Compañías de detección de amenazas en Internet han detectado un sitio web que simula ser la plataforma Mercado Libre para robar datos sensibles de los usuarios, como los datos de la tarjeta de crédito, entre otros. El nombre del dominio no tiene ningún tipo de relación con el oficial, por lo que es posible detectar que se trata de un engaño con solo observar la URL.
La compañía ESET analizó a este sitio que intenta suplantar la identidad de Mercado Libre pero también utiliza el logo de Mercado Pago, la plataforma de pagos asociada. Aunque detectaron su uso en Colombia y Brasil, advierten que puede estar circulando en otros países como Argentina, Chile o México.
Los cibercriminales hacen uso de anuncios en distintas plataformas, como Facebook o YouTube, para promover el engaño. “En estos anuncios se promocionan grandes ofertas de productos costosos, como televisores, computadoras y teléfonos celulares, motos, etc., lo cual debería ser una segunda señal de alerta para el usuario: los precios son demasiado buenos para ser reales”, comenta Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
Según datos de la compañía el número de sitios web fraudulentos detectados aumentó casi un 3% en el último trimestre del 2021. Dentro de este escenario, los sitios que se hacían pasar plataformas de comercio electrónico constituyeron el 9.4% del total de sitios web apócrifos, solo siendo superado por las categorías de redes sociales y finanzas.
Cómo detectar un sitio que se hace pasar por Mercado Libre para robar datos financieros
El diseño del sitio falso incluye elementos que hacen más probable que una víctima desprevenida pueda caer en la trampa. Cuenta con categorías de muchos productos, la posibilidad de seleccionar distintos modelos, descripciones completas, la opción de seleccionar el tipo de moneda según el país de origen, varios idiomas disponibles, entre otros. Además, desde ESET identificaron que el sitio está siendo indexado por los motores de búsqueda de Google, por lo tanto, es posible que un usuario que realice una búsqueda específica encuentre entre los resultados el sitio falso ofreciendo el producto que busca.
Una vez que la víctima hace clic en la opción de comprar es dirigido a una página que emula el proceso de checkout, en este paso es en donde se lleva a cabo el ataque. Este sitio es distinto al primero, los actores maliciosos utilizaron una plataforma de pago muy poco utilizada y de poca reputación. Dentro de los sitios de reportes de estafa, la compañía responsable del desarrollo de esta herramienta para realizar pagos tiene varias denuncias y vínculos con otros engaños de compraventa apuntados a Argentina, Brasil y Colombia.
Allí, los estafadores solicitan a la víctima sus datos personales para realizar la supuesta compra y realizar el envío, como nombre completo, correo electrónico, documento de identidad, dirección personal o número de teléfono. Esta información, según ESET, podría ser utilizada para ataques de suplantación de identidad o fraude, o ser vendidos en mercados clandestinos de la dark web por unos pocos centavos.
En el segundo paso, los cibercriminales piden a la víctima su información financiera para hacer el pago por el supuesto producto, solicitud usual en los sitios de compraventa legítimos, incluyendo número de tarjeta y código de seguridad. Una vez realizada la falsa compra, la víctima ve retirado su dinero, pero nunca recibe el producto. Así es como varios afectados cuentan sus experiencias en sitios de denuncias sobre este mismo sitio web, incluso llegando a alegar la recepción de productos de poco valor como barras de metal en algunos casos.
Desde ESET recomiendan prestar especial atención a cualquier publicidad que ofrezca productos o servicio a un muy buen precio, o incluso gratuitos, ya que no existe ninguna garantía de que la oferta sea cierta. Además, es importante revisar los enlaces de los sitios a los que se ingresa, para asegurarse que realmente se trata del sitio al cual se quiere ingresar y no uno falso. También es importante contar con una solución de seguridad instalada y actualizada en los dispositivos que puede prevenir antes enlaces no seguros. Finalmente, y en el caso de haber sido víctima de alguna estafa relacionada a compras en línea, se deben realizar las denuncias correspondientes, ya que constituye un tipo de estafa.
