Comerciar con artículos de segunda mano se ha vuelto una actividad muy popular actualmente, ya que existen algunas plataformas que permiten hacerlo cómodamente desde casa. Una de estas aplicaciones de moda -bien conocida en Europa y Norteamérica- es Vinted, un conocido espacio para comprar y vender ropa de segunda mano, aunque también se pueden encontrar todo tipo de artículos. Los ciberdelincuentes y estafadores acuden a este tipo de sitios para perpetrar sus delitos, ya que son frecuentados por un amplio número de usuarios. Avast, líder mundial en seguridad y privacidad, advierte de una estafa de robo llevada a cabo en Vinted.
Estafas en las plataformas digitales
“Helena” es la víctima ficticia del ataque, una joven que recurre asiduamente a Internet. Lleva años haciendo todas sus operaciones bancarias online, compra habitualmente en muchas tiendas online diferentes, desde Shein o Aliexpress hasta Amazon o Zara, y también está familiarizada con las plataformas de artículos de segunda mano, donde compra y vende con regularidad. Tenía un par de artículos que no se vendían en otra plataforma y decidió probar Vinted el fin de semana pasado. Se la habían recomendado unos amigos que la utilizaban desde hacía tiempo, y le habían comentado que, con la app, Helena podría llegar a un nuevo público que podría estar interesado en el par de artículos de los que quiere deshacerse: un cuadro y unos zapatos de mujer.
Vinted atacada
Creó su cuenta en Vinted y subió los dos artículos. Se quedó realmente sorprendida y emocionada cuando en cuestión de segundos recibió un par de mensajes de dos personas diferentes que estaban interesadas en uno de los artículos cada una. La primera persona le envió a través de Vinted una captura de pantalla en la que mostraba cómo había pagado el artículo y en la que le pedía el número de teléfono del vendedor. Al mismo tiempo, el segundo comprador le pedía también su número de teléfono para proceder a la transacción tras el pago.
Previamente, Helena nunca había sido víctima de ninguna estafa, de hecho, había sido capaz de reconocer mensajes de phishing. Sin embargo, esta vez la emoción y las prisas (ocuparse de las dos ventas al mismo tiempo) traicionaron su sentido de detección de estafas. Y envió su número de teléfono.
Pocos instantes después recibió dos SMS diferentes, del mismo remitente (Vinted) y el mismo texto, la única diferencia eran los últimos caracteres de la URL:
Recibir el pago y completar la venta https://sms2waw.win/XxxXxx
Al hacer clic, Helena fue redirigida a una pasarela de pago, con el logotipo de Vinted en la parte superior, que le indicaba que tenía que rellenar los datos de su tarjeta de crédito para recibir el pago. Tras rellenar el formulario, aparecía un símbolo de carga y parecía que algo iba mal. Pensando que podría tratarse de un problema con su tarjeta de crédito, Helena introdujo los datos de otra.
Unos minutos más tarde recibió los siguientes mensajes de WhatsApp:
Ella responde que no ha recibido ninguna notificación. Minutos después recibe nuevos mensajes de WhatsApp de un número diferente:
Helena abrió la aplicación de su banco y, efectivamente, había una notificación que tenía que aprobar por un importe total de 299 euros. A continuación, recibió instrucciones adicionales a través de WhatsApp:
En ese momento Helena decidió ponerse en contacto con el equipo de Avast y envió capturas de pantalla de los distintos mensajes que había recibido. Se le informó de que no aceptara ningún pago y que bloqueara sus tarjetas de crédito de inmediato (una sencilla operación de 2 clics, mediante la aplicación de su banco). Denunció a los usuarios a Vinted, los números de teléfono a WhatsApp y canceló sus dos tarjetas de crédito. Afortunadamente, los estafadores no desviaron dinero de ninguna de ellas.
“El dinero es un gran motivador, y es lo que mueve a los ciberdelincuentes. Son mentirosos experimentados y saben bien cómo jugar con los sentimientos de los usuarios en el momento oportuno para hacernos tomar decisiones irracionales que en circunstancias normales nunca tomarían” advierte Luis Corrons, Security Evangelist de Avast.
