Aunque todos los días aparecen nuevas amenazas que no solo afectan a nuestros teléfonos, sino también a ordenadores, tablets, etc., lo cierto es que existen otros problemas que no tienen que ver con parches de seguridad ni malwares que infectan todo lo que tocan. En esta ocasión os tenemos que hablar de un simple timo. Eso quiere decir que el único parche que debemos aplicar es el de nuestra desconfianza, blindándola de quienes utilizan artimañas para engañarnos pero que, para nuestra suerte, pueden ser descubiertos sin demasiados problemas.

Exactamente eso ha ocurrido alrededor de Wallapop, donde la Oficina de Seguridad del Internauta (OSI), dependiente del INCIBE (Instituto Nacional de Ciberseguridad), ha detectadouna campaña de intento de fraude a través de aplicaciones de compraventa […] y mediante un phishing a DHL”. ¿Qué significa esto? Bueno, como seguramente sabréis, los ataques de phishing son aquellos en los que el hacker se intenta hacer pasar por una empresa o servicio, y donde nos requiere información personal para, una vez conseguida, actuar en nuestro nombre. Es decir, se trata de un intento de suplantación de personalidad en toda regla.

Estas amenazas no son menores ya que, si cometemos el error de regalarles ingenuamente nuestros datos personales, podrían incluso solicitar préstamos online gracias a que tienen nuestra dirección personal, nuestro número de DNI, etc. Eso sin contar que les acabemos franqueando la entrada a nuestro banco con claves y todo. En la amenaza desvelada por la OSI, el peligro es que regalemos los datos de nuestra tarjeta bancaria.

¿Cómo actúa esta amenaza?

Esta amenaza se produce porque la potencial víctima ha subido a Wallapop algún objeto para vender y los atacantes escriben preguntando si lo tiene todavía disponible. En ese primer paso, lo que quieren es conseguir nuestro email, para continuar por esa vía la estafa. Es por eso que en sus mensajes de presunto interés por lo que vendemos tienen especial prisa por sacarnos de la plataforma: quieren que la transacción se termine en otro lugar.

Estafa de Wallapop a través de phising de DHL | OSI

Si la víctima escribe a la dirección de email recibida a través del chat de Wallapop (mensaje superior izquierdo), veremos cómo el siguiente paso será confirmar que lo quieren comprar y que el pago lo realizarán en metálico, con un sobre que llevará a casa DHL (mensaje inferior izquierdo). Con esto último, los hackers quieren abrir la puerta a la siguiente notificación que recibiremos, que es la de la supuesta empresa de mensajería (mensaje de la derecha). Es ahí donde se encuentra el auténtico ataque de phishing, cuando en nombre de DHL nos solicitan información bancaria como el número de tarjeta, su fecha de caducidad, etc.

¿Cómo podemos evitar este ataque?

El primer consejo, que elimina todas las amenazas de golpe es NO salirnos de la plataforma de Wallapop y mantener todos los contactos a través de ella, ya sea en el rol de comprador o en el de vendedor. Si decidimos cometer el error de no hacerlo, entonces tendremos que verificar cuestiones tan básicas como la ortografía de los correos electrónicos que nos envían: acentos que no existen en castellano, palabras (muy) mal escritas o fuera de lugar ("mudanza", por ejemplo) o frases que recuerdan a estructuras lingüísticas de otros idiomas nos podrían decir que ese texto no está personalizado para nuestra transacción, sino que se trata de uno tipo que tienen los piratas para enviar masivamente.

Y tercero y último, si llegamos hasta el punto de recibir un mensaje de DHL donde se nos requiere información importante, NO enviar ningún dato bancario, ni vía mail ni bajo ninguna otra excusa, ya que no existe empresa o compañía que siga unos protocolos siquiera parecidos. Además, como simple seguro de confirmación, fijaos en la dirección del remitente: un dominio dudoso después de la arroba es la clave para saber que quien nos está escribiendo no es quien dice ser. DHL nunca escribiría a través de un correo electrónico con formato XXXXX@gmail.com.