La web de PayPal, con 361 millones de usuarios registrados que realizan alrededor de 40 transacciones por cuenta activa al año, es uno de los proveedores de pagos en línea más grandes a nivel global. Compañías como Microsoft, Google Play, PlayStation Store e Ikea, están entre los vendedores que ofrecen pago online a través de esta red de transacciones. En este contexto, sus usuarios suelen ser apuntados por cibercriminales y estafadores que buscan obtener dinero fácil, es por esto que ESET, compañía líder en detección proactiva de amenazas, analizó las estafas más comunes contra los usuarios de PayPal y comparte buenas prácticas al utilizar la plataforma de pagos.
Las formas de engaño más frecuentes
PayPal está entre las marcas más utilizadas por actores delincuenciales cuando se trata de ataques de phishing. Según investigadores de ESET, es común ver que cibercriminales utilizan esta táctica y crean sitios falsos que se hacen pasar por PayPal. Por ejemplo, los atacantes envían un correo de spam en el cual alertan a la potencial víctima sobre una actividad inusual en su cuenta, instándolos a asegurarla de forma urgente. Este tipo de correos suelen incluir un enlace embebido que redirige a la potencial víctima a un sitio falso de PayPal.
Pues, además de intentar engañar a las víctimas para que entren al sitio falso con sus credenciales, los cibercriminales también pueden intentar persuadir a los usuarios para que revelen datos personales como nombres completos, direcciones, datos de tarjetas de crédito y débito o incluso acceso a las credenciales de las cuentas bancarias de las víctimas. Desde ESET advierten que esta combinación de información puede llevar al robo de identidad, fraude bancario, compras fraudulentas o a cuentas de banco vacías.
Por otro lado, se observaron engaños donde los ciberdelincuentes emitían facturas falsas que simulaban ser parte de una campaña de caridad. Estas campañas presentaban un giro extra poco común: la notificación que recibía la potencial víctima provenía de la web PayPal y la factura aparecía en el panel de dicha cuenta de la víctima. La compañía comenzó a resolver el problema y eliminó las facturas reportadas como fraudulentas.
También existen otras estrategias que son habituales, como las estafas de los supuestos ganadores de premios y las formas de fraude más avanzadas, como por ejemplo:
• En el caso de las estafas de las supuestas premiaciones, las víctimas son notificadas de que han ganado algo y que para recibir ese premio tienen que pagar una especie de transacción. Sin embargo, dado que no participaron en ningún sorteo o concurso es imposible que hayan ganado algo, por lo que la única persona que se beneficiaría de un premio sería el estafador.
• Las estafas avanzadas son similares al primer caso, sólo que, en lugar de ganar un premio, la víctima es supuestamente la beneficiaria de la herencia de un pariente lejano o de un empresario poderoso que busca redención. Este tipo de estafas son comúnmente conocidas como la estafa del príncipe nigeriano o estafa 419 y buscan que la víctima pague supuestos impuestos legales, sobornos y demás para poder recibir una herencia que obviamente no existe.
¿Qué aconseja ESET para mantenerse protegido?
• Lo más sencillo es no realizar actividades en la plataforma mientras se esté conectado a una red de Wi-Fi pública o a una red en la que no se confía 100% de su procedencia. Los cibercriminales suelen utilizar redes públicas inseguras para infiltrarse en dispositivos y atacar datos en tránsito.
• Contar con una buena contraseña, o una frase como contraseña, ya que será la primera línea de defensa para protegerse de potenciales ataques . En este sentido, hay algunos errores comunes a evitar, como reciclar contraseñas o almacenarlas en texto plano. En caso de crear una contraseña fuerte de cero, un administrador de contraseñas puede serle útil en este caso.
• Contar con una capa extra de seguridad habilitando un doble factor de autentificación (2FA) de los que PayPal ofrece al usuario. Puede ser la clave de seguridad de PayPal, una autentificación vía mensaje de texto utilizando un PIN de único uso que genera un código único para cada inicio de sesión, o es posible conectar la cuenta con una aplicación de doble factor de autentificación a instalar en el dispositivo.
• Si se utiliza PayPal desde el smartphone, es posible incrementar la seguridad al bloquear la app utilizando un código de 4 a 8 dígitos o incluso añadiendo un candado biométrico como puede ser la huella digital.
• Por último, pero no menos importante, contar solución de seguridad multifunción instalada en el dispositivo que pueda proteger el aparato contra la mayoría de los ataques externos en línea. Algunos productos pueden incluso proteger las aplicaciones bancarias y de pagos proporcionando una capa extra de seguridad mientras se realizan las operaciones.
Camilo Gutiérrez Amaya, Jefe del Laboratorio de ESET Latinoamérica concluyó con este mensaje: “PayPal sigue siendo una de las opciones más seguras para realizar transacciones financieras. Sin embargo, al igual que con cualquier plataforma que maneja operaciones financieras, los usuarios deben permanecer más atentos para evitar caer en algunas de las varias trampas que los estafadores pueden establecer para engañarlos y sacarles el dinero que tanto les costó obtener. La implementación de las prácticas de seguridad adecuadas y el uso de las herramientas de seguridad disponibles pueden contribuir en gran medida a proteger a los usuarios de diversas estafas y contratiempos”.
Simón Sánchez
www.diariorepublica.com Vía Nota de Prensa/Diario República