Una de las últimas tendencias en la búsqueda de víctimas novatas son las estafas en Wallapop, la más que popular aplicación de compraventa. Los estafadores actualmente —y según ha descubierto Panda Security— se están dirigiendo a los recién llegados que aún no están familiarizados con la plataforma y sus procedimientos.

En esta estrategia, los ciberdelincuentes aprovechan cualquier indicio de inexperiencia por parte de los usuarios para obtener sus datos personales y bancarios. Un ejemplo impactante —y ficticio— que cuentan desde Panda Security es el de una estudiante de 16 años que, buscando costear sus vacaciones, decidió vender algunos muebles a través de Wallapop. 

Sin embargo, incluso con precauciones, esta fue contactada por un usuario, quien, a priori, parecía ser amable y no mostraba ningún signo de sospecha. Lo llamativo —aunque solo en un principio— fue que este mantuvo la conversación dentro de la aplicación, siguiendo las pautas de seguridad recomendadas. 

El problema es que el comprador alegó que la usuaria no había registrado su correo electrónico correctamente en la aplicación y, por lo tanto, no podía realizar el pago. Aquí es cuando le pidió el correo electrónico, y ella, confiada, se lo dio.

La estrategia más efectiva para responder a un incidente de ciberseguridad: "El tiempo corre contra el defensor"

Wallapop se convierte en el lugar perfecto para estafar a usuarios novatos

Lo que siguió fue una elaborada estafa de phishing. La usuaria ficticia recibió un correo electrónico que aparentaba ser de Wallapop, informándole que su artículo había sido reservado con éxito y solicitándole que confirmara el pedido haciendo clic en un enlace. 

Este enlace la llevó a un sitio web que se era casi al 100% igual al sitio legítimo de Wallapop, pero en realidad, era una trampa. Se le pidió que ingresara información personal, incluido su correo electrónico y su contraseña, así como los detalles de su tarjeta de crédito, que incluían el número completo, la fecha de vencimiento y el código CVV.

Este no es un incidente aislado. Wallapop, como muchas plataformas en línea, atrae a ciberdelincuentes que buscan sacar provecho de la ingenuidad de los usuarios novatos.

"El phishing está tan bien perpetrado que es realmente difícil advertir que el remitente realmente no es un mensaje automático de la aplicación, pese a que este tipo de apps nunca hace este tipo de comunicaciones", apunta Hervé Lambert, Global Consumer Operations Manager de Panda Security. 

Protégete en Internet: guía de ciberseguridad para una navegación segura

El proceso de estafa en este caso, que involucra ingeniería social, es relativamente sencillo pero efectivo. Los estafadores identifican a usuarios nuevos o poco experimentados y los persuaden para que revelen información personal y financiera.

Como siempre, seas nuevo o no en una plataforma, los usuarios deben ser siempre escépticos ante cualquier solicitud de datos personales o bancarios, especialmente fuera de las aplicaciones o sitios web oficiales. 

Además, es esencial recordar que la mayoría de las transacciones en Wallapop y aplicaciones similares se realizan dentro de la plataforma, sin necesidad de proporcionar información confidencial.

“El dato de no salirse de la aplicación es importante, porque la madre de la usuaria le había indicado previamente lo arriesgado que es salirse de la app para comunicarse con desconocidos, pues es ahí donde suelen llevarse a cabo muchos de los timos y extorsiones”, enfatiza Hervé Lambert.