Durante el fin de semana largo de Carnaval, casi 70 clientes de Ualá sufrieron robos de dinero. Denunciaron que les vaciaron las cuentas de sus billeteras virtuales mediante transferencias salientes sin su consentimiento.

Todo comenzó cuando uno de ellos tuiteó: “Me acabo de dar cuenta de que, literalmente, me afanaron 18.500 pesos de mi cuenta”. Luego, le siguieron publicaciones de otros que vivieron experiencias similares.

No fue un episodio aislado. Mercado Libre también fue víctima de la ciberdelincuencia, con un hackeo que afectó a, aproximadamente, 300.000 personas que usan el marketplace y Mercado Pago, la unidad de pagos de la compañía.

Ambos episodios volvieron a poner en agenda un tema que, con el auge de los consumos electrónicos, continúa en centro del debate: la vulnerabilidad de los protocolos de seguridad de billeteras virtuales.

Seguimiento de los casos

Ambas empresas siguieron de cerca la situación y tomaron cartas en el asunto para resarcir a los usuarios afectados. Asimismo, recomendaron una serie de consejos para proteger las cuentas.

“Toda la industria financiera está registrando una cantidad importante de casos de fraude. No estamos exentos a estas maniobras y seguimos uno a uno los 68 casos reportados, que fueron atendidos de inmediato e investigados”, sostuvieron desde Ualá, y remarcaron la importancia de proteger la privacidad de los datos personales.

Enfatizaron que el robo o la suplantación de datos es “más común de lo que creemos”. Y aseguraron: “Estamos comprometidos con la protección de la información personal de los usuarios, colaboradores y proveedores. Por eso firmamos cláusulas de confidencialidad, consideramos procedimientos de reclamos, declaramos las bases que contienen datos personales, aplicamos mecanismos de seguridad para la información involucrada en nuestros procesos y alineamos las operaciones al cumplimiento de las normas vigentes”.

Estándares de seguridad de billeteras virtuales

Por su parte, desde Mercado Libre remarcaron que operan con “los estándares de seguridad más altos del mercado”. Y adelantaron que se encuentran implementando dos nuevos factores de autenticación: QR Token y reconocimiento facial.

Ante irregularidades en la cuenta, indicaron que se puede contactar a la plataforma mediante los canales habituales: la aplicación o la página web para recibir ayuda o hacer una denuncia.

En tanto, se está reforzando la seguridad de billeteras virtuales varias para evitar ataques. TAP, la billetera digital que tiene como socios a Pampa Energía y Grupo GST, es una de ellas.

“El voto de confianza que recibimos de los usuarios representa todo el esfuerzo que hacemos para que se sientan protegidos. Por eso encriptamos y monitoreamos sus datos personales de forma permanente. La infraestructura donde se almacena la información está vigilada las 24 horas, los activos están totalmente resguardados y llevamos adelante campañas de concientización donde buscamos prevenir. Ante incidencias existen equipos de respuesta inmediata, donde se prioriza la contención y la posterior resolución”, enumeró Leandro Vecchiarelli, head of IT de TAP.

“Sugerimos estar atentos a nuestras recomendaciones y que siempre se comuniquen con los canales oficiales. Cualquier duda, aunque parezca menor, es preferible consultarla formalmente. Nunca solicitamos información privada ni contraseñas”, informó Vecchiarelli.

Consejos de seguridad de Ualá

Desde Ualá aconsejaron que cada dispositivo tenga su propia contraseña. “Si usamos la misma para todos, cuando una cuenta esté comprometida, el resto también lo estará. Nunca hay que utilizar datos personales y se deben modificar periódicamente”, argumentaron.

De esta manera, sugirieron pensar en una fórmula de no menos de ocho caracteres, que incluya un mix de mayúsculas, minúsculas, números y símbolos. Deben ser secretas y únicas, sin compartirlas con otras personas ni reutilizarlas. Si se anotan, hay que hacerlo en donde resulte seguro.

Otras recomendaciones para asegurar la máxima seguridad implican bloquear el acceso al celular con un código, patrón o mecanismo de biometría, como el reconocimiento facial o la huella dactilar.

De igual modo, hay que evitar hacer clic en enlaces y archivos adjuntos de correos electrónicos si provienen de desconocidos o si no fueron solicitados. No se deben responder emails, mensajes por redes ni llamados telefónicos que pidan códigos, contraseñas o números de tarjetas.

Es preferible navegar en sitios de confianza y con buena reputación, mantener el software actualizado y tener instalado el antivirus con la última versión. “No hay que instalar aplicaciones por fuera de sitios oficiales como Play Store o App Store, ya que no garantizan que sean legítimas. Al conectarse a Internet, hay que evitar hacerlo desde conexiones de wifi públicas”, describieron.

Recomendaciones de Mercado Libre

El sistema utilizado para desbloquear el teléfono también sirve para proteger Mercado Pago, por lo que se solicitará cuando se abra la aplicación o se realice algún movimiento de dinero. “Sirve para proteger la cuenta en el caso de robo del celular”, precisaron desde la compañía.

A su vez, recomendaron activar la verificación de dos pasos. “Tenemos disponibles métodos que sirven para chequear quién es la persona que está usando la cuenta. Al activarla, se pedirá, por ejemplo, cuando se ingresa a Mercado Pago desde un dispositivo desconocido o se retira dinero. Se pueden recibir códigos de seguridad en el celular por SMS, WhatsApp o llamada telefónica, o usar Google Authenticator para generar códigos de verificación temporales con la app de Google”, detallaron.

Los consejos para transaccionar de manera segura dentro del ecosistema incluye verificar el dominio y corroborar la autenticidad del emisor de emails que puedan llegar a nombre de la empresa. “Todas las comunicaciones son enviadas desde @mercadopago.com.ar. Muchos estafadores usan palabras similares con modificaciones sutiles. Nunca pedimos datos personales ni que se instale nada ni que se compartan los factores de seguridad, que son personales. Al hacerlo, se convierten en la puerta de entrada de terceros a las cuentas vulneradas, vía ingeniería social. No hay que compartir datos de las tarjetas de crédito ni débito por email, WhatsApp, redes sociales u otros canales”, destacaron.

Por otro lado, en lo que respecta al e-commerce, aconsejaron utilizar tiendas reconocidas al momento de pagar, comprobando la veracidad de la URL y verificando el candado que aparece junto a la dirección web o el término https. “Es importante no ingresar datos personales en sitios sospechosos sin antes chequear que la dirección de acceso al sitio es correcta”, subrayaron.