El episodio afectó a usuarios argentinos en Payoneer, una conocida plataforma de pagos online orientada a empresas y trabajadores freelance, hasta la fecha miles de clientes argentinos aseguraron mediante publicaciones que fueron víctimas del ataque informático.

Hasta el momento no se conoce cuál fue el origen del ataque, pero fueron los usuarios los que mediante publicaciones en diferentes redes sociales indicaron que habían recibido notificaciones engañosas en sus teléfonos a través de SMS, luego de que hackers violaran el ingreso a las cuentas y concretaran transferencias hacia otros destinos.

Estafas por SMS, qué es el phishing, el smishing y el SMS spoofing

A menudo, uno puede escuchar términos relacionados a las estafas informáticas, pero la terminología puede confundir y lograr que no se entienda bien cómo operan. Por tal motivo, explicaremos tres términos que se tiene que conocer para entender lo sucedido.

El phishing es un término genérico con el que se hace referencia a diferentes tipos de estafa, que pueden darse por varios medios. La palabra significa pescar, y básicamente los delincuentes realizan engaños de forma masiva con la esperanza de que alguna de las personas a las que les llega el mensaje "pique" y caiga en el engaño.

El smishing es el nombre de una técnica concreta de phishing. Su significado viene a ser el de SMS phishing, o pesca a través de SMS. Es una técnica que se utiliza para estafar a través de mensajes de texto haciéndose pasar por empresas o entidades reales y con el objetivo de robar datos o infectar dispositivos.

Por último, el SMS spoofing son las técnicas para enviar SMS falsificando el remitente de los mensajes, de forma que parezca que ha llegado un mensaje de una entidad por ejemplo, un banco o una billetera virtual. A veces, el celular puede incluso agrupar estos mensajes con los que son reales del banco u otro servicio, haciendo el engaño más peligroso. Para ello, los delincuentes informáticos suelen contratar servicios externos que permiten hacer estas tareas.

Cómo consiguen los delincuentes los números de celulares

Ante la pregunta de por qué llegan mensajes fraudulentos o ¿De dónde han sacado los delincuentes informáticos el número de teléfono? En algunos casos es peor, ya que a veces en los mensajes aparecerá el nombre completo o el DNI, que son datos que no los puede tener cualquiera, y el hecho de que estas personas tengan acceso pueden lograr que cualquier persona caiga y sea convencido de que quizás sea o pertenezca a la entidad que dicen ser, pero en realidad no lo son.

El acceso a esa información la suelen obtener de filtraciones de datos masivas, tanto robando datos a grandes empresas como robando los packs de datos que los delincuentes informáticos suelen poner a la venta. Por poner un ejemplo, en 2021 ThePhoneHouse fue hackeado, y robaron datos como nombres, números de teléfono o DNIs de cerca de 13 millones de clientes.

El caso de Movistar

En lo sucedido, según detallan informes en las redes sociales, los casos se vincularon únicamente con usuarios de Payoneer que utilizan a Movistar como proveedor de telefonía móvil.

Usuarios en redes sociales adjudicaron el proceso de estafa a un caso de smishing vinculado al proceso de autenticación de dos pasos (2FA), que en el caso de Payoneer se realiza mediante SMS. En ese proceso, los usuarios deben, para entrar a su cuenta, ingresar la contraseña habitual y un código de seis dígitos que reciben a través de un mensaje de SMS.

Que es la autenticación de dos pasos

Autenticación de dos factores (2FA o TFA) es el término técnico para el proceso de requerir que un usuario verifique su identidad de dos maneras únicas antes de que se le conceda acceso al sistema. Tradicionalmente, los usuarios han confiado y están acostumbrados a sistemas de autenticación que les exigen proporcionar un identificador único, como una dirección de correo electrónico, un nombre de usuario o un número de teléfono, y una contraseña o pin correctos para acceder al sistema.

La 2FA amplía este paradigma añadiendo un paso adicional al proceso de autenticación, que por lo general requiere que el usuario introduzca un token de un solo uso que se genera dinámicamente y se entrega a través de un método al que solo el usuario tiene acceso. Otro método habitual es utilizar los datos biométricos del usuario, como las huellas dactilares o la retina, como segundo factor.

Payoneer y la autenticación de dos pasos

La plataforma Payoneer, además de permitir como seguridad la autenticación de dos pasos usando el SMS, también permite el cambio de contraseña de las cuentas solo con ingresar el código que llega a través del mensaje SMS.

Según advierten los usuarios, hubo una vulnerabilidad de seguridad en estos envíos, gestionados por un operador tercerizado, que permitió a hackers ingresar a cuentas de Payoneer de forma fraudulenta y realizar envíos desde estas cuentas hacia otros destinos, en una estafa de miles de dólares y cientos de usuarios afectados.

Las cuentas que utilizan 2FA vía SMS contra Movistar utilizan un proveedor de SMS para el envío y ese es el posible punto de falla”, comentó en su cuenta de X/Twitter Julio Ernesto López, especialista en temas de tecnología y estafas digitales.

Las publicaciones de los damnificados

Las primeras versiones comenzaron a circular el fin de semana, cuando usuarios de la red social Reddit armaron un sub (posteo) en el que reportaban que sus fondos habían sido vaciados. Los comentarios comenzaron a aparecer y el mensaje original comenzó a circular a medida que iban apareciendo nuevos casos.

El fin de semana me llegan varios SMS de madrugada con el típico mensaje de verificación de identidad para acceder a la cuenta. Entro a Payoneer, no puedo entrar de una. Aparentemente en ese momento me hicieron un reseteo del password, porque no podía ingresar con mi contraseña. Voy al proceso para recuperar la contraseña y ahí pude entrar, para ver lo peor: varios movimientos donde pude registrar cómo se habían llevado todos mis ahorros”, contó a este medio uno de los damnificados, que pidió permanecer en el anonimato.

