A la fecha, tanto Yape como Plin se han convertido en los servicios de pagos instantáneos más utilizados en Perú y son millones sus usuarios activos. Debido a la considerable cantidad de dinero que circula en los aplicativos móviles, era de esperar que ciberdelincuentes no escatimen esfuerzos en diseñar métodos de estafa que les permitan aprovechar las características de las plataformas para cometer fraudes. ¿Qué se sabe de las apps falsas que existen? Te contamos cómo podrás protegerte.
Para atender las denuncias de usuarios en Perú que alertan sobre la presencia de aplicaciones fraudulentas que simulan ser Yape y Plin y permiten engañar con falsas transferencias, asistimos al Cyber Security Week 2024 de Kaspersky que tuvo sede en Colombia. Conversamos con Leandro Cuozzo, investigador de seguridad y nos explicó detalles del modus operandi de los ciberdelincuentes y cómo puedes evitar ser una víctima más.
¿Cómo detectar estas apps falsas de Yape y Plin?
-En Perú, Yape y Plin son las principales apps dedicadas al pago instantáneo desde el celular. Son muchos quienes reciben pagos de esa forma y ahora se sabe sobre aplicaciones falsas que replican a estos servicios para simular pagos. ¿Cómo protegerse en estos casos? ¿Qué hacer para evitar caer en estas estafas?
Como principal medida, como son estafas que trabajan con ingeniería social, distintas técnicas que tratan de manipularte, debes desconfiar del tercero que realiza el pago. Desde su dispositivo o celular puede mostrarte lo que sea, pero tiene cero validez, lo que importa es que la transacción se registre en tu sistema o tu móvil y seas capaz de verificarlo como parte de una doble comprobación. Para no caer en estafas, debes ser muy paciente, hacer los chequeos correspondientes y pensar en frío. Las personas que cometen estos fraudes tratan de apurarte o aprovecharse de alguna urgencia, como por ejemplo ir a tu negocio en los horarios que hay alta demanda para que no tengas tiempo de revisar.
Buscan convencerte de que todo fue legítimo. Si sigues los pasos previos y todo está en orden, ya podrás entregar los productos o servicios que ofreces.
-¿Cómo logran estas apps falsas acceder a datos verídicos de los usuarios y así simular una venta con más precisión?
Estos estafadores buscan hacer que las apps falsas luzcan cada vez más reales, con todas las animaciones, con todos los botones y por el lado de tratar de obtener la mayor cantidad de datos verídicos de los usuarios con los que interactúan. Por ejemplo, Yape tiene APIs públicas a los que cibercriminales pueden acceder a hacer las consultas y por ese lado tener información más precisa de los comerciantes. Por lo general, estos sistemas de pago tienen protocolos abiertos para hacer chequeos o pruebas de distintas aplicaciones y más si son transversales con otros servicios. Tienes muchos desarrolladores que desarrollan su software de transacciones empleando el sistema de pago inmediato. Los delincuentes aprovechan esta ‘ventaja’ para obtener registros que hagan la estafa más realista.
Además, en el caso de Perú, lograron realizar una pre-ingeniería para los ataques que consisten en ir a los negocios y hacer averiguaciones previas para obtener los datos que luego servirán para la estafa. Así no necesitan tener acceso a los sistemas oficiales, ya que llevan a cabo una labor de inteligencia y cargan la información en su base de datos y que otros de sus usuarios pueden utilizar. Los delincuentes tienen tanto rédito económico de esos aplicativos, que cada vez tendrán mayores recursos para elaborar interfaces más complejas.
Telegram, el espacio para compartir apps falsas de Yape y Plin
-¿Cómo circulan estas aplicaciones falsas para que lleguen a celulares de personas que buscan estafar?
Una de las plataformas más utilizadas es Telegram, a través de grupos que son abiertos y que puedes encontrar desde el buscador. Vas a ver un grupo de criminales que ofrecen el software a precios cómodos del mercado, haces la transferencia y obtendrás la aplicación. Es bastante sencillo y precisamente ese fácil acceso es uno de los problemas, cualquiera puede manipularlo si tiene acceso a internet. Por eso es que proliferaron tanto este tipo de servicios y están de moda.