Estafa online: simulan ser Mercado Pago y roban información de tarjetas

Ciberdelincuentes detrás de una nueva campaña de phishing (como se llama a las estafas con suplantación de identidad) se hacen pasar por Mercado Pago y engañan a los usuarios para robarles información de sus tarjetas de crédito o de débito asociadas a la plataforma de pagos online, advirtió este miércoles un laboratorio de ciberseguridad.

 

El truco comienza con la llegada de un correo electrónico en el que, con carácter urgente, se le notifica a la víctima que su cuenta en Mercado Pago fue suspendida, describe un artículo publicado por la firma eslovaca ESET, que si bien no menciona el nombre de la plataforma online, ésta se desprende de las capturas de pantalla de los mails.

 

El correo utiliza la imagen (el isologotipo) de la marca pero, si se observa la dirección del mail del remitente, puede corroborarse que se trata de un correo falso dado que el dominio utilizado es diferente al legítimo. Además, el correo no está dirigido con nombre y apellido al usuario de Mercado Pago, sino que replica en el asunto la dirección de correo del destinatario.

 

Pese a este detalle, esta estafa es viable porque "casi la mitad de los internautas sigue sin saber exactamente qué es el phishing, lo que los deja expuestos a ser víctimas de este tipo de engaños", analizó el investigador que firma el artículo, Luis Lubeck.

 

Si la víctima interpreta que el correo es legítimo y cliquea el enlace, se le redirecciona a un sitio cuya estética es una copia de Mercado Pago, en el que le solicitan el ingreso de usuario y contraseña. "Hasta ese momento los datos no tienen ningún tipo de validación en línea por parte del servidor, hasta el siguiente paso donde se solicita ingresar todos los datos personales, incluyendo la información completa de la tarjeta de crédito o débito asociada al servicio de pagos online", describe.

 

Una vez ingresados los datos, los ciberdelicuentes buscan obtener las imágenes de los documentos y tarjetas de las víctimas, y el ciclo finaliza con el aviso de "identidad confirmada". Una vez que ingresa todos los datos la víctima es redirigida al sitio oficial de Mercado Pago, en donde podrá ingresar a su cuenta sin problemas, quizás con la idea de que logró reactivar su cuenta tras la notificación de suspensión. Pero para ese entonces, los ciberdelincuentes ya obtuvieron sus datos personales y financieros.

 

"Es cada vez más importante prestar atención a los sitios a los cuales ingresamos, contar con una solución de seguridad confiable tanto en nuestros dispositivos de escritorio como en nuestros teléfonos y tener presente que, ante la duda, no debemos acceder nunca a los enlaces que llegan a través de un mensaje, sino que lo mejor es ingresar manualmente y de esa manera verificar que todo esté en orden", recomendó Lubeck. (Télam)