Estafa en Payoneer: SMS, códigos de seguridad y un inédito hackeo a cuentas en dólares
Viernes 19 de
Enero 2024
Una vulnerabilidad de seguridad en el acceso a la cuenta permitió a delincuentes robar ahorros de la plataforma; estuvo afectada la red de Movistar, que se desligó del hecho
Una falla de seguridad, códigos enviados por SMS y miles de cuentas en dólares vaciadas. Así se puede resumir un episodio que afectó a usuarios argentinos en Payoneer, una plataforma digital para gestionar pagos y cobros, que vieron que sus ahorros habían desaparecido tras un hackeo online.
El caso tuvo rápida exposición en redes sociales y plataformas como Reddit, donde cientos de damnificados compartieron su experiencia y advirtieron a usuarios por esta falla, que implicó la desaparición de ahorros de sus cuentas. Si bien no hay cifras oficiales, hay quienes reclaman por la pérdida de cientos y hasta miles de dólares.
En la Argentina, Payoneer es una de las billeteras digitales que crecieron en popularidad entre trabajadores remotos, freelancers, propietarios de viviendas en alquiler para turistas y profesionales que brindan servicios para el exterior (diseñadores, programadores, etcétera), porque permite facturar por estas tareas en dólares o euros, evitando las restricciones que impone el cepo cambiario y sin la obligación de pesificar esos cobros al tipo de cambio oficial.
Si bien no se conoce cuál fue el origen del ataque, usuarios en las redes indicaron que habían recibido notificaciones engañosas en sus teléfonos a través de SMS, luego de que hackers violaran el ingreso a las cuentas y concretaran transferencias hacia otros destinos.
“Tenemos conocimiento de casos recientes en los que los estafadores engañaron a los clientes para que hicieran clic en enlaces a sitios de phishing y facilitaran las credenciales de sus cuentas. Por desgracia, algunos clientes hicieron clic en estos enlaces falsos y compartieron los datos de acceso a sus cuentas con los estafadores”, reconoció Payoneer, en un comunicado. “Además, estamos al tanto de nuevas modalidades de fraude que comprometen los teléfonos móviles y que también podrían haber afectado a algunos de nuestros clientes”, agregó la empresa.
Según detallan informes en las redes sociales, los casos se vincularon únicamente con usuarios de Payoneer que utilizan a Movistar como proveedor de telefonía móvil.
El caso motivó un comunicado de Movistar, de la española Telefónica, luego de que usuarios de su red móvil reclamaran por la recepción de SMS. “Movistar tomó conocimiento por publicaciones en redes sociales que clientes de la compañía que poseen cuentas en la plataforma Payoneer habrían sido estafados a través de la recepción de SMS que, mediante maniobras de smishing, capturaron sus credenciales de la mencionada plataforma”, sostiene el documento emitido por la firma, que se difundió en redes sociales.
En ese contexto, Movistar enfatizó que no es responsable de los mensajes (ni de su contenido) que terceros cursen utilizando su red. “No obstante lo anterior, hemos tomado medidas preventivas con aquellos números desde los cuales algunos clientes han reportado haber recibido dichas comunicaciones”, completa el comunicado.
Usuarios en redes sociales adjudicaron el proceso de estafa a un caso de smishing vinculado al proceso de autenticación de dos pasos (2FA), que en el caso de Payoneer se realiza mediante SMS. En ese proceso, los usuarios deben, para entrar a su cuenta, ingresar la contraseña habitual y un código de seis dígitos que reciben a través de un mensaje de SMS.
La plataforma permite también el cambio de contraseña de las cuentas solo con ingresar el código que llega a través del mensaje SMS. Y, según advierten los usuarios, hubo una vulnerabilidad de seguridad en estos envíos, gestionados por un operador tercerizado, que permitió a hackers ingresar a cuentas de Payoneer de forma fraudulenta y realizar envíos desde estas cuentas hacia otros destinos, en una estafa de miles de dólares y cientos de usuarios afectados.
“Las cuentas que utilizan 2FA vía SMS contra Movistar utilizan un proveedor de SMS para el envío y ese es el posible punto de falla”, comentó en su cuenta de X/Twitter Julio Ernesto López, especialista en temas de tecnología y estafas digitales.
