El fin de semana varios locales gastronómicos sufrieron el ataque de hackers que se apropiaron de sus números de WhatsApp con los que hacen envíos. Con ese teléfono en su control, estafan clientes que hacen pedidos haciéndoles transferir los pagos a sus propias cuentas. La persona se da cuenta cuando nunca llega su comida.
Martes, 26 noviembre 2024
Delincuentes roban el número de pedidos de locales gastronómicos, hablan con los clientes y se hacen transferir los pagos a sus cuentas. El fin de semana hubo cinco casos en Rosario. Consejos para protegerse
Al menos tres pizzerías, una empanadería y un local de pastas frescas fueron blanco en los últimos días de una de estas nuevas modalidades de estafa, en la que desde otro teléfono logran acceder a la sesión de la cuenta del negocio. La mayoría avisó rápido a sus clientes a través de diferentes medios para que no caigan en la estratagema.
En algunos casos recuperaron rápido el control, pero en otros la demora fue mayor y abrió campo para que haya más afectados. Todos los que quisieron encargar productos durante la franja que la que la línea estuvo vulnerable, recibieron la respuesta de los hackers incentivándoles a depositarles el dinero.
Cómo hackean
El modus operandi, que pudo reconstruirse a través del relato de dos de los establecimientos atacados, es el siguiente. Los estafadores buscan comercios que tengan número de teléfono de WhatsApp para encargar a través de delivery propio. En segundo lugar, lo intentan con los que no tienen activada la verificación en dos pasos. Una vez registrados estos requerimientos, ponen manos a la obra en el tercer paso: la actuación.
Primero escriben o llaman haciéndose pasar por clientes. Hacen una compra, eligen los productos, dan un domicilio falso, piden los datos para abonar por transferencia, y cuando están por hacerlo dicen que van a pagar por Mercado Pago, pero como están desde la computadora y deben pagar desde el celular, le piden a la persona que los atendió que le pasen un código que les acaban de enviar, que es el que envía WhatsApp para iniciar sesión en ese número desde otro equipo.
Si el empleado, en la confusión y el frenesí del trabajo, no cae en la cuenta de que es una treta, con ese número ya pueden tomar el control de la línea. «Llamaron por teléfono para hacer un pedido. Justo atendió una chica nueva, que está recién empezando. Le hicieron la del código con la excusa de pagarle desde el teléfono, la piba se lo pasó y chau. Pensé que ese teléfono tenía activada la autenticación, pero no», contó uno de los afectados.
Engaño con envíos
Muchos comercios no utilizan ese tipo de protección 2FA. En ese marco, se esperan más ataques. «Se va a poner más heavy. Encontraron una brecha con los locales comerciales que va a hacer mucho ruido. En particular los gastronómicos tienen un componente que es fatal: aprovechan que es de noche y no hay oficina abierta de las empresas de telefonía para denunciar. Tuvimos que llamar durante 55 minutos para poder suspender la línea«, explicó en off.
Una vez que logran la estafa, le sacan mucho provecho rápidamente: hablan con los clientes y los engañan, aprovechando que el intercambio de dinero entre un WhatsApp comercial y una persona es mucho más dinámico que entre dos privados en el que uno quiere venderle dólares o le pide que le transfiera porque tiene que pagar algo. «Te hacen un agujero», aportó otro de los hackeados.
Una consulta con el Ministerio Público de la Acusación (que posee una Unidad Fiscal de Investigación y Juicio Especializada en Cibercrimen) arrojó que por el momento, no han ingresado denuncias con estas características. Sin embargo, son comunes los avisos en redes de comercios, y de parte de usuarios.
Hace poco se hizo viral la experiencia de un usuario de X que se enteró que el número de una rotisería de Capitán Bermúdez (Santa Fe) y pudo intercambiar mensajes con el estafador. Tras seguirle el juego un rato, el vecino mandó un comprobante trucho con un chiste que hizo que el timador se diera cuenta. Luego, le confió a esta persona haber estafado a varios clientes por un monto cercano a los 900 mil pesos en pocas horas.
Consejos
Entre los consejos para clientes, se puede mencionar chequear siempre las redes del local por si hay algún aviso de hackeo y corroborar que sea el alias correcto antes de pagar. En cuanto a los locales, es indispensable que tengan la verificación en dos pasos activada y entrenar al personal para que nunca comparta ningún código con algún supuesto cliente.
Uno de los afectados contó que en la oficina local de la empresa de telefonía no lo pudieron ayudar (solo reciben la denuncia y suspenden la línea, pero no se cierra la sesión), y que logró recuperar el número sin ayuda, intentándolo a través de WhatsApp. «Después de tratar muchas veces, la app bloqueó la autenticación en dos pasos por 12 horas. La instalé de nuevo con el número de los pedidos y me mandó un código por mensaje, como si lo estuviera haciendo desde cero», contó.
Así recuperó finalmente la línea y logró activar la autenticación 2FA. «Zafé porque los tipos no lo pudieron hacer a la noche, cuando se les bloqueó. Si no, no recuperaba más ese número. Se lo quedaban ellos estafando gente por quién sabe cuánto tiempo», relató.
Autenticación en dos pasos
Al detectar una maniobra de hackeo del celular, los especialistas en ciberdelito recomiendan avisar por redes sociales a los contactos que la cuenta fue vulnerada, notificarle a WhatsApp (enviando un email a [email protected] con el asunto “Cuenta clonada/robada”) y cerrar todas las sesiones activas en WhatsApp Web.
Para evitar el robo de datos, se recomienda activar la verificación 2FA desde Ajustes/Cuenta/Verificación en 2 pasos. Allí se ingresa una clave de seis dígitos, que será solicitada aleatoriamente cuando se utilice la aplicación. Así, en caso de robo, al no ser ingresado el PIN, el sistema bloqueará el acceso a los mensajes.