos personales, utilizan como gancho la propuesta de realizar las transacciones fuera de la aplicación para evitar pagar comisiones. “Conseguir que la compraventa del producto se produzca fuera de la aplicación es un paso clave para que el cibercriminal pueda obtener su tesoro, puesto que de esta forma son capaces de burlar las medidas de seguridad con las que cuentan estas aplicaciones, centradas fundamentalmente en la detección de actividades maliciosas y operaciones fraudulentas”, detalla Eusebio Nieva.
Una vez que la conversación se ha trasladado al correo electrónico, el ciberdelincuente pone en marcha su estrategia que, según indica Check Point, consiste en un ataque de phishing en el que suplanta la identidad de algún servicio de mensajería.
"Para ello, el cibercriminal pide a la víctima los datos personales y su dirección haciéndole creer que un mensajero irá a recoger el producto, además de informarle de que realizará una transferencia como método de pago. Tras esto, el atacante comparte un enlace que parece ser inofensivo, pero que en realidad lleva a un sitio web malicioso que suplanta la identidad de servicios de mensajería o pasarelas de pago, donde el usuario debe introducir sus datos (tanto personales como bancarios) para que se efectúe la transacción. Una vez obtiene toda esta información, el cibercriminal tiene a su disposición las credenciales de la víctima para poder obtener rédito económico realizando compras en su nombre o incluso vendiéndolos en el mercado negro", precisa.
Además, para obtener beneficios económicos, los ciberdelincuentes también pueden tratar de hackear la cuenta de los usuarios para tener acceso a sus datos bancarios.
El peligro del phishing y aconseja sobre cómo evitarlo
La compañía de ciberseguridad también ha recordado que el phishing (suplantación de identidad) es una de las amenazas con mayor tasa de éxito. Por ello, ha querido animar a todos los usuarios a extremar las precauciones cuando reciban algún tipo de comunicación de un emisor desconocido, incluso aunque hayan estado conversando a través de la aplicación de compraventa. Asimismo, para evitar convertirse en una nueva víctima del phishing, recomiendan utilizar herramientas de seguridad (sobre todo para dispositivos móviles, ya que estas aplicaciones se usan fundamentalmente a través de estos dispositivos) que impida el acceso a sitios web maliciosos.