“Estas empresas contratan y se soportan en distintos operadores de última milla para integrar el 2FA a la red móvil para el envío de SMS. Este tipo de operadores de SMS locales tienen como objetivo bajar el costo del envío del mensaje, poniendo acá el punto débil del stack de seguridad y ahora principal sospechoso”, completó el analista.
El caso tuvo rápida exposición en redes sociales y plataformas como Reddit, donde cientos de damnificados compartieron su experiencia y advirtieron a usuarios por esta falla, que implicó la desaparición de ahorros de sus cuentas. Si bien no hay cifras oficiales, hay quienes reclaman por la pérdida de cientos y hasta miles de dólares.
En la Argentina, Payoneer es una de las billeteras digitales que crecieron en popularidad entre trabajadores remotos, freelancers, propietarios de viviendas en alquiler para turistas y profesionales que brindan servicios para el exterior (diseñadores, programadores, etcétera), porque permite facturar por estas tareas en dólares o euros, evitando las restricciones que impone el cepo cambiario y sin la obligación de pesificar esos cobros al tipo de cambio oficial.
Si bien no se conoce cuál fue el origen del ataque, usuarios en las redes indicaron que habían recibido notificaciones engañosas en sus teléfonos a través de SMS, luego de que hackers violaran el ingreso a las cuentas y concretaran transferencias hacia otros destinos.
“Tenemos conocimiento de casos recientes en los que los estafadores engañaron a los clientes para que hicieran clic en enlaces a sitios de phishing y facilitaran las credenciales de sus cuentas. Por desgracia, algunos clientes hicieron clic en estos enlaces falsos y compartieron los datos de acceso a sus cuentas con los estafadores”, reconoció Payoneer, en un comunicado. “Además, estamos al tanto de nuevas modalidades de fraude que comprometen los teléfonos móviles y que también podrían haber afectado a algunos de nuestros clientes”, agregó la empresa.
Según detallan informes en las redes sociales, los casos se vincularon únicamente con usuarios de Payoneer que utilizan a Movistar como proveedor de telefonía móvil.
El caso motivó un comunicado de Movistar, de la española Telefónica, luego de que usuarios de su red móvil reclamaran por la recepción de SMS. “Movistar tomó conocimiento por publicaciones en redes sociales que clientes de la compañía que poseen cuentas en la plataforma Payoneer habrían sido estafados a través de la recepción de SMS que, mediante maniobras de smishing, capturaron sus credenciales de la mencionada plataforma”, sostiene el documento emitido por la firma, que se difundió en redes sociales.
En ese contexto, Movistar enfatizó que no es responsable de los mensajes (ni de su contenido) que terceros cursen utilizando su red. “No obstante lo anterior, hemos tomado medidas preventivas con aquellos números desde los cuales algunos clientes han reportado haber recibido dichas comunicaciones”, completa el comunicado.
Usuarios en redes sociales adjudicaron el proceso de estafa a un caso de smishing vinculado al proceso de autenticación de dos pasos (2FA), que en el caso de Payoneer se realiza mediante SMS. En ese proceso, los usuarios deben, para entrar a su cuenta, ingresar la contraseña habitual y un código de seis dígitos que reciben a través de un mensaje de SMS.
La plataforma permite también el cambio de contraseña de las cuentas solo con ingresar el código que llega a través del mensaje SMS. Y, según advierten los usuarios, hubo una vulnerabilidad de seguridad en estos envíos, gestionados por un operador tercerizado, que permitió a hackers ingresar a cuentas de Payoneer de forma fraudulenta y realizar envíos desde estas cuentas hacia otros destinos, en una estafa de miles de dólares y cientos de usuarios afectados.
“Las cuentas que utilizan 2FA vía SMS contra Movistar utilizan un proveedor de SMS para el envío y ese es el posible punto de falla”, comentó en su cuenta de X/Twitter Julio Ernesto López, especialista en temas de tecnología y estafas digitales.
“Estas empresas contratan y se soportan en distintos operadores de última milla para integrar el 2FA a la red móvil para el envío de SMS. Este tipo de operadores de SMS locales tienen como objetivo bajar el costo del envío del mensaje, poniendo acá el punto débil del stack de seguridad y ahora principal sospechoso”, completó el analista.
Con información de
La Nación
