De nuevo corre la alerta hacia la aplicación de compraventa Wallapop debido a un auge en el que ciberdelincuentes suplantan su identidad para engañar a las víctimas con poca experiencia en la plataforma mediante una táctica de ingeniería social, por la que se busca obtener las credenciales de la cuenta y de la tarjeta bancaria con los envíos.
En términos generales, Wallapop tiene dos formas de funcionar una vez el vendedor y el comprador del producto se ponen de acuerdo con el precio. Una de ellas es quedar físicamente para la entrega del producto, no obstante, también cabe la posibilidad de enviar el producto. De esta segunda forma, el pago se realiza en una transacción en línea, y el vendedor no recibe el dinero hasta que el producto haya sido entregado.
Esto es para tratar de evitar timos o fraudes en este proceso, sin embargo, según han detectado desde Panda Security esto no ha impedido que los usuarios más novatos de la app sean el objetivo de una nueva ciberestafa.
Cómo funciona
Si bien este proceso parece bastante sencillo e intuitivo, los ciberdelicuentes usan técnicas de ingeniería social para manipular a la víctima a que haga justo lo que quieren. Primero se hacen pasar por una persona que está interesada y le preguntan sobre el estado del producto, el precio e incluso regatea, pero al final siempre aceptan y piden que se lo envíes.
El problema llega después, cuando el vendedor marca como reservado el producto, momento en que el cibercriminal, si ha detectado que la víctima no lleva mucho tiempo usando la 'app' o es la primera vez que realiza un envío, intentará engañarla.
Para ello, el criminal argumentará que puede ayudar a la víctima ya que él sí que tiene experiencia y , por ejemplo, le dice al vendedor que ha hecho bien el registro de su cuenta y que por eso no le permite hacer el pago. Incluso pueden llegar a asegurar que se debe a que falta el correo electrónico y llegar a pedirle a la víctima que le diga el 'email' con el que se ha registrado.
Si la víctima se lo da, esta recibirá en su bandeja de entrada una comunicación supuestamente de Wallapop (en realidad es el ciberdelincuente), en la que se indica que "el sistema ha reservado con éxito su artículo para la venta".
En el mensaje se le indica a la víctima que para confirmar el pedido debe pinchar en el botón que se incluye. Al hacerlo, se le redirige a una página de 'finalización de pedido' que "emula casi a la perfección al sitio legítimo de Wallapop en Internet".
En esta página, el vendedor encuentra opciones que le piden confirmar el correo electrónico, restablecer la contraseña o confirma la tarjeta de crédito para efectuar pagos. Sin embargo, se trata de un sitio cuidadosamente diseñado para conseguir la numeración completa de la tarjeta, la fecha de caducidad y el código CVV.
El mejor consejo para afrontar este tipo de fraudes es desconfiar siempre de alguien que nos pida datos personales o bancarios. Además, en lo que se refiere a Wallapop la plataforma está preparada para realizar todos los trámites sin salir de la app, por lo que es recomendable que nunca salgas de ella para realizar compras o ventas si quieres estar seguro.
