La plata está y después ya no: cómo operan las versiones falsas de Mercado Pago y qué hacer para detectarlas

“¿Alguien sabe dónde vive esta familia? Compraron 400 mil pesos en mi mueblería e hicieron un pago con un Mercado Pago trucho a nuestro flete”, comenta un comerciante en un grupo de Facebook de vecinos de San Martín, oeste del Conurbano Bonaerense. Otra vecina, del barrio Belgrano de Mar del Plata, replicó, en otro grupo, el caso de una mujer que simuló transferir a los dueños de una librería 27 mil pesos en concepto de compra de útiles escolares.

Incontables son otros posteos en redes sociales que aducen esta nueva modalidad de estafas: simular el pago o transferencia de dinero mediante una aplicación de Mercado Pago falsa. Otras publicaciones en Facebook, Marketplace o Telegram promocionan la venta de esta aplicación apócrifa a precios irrisorios precios. ¿Pero de qué se trata?

La app de Mercado Pago es hoy moneda corriente entre los argentinos. Surgió como una billetera virtual para integrar a muchísimas personas que no podían acceder ni operar en el sistema financiero legal y contar con una tarjeta de débito o crédito. Tuvo una rápida aceptación y hoy es difícil encontrar a alguien que no la tenga descargada en su celular o un comercio que no la acepte como medio de pago.

Y es sabido que todo lo que se vuelve masivo es fuente de inspiración para los que viven de hacer trampa. Hace no muchos años ocurría con monedas y billetes truchos, después apareció la clonación de tarjetas de crédito y ahora la estafa del momento es la del Mercado Pago trucho. Así hay desarrolladores de aplicaciones que, en vez de mejorarlas o colaborar con la seguridad de éstas, se dedican a pervertirlas. Verdaderos profesionales en el arte del diseño y de la programación que comienzan cadenas de estafas.

Uno de los casos de intento de estafa con la falsa app de Mercado Pago ocurrió este verano en Mar del Plata cuando un grupo de ocho jóvenes gastó un millón de pesos en alcohol en el parador "Jano´s Beach", en la zona de Punta Mogotes. Pero a la hora de cobrar los encargados del lugar, al ver que las transferencias dos presuntas transferencias, de $ 530.000 y otra de $ 265.000, no llegaban, llamaron a la Policía.

Todos quedaron detenidos en el marco de una causa por "estafa", a cargo del fiscal David Bruna, de la Unidad Funcional de Instrucción 10, especializada en Delitos Económicos.

El circuito comienza con desarrolladores que clonan la interfaz y un número acotado de funciones de todas las que ofrece la aplicación original: en particular las funciones de transferencia de dinero y de lectura de códigos QR.

Un analista de Birmingham Cyber Arms (BCA), un grupo de expertos en seguridad informática ofensiva (es decir, que mediante técnicas hacker desbaratan a los hackers), se puso en contacto con un desarrollador para que éste explique el origen de la versión trucha de la aplicación.

Una de las publicaciones en las que ofrecen el "mercado vip 9.9" con "transferencia fantasma".Una de las publicaciones en las que ofrecen el "mercado vip 9.9" con "transferencia fantasma".

—¿Te interesa comprar el Mercado Pago falso en su última versión?—, pregunta el desarrollador.

—¿Cómo es el sistema?—, pregunta el analista de BCA.

—Es una aplicación instalable para Android, similar en todo sentido a Mercado Pago, pero con plata ficticia, y con la cual podés hacer pagos mediante la lectura de códigos QR o transferencia. La plata ficticia se acredita por media hora y después de eso desaparece.
Es decir, la persona que recibe el dinero emitido desde una cuenta de esta aplicación falsa ve impactado el importe que le transfirieron, pero luego de media hora esa plata no existe más.

—¿Y es un hackeo a Mercado Libre o cómo funciona?—, continúa el analista de BCA.

—Es una aplicación aparte, pero desarrollada desde los servidores de esa empresa.

—¿Y qué costo tiene la aplicación? ¿Y el dinero ficticio tiene un monto fijo o podés ponerle los montos que quieras?

—La última versión vale 8 mil pesos, amigo. Y vos mismo podés poner la guita que quieras.

Sin embargo, en los grupos de Facebook o Telegram, o bien en Marketplace, la aplicación se llega a vender por debajo de los mil pesos. ¿A qué se debe, entonces, la discordancia? 

En el ámbito de la informática y de la ciberseguridad, esta maniobra se define como “malware como servicio”. Un malware es un programa malicioso, es decir, cuya finalidad es realizar acciones dañinas contra un usuario con la presunción de que éste no se da cuenta.

