En la era digital, las aplicaciones de pago inmediato se han convertido en una herramienta fundamental para las transacciones bancarias. La utilización de códigos QR y las cuentas digitales están facilitando las transacciones rápidas y seguras para la mayoría de las personas, permitiendo que los pequeños comercios y personas no bancarizadas puedan acceder a sistemas de pago moderno.

El rápido crecimiento de estas tecnologías atrajo la atención de ciberdelincuentes que buscan explotar las vulnerabilidades de los sistemas de pago digital. Según un estudio presentado por Kaspersky, en promedio 7 de cada 10 transacciones se realizan a través de celulares, lo que las convierte en un objetivo atractivo para los criminales, representando un desafío significativo para las instituciones financieras.

Los cibercriminales desarrollan aplicaciones falsas que buscan imitar a las aplicaciones originales a la perfección, replicando cada uno de los detalles visuales y funcionales. El objetivo es engañar a los usuarios haciéndoles creer que están utilizando una aplicación auténtica.

Posteriormente, estas aplicaciones falsas son promocionadas y distribuidas a través de grupos en Telegram, WhatsApp o X, donde los cibercriminales logran comercializarlas a los futuros estafadores.

El modus operandi

Las estafas se realizan de forma presencial, aprovechando el proceso de pago in situ, que permite realizar transacciones directamente en el lugar donde se recibe un servicio o producto. El estafador visita un comercio o coordina un encuentro con un comerciante, donde simula una compra utilizando una aplicación falsa. Durante este proceso, el comerciante presenta un código QR para el pago, que el estafador escanea con su app. Luego, elige el importe y procede a “realizar” el pago.

Al finalizar, se genera un comprobante falso que engaña al comerciante, haciéndole creer que la transacción se ha completado, aunque en realidad nunca ocurrió. En este proceso, no hay interacción con el sistema de pago oficial, todo es emulado a través del dispositivo del estafador.

Leandro Cuozzo, durante su presentación en el lanzamiento del estudio.

Leandro Cuozzo, analista de seguridad en el equipo GReAT LATAM, explica que en este tipo de estafas intervienen dos componentes clave: una aplicación falsa e la ingeniería social. Al combinar estos elementos, los estafadores pueden llevar a cabo su engaño de manera efectiva.

Existen muchas técnicas. “Varios de estos grupos criminales ofrecen tutoriales con consejos para engañar a las víctimas, pero en general, lo que recomiendan es realizar una pre-inteligencia sobre los locales y comercios que planean estafar: la idea es que el estafador logre infiltrarse en la mente de los comerciantes o de la persona a la que va a estafar”, dice Cuozzo.

El analista también destaca que los comercios pequeños son los más afectados. “Los estafadores eligen cuidadosamente a sus víctimas: suelen dirigirse a negocios pequeños que atienden a un gran número de clientes y que no están familiarizados con la tecnología o con el nuevo sistema de pago que han adoptado”, plantea. Además, explica que estas personas tienden a no prestar atención a los detalles técnicos y, a menudo, no comprenden completamente el funcionamiento de las aplicaciones de pago, más allá de la transacción en sí.

La clave es la protección

Aunque los pagos digitales ofrecen múltiples beneficios y oportunidades, también presentan desafíos significativos que deben abordarse. La educación al consumidor, la mejora de la infraestructura de seguridad y la colaboración entre instituciones financieras y autoridades son fundamentales para mitigar los riesgos asociados y promover un entorno digital más seguro para todos.

Para evitar caer en este tipo de estafas, Leandro Cuozzo enfatiza en la importancia de estar alertas y aplicar técnicas de prevención contra la ingeniería social. Indica que es crucial no finalizar el proceso de compra sin antes verificar que el pago se haya completado de manera exitosa. “Es necesario controlar los pagos en las terminales propias”, recalca.

Cuozzo también advierte que, aunque no todos los países de Latinoamérica han adoptado estos sistemas de estafa, no se debe bajar la guardia. “Todas las tendencias, tarde o temprano, se expanden. El acceso a las aplicaciones falsas es muy sencillo, por lo que este tipo de ataques se encuentra en franco ascenso”, señala.