Estamos en la era de la tecnología…Y la ciberdelincuencia. Esta vez hay nueva víctima y es el gigante de las billeteras virtuales: Payoneer. Al parecer este miércoles 17 de enero, miles de usuarios de la plataforma se percataron del hackeo masivo a cuentas de Payoneer. Te contamos todo lo que se sabe hasta el momento y cómo eludir estas estafas.

¿Cómo fue la estafa?

Al parecer, se habría tratado de una técnica de «smishing» que afectó a usuarios de Movistar, una empresa telefónica argentina. El término «smishing» es una combinación de «SMS» y «phishing«, este último un término ampliamente conocido que se refiere al engaño mediante correos electrónicos fraudulentos para obtener información sensible.

El smishing es una técnica de ciberdelito que involucra el envío de mensajes de texto (SMS) fraudulentos por parte de ciberdelincuentes. Estos mensajes están diseñados para parecer que provienen de una entidad legítima, como una red social, una institución financiera, o un servicio conocido. El objetivo es engañar al receptor para que realice acciones que puedan comprometer su seguridad, como descargar malware, compartir información personal o financiera, o incluso enviar dinero a los criminales.

«A mi me llegaron 2 mensajes del numero de Payoneer. Eran 2 links, uno que me decía que era para confirmar un pago de Booking y otro para confirmar un pago de otra cosa» – nos cuenta una potencial víctima que afortunadamente se dio cuenta del engaño y pudo evitarlo.

¿Quiénes fueron afectado/as?

Antes de que te agarre un ataque, debes saber que el hackeo masivo a cuentas de Payoneer habría ocurrido únicamente a cuentas de Argentina y de la línea de teléfono Movistar.

Aparentemente habrían vulnerado los 2FA por SMS, es decir, a todo aquel que tenía activado 2 factores de autenticación, siendo el segundo un mensaje de texto. Por mensaje llegaban los links de confirmación de Booking y otros, y al abrirlos los delincuentes podrían modificar la contraseña y vaciar toda la cuenta.

«Un gran numero de cuentas de Payoneer fueron hackeadas y vaciadas, provocando pérdidas significativas que oscilan desde la totalidad de sus ahorros hasta montos superiores a los 15,000 USD.» – declara un usuario de Reddit, @k1rimaru.

La gran pregunta ahora es, ¿Quién se hará cargo de este desastre?

Imagen informativa sobre lo que respondió Movistar acerca del hackeo masivo de Payoneer a través de sus SMS.

Tips para evitar caer en Phising/Smishing:

Ilustración visual sobre tips de Phising
  1. Verifica siempre el Remitente: Antes de hacer clic en cualquier enlace o responder correos inesperados, asegúrate de que el remitente sea legítimo. Si algo parece extraño, mejor pregunta.
  2. No te dejes engañar por Enlaces: Evita hacer clic en enlaces de correos sospechosos. Siempre es más seguro ingresar las direcciones manualmente o usar tus propios marcadores. Cosas típicas: “actualice su contraseña del banco”, “actualiza tu sesión del correo electrónico”.
  3. Mantén las Contraseñas Actualizadas: Cambia las contraseñas regularmente y usa algo que no sea fácil de adivinar. Evitar usar la misma contraseña para todo. Evitar tener documentos compartidos con contraseñas o compartir contraseñas en mensajes de Whatsapp/slack. Si es que por alguna razón lo tienen que hacer, no sean tan evidentes: Documento “Contraseñas redes sociales”, ni tampoco dejen tooodas las contraseñas en un solo doc, si se genera dentro del equipo alguna clave especial mejor. (Para formar la clave tienes que fusionar el texto en el doc + titulo del doc, claramente esto no se escribe)
  4. ¡Avisen si algo parece raro! Si recibes un correo extraño o algo te hace dudar, no dudes en publicarlo. Seguramente le llegará a otros.
  5. Fomenta una Cultura de Ciberseguridad: Mantente informado y actualizado sobre las últimas tendencias y métodos de ataques de phishing y smishing. Comparte este conocimiento con tu entorno para crear una cultura de precaución y seguridad en línea.

Finalmente, Payoneer tomó medidas y también te da #tips para evitar caer en phishing: