El mercado de aplicaciones móviles disponibles es uno de los más vigilados por los cibercriminales, ¿el principal motivo? la cantidad de datos e información del usuario que acumulan. Uno de los más destacados en actividad en estos días en España es el de compraventa de productos.
Empresas como Wallapop, Vinted o eBay reciben millones de visitas en estos días tanto para comprar regalos como para vender aquellos regalos que Papa Noel o los Reyes Magos no han acertado y son imposibles o complicados de cambiar.
La gran cantidad de datos y el mayor número de movimientos en estas fechas convierten a las aplicaciones en un objetivo jugoso para los ciberdelincuentes. "Puede reportar tanto una gran cantidad de datos como beneficios económicos", explican desde el proveedor de ciberseguridad Check Point.
Datos en riesgo
La compraventa de datos está en el día a día en la Dark Web. No todos los datos valen igual para los ciberdelincuentes, pero precisamente los que afectan a las aplicaciones mencionadas se encuentran entre los más preciados por la alta rentabilidad.
"Es la mezcla de datos personales y la posibilidad de obtener beneficios económicos. En primer lugar, al tratarse de un servicio de compraventa de productos, evidentemente uno de los riesgos más destacados son las potenciales pérdidas económicas que las víctimas puedan sufrir como consecuencia de que un cibercriminal tome el control de su cuenta y realice compras en su nombre. Para ello, los cibercriminales pueden intentar hackear la cuenta de un usuario para tener acceso a la cuenta de PayPal o datos bancarios de la víctima", explica Eusebio Nieva, director técnico de Check Point para España y Portugal.
hacker
El gancho habitualmente suele ser realizar las transacciones fuera de la aplicación para evitar pagar comisiones u otro tipo de excusa. Estos días la hemos podido ver con Amazon, donde un supuesto vendedor pedía realizar una transferencia fuera de la palataforma. Algo que nunca va a pasar legalmente.
Además, hace unos meses el INCIBE (Instituto Nacional de Ciberseguridad), alertaba de un fraude en Wallapop por medio del cual un cibercriminal iniciaba una conversación con otro usuario para luego redirigir la comunicación hacia el correo electrónico, con lo que trata de engañar al vendedor para recibir dinero a través de tarjetas prepago, u obtener sus credenciales bancarias mediante un phishing realizado a DHL.
Este traslado de la conversación al correo electrónico tiene un objetivo claro: poder obtener una gran cantidad de datos personales sensibles como nombre completo, número de cuenta bancaria, dirección postal, etc.
"Conseguir que la compraventa del producto se produzca fuera de la aplicación es un paso clave para que el cibercriminal pueda obtener su tesoro, puesto que de esta forma son capaces de burlar las medidas de seguridad con las que cuentan estas aplicaciones, centradas fundamentalmente en la detección de actividades maliciosas y operaciones fraudulentas", detalla Eusebio Nieva.
Phishing, objetivo final
La pregunta es obligada, ¿para qué quieren esos datos si se supone que las entidades bancarias tienen protocolos de seguridad para evitar que otros usuarios puedan disponer de nuestros fondos? la respuesta es simple: el phishing.
A través de la ingenería social el ciberdelincuente se hace pasar por alguien a quien la víctima podría conocer (desde un compañero de trabajo, una empresa con la que opera habitualmente o su compañía de teléfono) para así engañarle y efectuar un cobro o transferencia que parezca legítimo.
"El phishing (suplantación de identidad) es una de las amenazas con mayor tasa de éxito, por lo que animan a todos los usuarios a extremar las precauciones cuando reciban algún tipo de comunicación de un emisor desconocido, incluso aunque hayan estado conversando a través de la aplicación de compraventa", detalla Check Point.