"Vendo Mercado Pago", "Mercado Pago $ 500", "Mercado Pago Trucho Transferencia Fantasma", "Se vende app de Mercado Pago (F4LS4)", son algunos de los cientos de anuncios en Marketplace que aparecen en una simple búsqueda.

Quienes venden este programa trucho en los grupos antes mencionados forman parte de un esquema. Precisamente, “alquilan” estas versiones apócrifas de Mercado Pago (y también de otras billeteras como Cuenta DNI, BNA+ o Naranja X) arreglan un porcentaje de ganancia con los desarrolladores y no tienen que hacer nada más que distribuirlas, engañando a las víctimas. En la mayoría de las ocasiones se trata de versiones no actualizadas, que tienen fallas de diseño o funcionamiento. Así, se estafa a estafadores y a quienes desean serlo.

El analista de BCA pone en términos de la calle la cuestión: “Es como comprar droga: cuantas más manos la hayan tocado, menos sabés qué ‘corte’ puede tener. O también quienes compran tarjetas de crédito: no sabés cuántas vienen ‘quemadas’. Hay gente que compra un lote de cien tarjetas, y cuando las usa, tiene a la policía pateándole la puerta”. No hay que olvidar, agrega, que este tipo de negocios prolifera en Marketplace y en Telegram. “Es decir, lo peor de lo peor”.

Una fuente de Mercado Libre, la empresa propietaria de Mercado Pago, informa que se encuentran trabajando en materia de ciberseguridad para extremar cuidados. No da mayores detalles, porque estima que significaría avivar a los desarrolladores y estafadores. Pero recomienda a los usuarios activar medidas de seguridad, como la verificación en dos pasos o no entregar la mercadería hasta que la plata se acredite, y, en la medida de lo posible, usar el posnet que la empresa desarrolló y procesar el cobro mediante código QR.

Las apps de Mercado Pago falso se ofrecen en distintas plataformas de Internet por valores que van de los $ 400 a $ 8000.Las apps de Mercado Pago falso se ofrecen en distintas plataformas de Internet por valores que van de los $ 400 a $ 8000.

A su vez, Mercado Pago se ha instalado como un actor financiero de peso, una competencia formidable para el sistema bancario. ¿Cómo manejan los bancos la seguridad en sus aplicaciones y portales como el homebanking? Ernesto, analista en ciberseguridad frecuentemente contactado por distintos bancos que operan en el país, y quien prefiere reservar su apellido real pero no su “apellido” virtual (@dkavalanche), explica al respecto.

“Los bancos tienen equipos de personas especialmente abocados a tareas de ciberseguridad: son profesionales con altos conocimientos técnicos y teóricos, y que están totalmente al tanto de las técnicas que los hackers utilizan. Es decir, piensan como ellos para poder detectar vulnerabilidades”, dice el experto. A estas técnicas se las conoce como “hackeo ético”. En ocasiones, contratan a personas externas con alto conocimiento informático para que les digan cómo vulnerarían sus sitios.

Añade que las entidades bancarias tienen una estructura informática montada para detectar ardides como clonaciones de sitios, perfiles falsos e interfaces. “Además de auditorías internas, están las externas que el Banco Central exige a modo regulatorio. Llevan adelante, además, tareas muy específicas y técnicas, pero también Inteligencia de Fuentes Abiertas”.

Las apps de Mercado Pago falso se ofrecen en distintas plataformas de Internet por valores que van de los $ 400 a $ 8000.Las apps de Mercado Pago falso se ofrecen en distintas plataformas de Internet por valores que van de los $ 400 a $ 8000.

La Inteligencia de Fuentes Abiertas (u OSINT, por sus siglas en inglés) refiere a los datos públicos que circundan en la red y que pueden representar, por ejemplo, los mismos posteos que los vendedores de esta aplicación trucha hacen. Como toda acción en las redes sociales dejan rastro, y no todos los vendedores y estafadores son expertos en informática y en el arte del sigilo, es permite ir rastreando dónde se originó la filtración y comenzó la larga cadena de la estafa.

Como sea, no únicamente estafan a comerciantes y personas de buena fe, sino también a aquellos que buscan incursionar en actividades ilícitas. Mientras tanto, en Facebook, Telegram y otras redes sociales coexisten grupos de estafadores y publicaciones de escrache hacia tales estafadores. En ocasiones, son los mismos que quieren estafar quienes terminaron estafados, un verdadero nudo borromeo. /Clarín