La aplicación de compraventa Wallapop está de nuevo en el centro de una ciberestafa que suplanta su identidad para engañar a las víctimas con poca experiencia en la plataforma mediante una táctica de ingeniería social, por la que se busca obtener las credenciales de la cuenta y de la tarjeta bancaria con los envíos.
Cuando dos personas se ponen de acuerdo en Wallapop, una para vender y otra para comprar, aparece la opción de enviar el producto en lugar que quedar para entregarlo en persona. De esta forma, el pago se realiza en una transacción en línea, cuya cuantía recibe el vendedor una vez el producto se ha entregado.
Esta modalidad de venta mediante envío requiere que el comprador pulse el botón de pagar e introduzca los datos del medio de pago y una dirección de entrega, que puede ser también una oficina de correos. Por su parte, el vendedor ingresará el dinero acordado en un monedero o en su cuenta bancaria.
Se trata de un proceso sencillo que, sin embargo, para las personas que lo usan por primera vez puede generar ciertas dudas, lo que precisamente aprovechan los ciberdelincuentes en una nueva estafa que aprovecha la venta con envío para robar los datos de su cuenta y su tarjeta al vendedor.
Como explican en Panda Security, esta táctica de ingeniería social no levanta las sospechas del vendedor, ya que se encuentra con una persona interesa que mantiene una actitud acorde con lo que se espera de conversación para la compraventa de un producto: que pregunte por el estado, por el precio, regatee un poco y acepte al final el envío.
El problema llega después, cuando el vendedor marca como reservado el producto, momento en que el cibercriminal, si ha detectado que la víctima no lleva mucho tiempo usando la ‘app’ o es la primera vez que realiza un envío, intentará engañarla.
En este caso, fingirá aportar su experiencia en el uso de Wallapop para ayudar, señalando, por ejemplo, que el vendedor no ha hecho bien el registro de su cuenta y que por eso no le permite hacer el pago. De hecho, asegura que se debe a que falta el correo electrónico e incluso llega a pedirle a la víctima que le diga el ‘email’ con el que se ha registrado.
Si la víctima se lo da, recibirá en su bandeja de entrada una comunicación supuestamente procedente de Wallapop, en la que se indica que «el sistema ha reservado con éxito su artículo para la venta» y que para confirmar el pedido debe pinchar en el botón que se incluye. Al hacerlo, se le redirige a una página de ‘finalización de pedido’ que «emula casi a la perfección al sitio legítimo de Wallapop en Internet», como apuntan desde Panda Security.
En esta página, el vendedor encuentra opciones que le instan a confirmar el correo electrónico, restablecer la contraseña o confirma la tarjeta de crédito para efectuar pagos. Sin embargo, se trata de un sitio cuidadosamente diseñado para conseguir la numeración completa de la tarjeta, la fecha de caducidad y el código CVV.
“Siempre que alguien nos pida datos personales o bancarios, hay que desconfiar”, apostilla el Global Consumer Operations Manager de Panda Security, Hervé Lambert.
