Argentinos Reportan Robos en Cuentas de Payoneer
Payoneer, conocida por su facilidad para manejar divisas extranjeras, se ha convertido en un aliado esencial para freelancers y empresarios argentinos. En un país con restricciones cambiarias complejas, la plataforma ofrece una vía alternativa para acceder a ingresos en dólares. Sin embargo, recientes incidentes en Argentina han puesto en evidencia la vulnerabilidad de su sistema de seguridad, especialmente en lo que respecta al uso de SMS como segundo factor de autenticación.
¿Qué sucedió?
El núcleo del problema radica en el método de autenticación de dos factores a través de SMS. Este enfoque, aunque comúnmente utilizado, ha probado ser vulnerable ante técnicas de hacking avanzadas. En Argentina, varios usuarios de Payoneer experimentaron el vaciamiento de sus cuentas tras recibir SMS fraudulentos que permitieron a los atacantes cambiar las contraseñas y realizar transacciones no autorizadas.
Técnicas Utilizadas en el Ataque a Payoneer
El ataque se caracterizó por su ejecución durante la madrugada, aprovechando la menor atención de los usuarios.
- Smishing (Phishing vía SMS): Esta técnica involucra el envío de mensajes de texto fraudulentos que aparentan ser de una fuente legítima. En el caso de Payoneer, los atacantes enviaron SMS engañosos que imitaban las notificaciones de seguridad de la plataforma, engañando a los usuarios para que revelaran sus códigos de autenticación o realizaran acciones que comprometieran sus cuentas.
- Intercepción y Redirección de SMS: Una vez que los atacantes obtuvieron los números de teléfono de las víctimas, pudieron interceptar los mensajes SMS enviados por Payoneer. Esto se puede lograr mediante tácticas como el "SIM swapping" (sustitución de la tarjeta SIM), donde el atacante engaña a la compañía telefónica para que transfiera el número de teléfono de la víctima a una tarjeta SIM bajo su control.
- Acceso No Autorizado y Transacciones Fraudulentas: Con los códigos de 2FA obtenidos, los atacantes accedieron a las cuentas de Payoneer y realizaron transacciones no autorizadas, como transferencias de fondos, vaciando efectivamente las cuentas de los usuarios.
El Peligro de los SMS como 2FA
El uso de SMS como segundo factor de autenticación presenta varios riesgos de seguridad:
Vulnerabilidad a la Intercepción: Los SMS pueden ser interceptados o redirigidos a través de tácticas como el SIM swapping, lo que los hace menos seguros que otros métodos de 2FA.
Falta de Cifrado: A diferencia de las aplicaciones de autenticación o las llaves físicas, los SMS no están cifrados de forma segura, lo que los hace susceptibles a ser espiados o interceptados durante la transmisión.
Phishing más Sencillo: Los SMS son un canal común para campañas de smishing, ya que es relativamente fácil para los atacantes enviar mensajes masivos que parecen legítimos y engañar a los usuarios para que revelen información confidencial.
Medidas de Prevención y Recomendaciones
Para mitigar estos riesgos, se recomienda:
- Utilizar Métodos de Autenticación más Seguros: Optar por aplicaciones de autenticación como Google Authenticator o llaves físicas FIDO, que ofrecen un nivel de seguridad más alto.
- Educación Continua: Los usuarios deben estar informados sobre las prácticas seguras en línea, incluyendo la identificación de intentos de phishing y smishing.
- Verificación de Fuentes: Siempre verificar la autenticidad de cualquier mensaje sospechoso contactando directamente a la entidad emisora a través de canales oficiales.
Impacto del Ataque
El impacto de este ataque va más allá de las pérdidas económicas, que oscilan entre los 5.000 y 60.000 dólares por usuario. Ha generado una profunda desconfianza en la seguridad de las plataformas de pago digital, poniendo en jaque la estabilidad financiera y emocional de los afectados.
Preguntas Frecuentes (FAQs)
- ¿Qué acciones debo tomar si sospecho de un ataque a mi cuenta de Payoneer? Cambie inmediatamente su contraseña, contacte al soporte de Payoneer y revise detalladamente las transacciones recientes.
- ¿Cómo puedo mejorar la seguridad de mi cuenta de Payoneer? Active métodos de autenticación más seguros que el SMS, como Google Authenticator o una llave física FIDO, y mantenga sus datos personales y de contacto actualizados.
- ¿Qué debo hacer para evitar ser víctima de smishing? Esté alerta a mensajes sospechosos, nunca haga clic en enlaces desconocidos y confirme cualquier solicitud inusual directamente con Payoneer.