“Esto fue a las 3 de la mañana y en 5 minutos me vaciaron la cuenta completamente”, agrega. Este es uno de los denominadores comunes del ataque: a la mayoría le sucedió de madrugada y las transacciones se realizaron en un lapso corto de tiempo.

“Entraron y empezaron a transferir plata a diversas cuentas, como ellos ya tenían capturado mi número telefónico, interceptaban todos los SMS y Payoneer les aprobaba la transferencia. Hice un reclamo al chat de Payoneer para informar del hackeo ”, siguió el usuario afectado.

“Es una incertidumbre total y una angustia tremenda porque tenía un montón de plata ahorrada para mi familia, estábamos a punto de concretar una compra grande, había hecho una consulta con una inmobiliaria hace poco. Como es una empresa norteamericana, no se sabe exactamente qué puede pasar. Es una empresa extranjera, no tiene oficina física”, se lamentó.

El comunicado de Movistar

Por su parte, la empresa Movistar, de la española Telefónica, motivado por la situación, emitió un comunicado, luego de que usuarios de su red móvil reclamaran por la recepción de SMS.

“Movistar tomó conocimiento por publicaciones en redes sociales que clientes de la compañía que poseen cuentas en la plataforma Payoneer habrían sido estafados a través de la recepción de SMS que, mediante maniobras de smishing, capturaron sus credenciales de la mencionada plataforma”, sostiene el documento emitido por la firma, que se difundió en redes sociales.

En ese contexto, Movistar enfatizó que no es responsable de los mensajes (ni de su contenido) que terceros cursen utilizando su red. “No obstante lo anterior, hemos tomado medidas preventivas con aquellos números desde los cuales algunos clientes han reportado haber recibido dichas comunicaciones”, completa el comunicado.

El comunicado de Payoneer

Voceros de Payoneer hicieron llegar un comunicado oficial a un prestigios medio, en el que reconocen los problemas.

Tenemos conocimiento de casos recientes en los que los estafadores engañaron a los clientes para que hicieran click en enlaces a sitios de phishing y facilitaran las credenciales de sus cuentas. Por desgracia, algunos clientes hicieron click en estos enlaces falsos y compartieron los datos de acceso a sus cuentas con los estafadores”, dijeron.

“Además, estamos al tanto de nuevas modalidades de fraude que comprometen los teléfonos móviles y que también podrían haber afectado a algunos de nuestros clientes. Tomamos medidas rápidas para contener la propagación del ataque. Nos tomamos muy en serio la prevención del fraude y colaboramos estrechamente con los organismos reguladores, las operadoras de telefonía móvil y las fuerzas de seguridad para ayudar a combatir la delincuencia financiera y educar activamente a nuestros clientes sobre cómo mantener su cuenta segura y proteger su información confidencial”, agregó el texto difundido por la empresa.

Las recomendaciones para evitar los ataques

Si bien, siempre es una buena idea activar la verificación en dos pasos en todos los servicios a los que uno tienes acceso y más allá de la necesidad de usar una contraseña fuerte (más de 8 caracteres, mayúsculas, números y símbolos), con la autenticación se agrega una capa de seguridad adicional con el objetivo de que sea mucho más efectiva a la hora de garantizar el acceso a las aplicaciones, ya que se da por sentado que al requerir dos factores para poder confirmar la identidad del usuario se cuenta con algo que se sabe, algo que se tiene o algo que es.

Un SMS no es algo que tienes, es algo que te envían

Aunque utilizar los SMS como un segundo paso es mejor que nada, en realidad no puede clasificarse como un factor correcto para ser considerado "verificación en dos pasos". Un SMS no es ni algo que el usuario sabe, ni algo que tiene, ni algo que es. Es solo información que llega a un dispositivo que posee, siempre y cuando el operador los envíe a la persona correcta.

Es por ese motivo que a mediados de 2016, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos declaró inseguros a los SMS como método de autenticación en dos pasos y sugirió que los mismos tendrían que ser prohibidos en el futuro debido a varias preocupaciones.

Es muy fácil para cualquiera obtener un teléfono y el operador de un sitio web no tiene forma de verificar que quien recibe el código a través de SMS sea la persona correcta. No solo eso, sino que la autenticación en dos factores basada en SMS también es susceptible de ser secuestrada si el individuo utiliza un servicio VoIP.

Las alternativas

En lugar de utilizar algo que te envía un tercero como un SMS, es conveniente utilizar algo que uno tenga o posea. Existen aplicaciones dedicadas como Google Authenticator, Authy, RSA SecurID, OTP Authenticator, etc.

Estas aplicaciones generan códigos que los usuarios necesitarán para iniciar sesión cada vez que quieras ingresar a las diferentes cuentas. El proceso varía un poco dependiendo de cada servicio, algunas veces deberás iniciar sesión escaneando un código QR o simplemente ingresando una clave alfanumérica.

Otra opción puede ser la de utilizar códigos de copia de seguridad, son muy útiles en caso de perder el dispositivo y no poder acceder a la aplicación de autenticación. Es así que Google ofrece la creación y visualización de un grupo de códigos que puedes anotar en un lugar seguro para poder acceder a las diferentes cuentas, con una condición dichos números funcionan solo una vez.

Existen también productos físicos como el Yubikey, una llave USB que funciona como factor de autenticación adicional, obviamente con una clara "desventaja" ya que cuestan dinero, pero son mucho más cómodos que tener que esperar e ingresar códigos manualmente cada vez sea necesario el inicio de sesión, con este tipo de llave usb lo que hay que hacer es conectar el dispositivo a un puerto USB para confirmar la identidad.