Vacían cuentas argentinas de Payoneer, una aplicación para cobrar en dólares

La plataforma de pagos online permite resetear la contraseña mediante SMS y esto abre la puerta a los atacantes. Hay usuarios que perdieron hasta 60 mil dólares: qué dicen y qué responde la app.

El tipo de ataque que sufrieron está relacionado al segundo factor de autenticación vía mensajes de texto (SMS), esto es, el sistema que tienen las aplicaciones para verificar la identidad de los usuarios, publica este viernes Clarín. Según reportaron, los damnificados empezaron a recibir SMS con códigos de verificación y notificaciones de pagos y, al querer entrar a sus cuentas, tenían las contraseñas cambiadas. Luego de recuperar el acceso, veían sus saldos en cero. Entre los afectados hay usuarios que hablaron con Clarín y perdieron desde 5 mil dólares hasta 60 mil. Otros reportaron haber perdido “años de trabajo” y, casi todos, informaron que usan Movistar o Tuenti, aunque también hay casos de Claro y Personal. El número de afectados es incierto, pero el tema predominó en redes sociales esta semana y nuevos casos se conocieron día a día. Payoneer es una aplicación muy usada en Argentina porque cobrar trabajos desde el exterior representa ciertas dificultades operativas a través de la banca tradicional y, además, es una forma de eludir las regulaciones del Banco Central de la República Argentina (BCRA) y la AFIP. La ventaja es que, pagando una comisión, se puede acceder al dinero al tipo de cambio blue y no el oficial. Pero al no ser un banco tradicional, Payoneer no tiene seguro o la red de contención que tienen los bancos regulados en el país. Debido a que una gran cantidad de trabajos relacionados al rubro IT y la programación se pagan en moneda extranjera, Payoneer se popularizó entre los trabajadores freelance para poder sacar más provecho a los dólares que ingresan a sus cuentas y no perder frente a un escenario inflacionario constante. Las primeras versiones comenzaron a circular el fin de semana, cuando usuarios de la red social Reddit armaron un sub (posteo) en el que reportaban que sus fondos habían sido vaciados. Los comentarios comenzaron a aparecer y el mensaje original comenzó a circular a medida que iban apareciendo nuevos casos.“ El fin de semana me llegan varios SMS de madrugada con el típico mensaje de verificación de identidad para acceder a la cuenta. Entro a Payoneer, no puedo entrar de una. Aparentemente en ese momento me hicieron un reseteo del password, porque no podía ingresar con mi contraseña. Voy al proceso para recuperar la contraseña y ahí pude entrar, para ver lo peor: varios movimientos donde pude registrar cómo se habían llevado todos mis ahorros”, contó a este medio uno de los damnificados, que pidió permanecer en el anonimato. “Esto fue a las 3 de la mañana y en 5 minutos me vaciaron la cuenta completamente”, agrega. Este es uno de los denominadores comunes del ataque: a la mayoría le sucedió de madrugada y las transacciones se realizaron en un lapso corto de tiempo. “Entraron y empezaron a transferir plata a diversas cuentas, como ellos ya tenían capturado mi número telefónico, interceptaban todos los SMS y Payoneer les aprobaba la transferencia. Hice un reclamo al chat de Payoneer para informar del hackeo ”, siguió el usuario afectado. “Es una incertidumbre total y una angustia tremenda porque tenía un montón de plata ahorrada para mi familia, estábamos a punto de concretar una compra grande, había hecho una consulta con una inmobiliaria hace poco. Como es una empresa norteamericana, no se sabe exactamente qué puede pasar. Es una empresa extranjera, no tiene oficina física”, se lamentó. El segundo denominador común que reportaron los usuarios afectados es que tienen Movistar o Tuenti, ambas compañías de Telefónica, aunque hubo reportes de usuarios que tenían otras empresas. Consultada por Clarín, Movistar emitió un comunicado en el que aseguran que la empresa "tomó conocimiento por publicaciones en redes sociales de que clientes de la compañía que poseen cuentas en la plataforma ‘Payoneer’ habrían sido estafados a través de la recepción de SMS que, mediante maniobras de smishing, capturaron sus credenciales”. Smishing es, básicamente, phishing vía SMS.

“En este sentido, informamos que Movistar no es responsable de los mensajes (ni de su contenido) que terceros cursen utilizando su red. No obstante lo anterior, hemos tomado medidas preventivas con aquellos números desde los cuales algunos clientes han reportado haber recibido dichas comunicaciones”, cerró la compañía, propiedad de Telefónica.

El segundo factor por SMS, la causa del problema

El segundo factor de autenticación (2FA) es un paso extra de seguridad que se usa en la validación de identidad online. En general, se trata de combinar algo que el usuario sabe (una contraseña, un pin, un patrón), con algo que tiene o es: un token, un teléfono celular para aprobar de manera exitosa el logueo, su pulgar o cara o, como sucedió en este caso, el envío de un SMS a una línea telefónica. En el caso de las cuentas vaciadas, los usuarios recibieron diversos SMS llamativos: desde pagos recibidos desde la plataforma Airbnb hasta códigos de verificación que nunca especificaban si eran para restablecer una contraseña o para autorizar una nueva transacción, lo cual es confuso desde el diseño de la experiencia de usuario de la app. Los mensajes venían del número 80066.Más allá de esto, el principal problema de Payoneer es que permite este tipo de segundo factor cuando, en el mundo de la ciberseguridad y de las empresas tech, es sabido que es el más débil que existe. El tipo de ciberataque más común es el sim swapping, donde un atacante intercambia la tarjeta SIM legítima del usuario por otra y, cuando la pone en otro teléfono, puede recibir un SMS para resetear una contraseña y así tomar control de la cuenta (account takeover).Sin embargo, no fue esto lo que pasó en este caso. Todos los usuarios pudieron volver a entrar a sus cuentas tras resetear su clave. Y aseguran no haber entrado en ningún link extraño como para haber sido víctimas de phishing o smishing. Y, además, hay un dato clave: para restablecer una contraseña, Payoneer no pide el password, sino simplemente el código de verificación que envían por SMS, lo que la hace todavía más vulnerable al ahorrarle un paso al atacante. Lo que sí reportaron muchos usuarios fue recibir mensajes de smishing, a pesar de que aseguran que no cayeron en la trampa. Clarín pudo dar con un sitio web creado para imitar el login de Payoneer y robar datos llamado “alertaspayoneer.com”, que ya está dado de baja. Payoneer, empresa con sede en Nueva York, no contestó preguntas puntuales al ser consultados por este medio, pero sí compartieron un comunicado: “Tenemos conocimiento de casos recientes en los que estafadores engañaron a los clientes a través de mensajes SMS para que hagan clic en enlaces a páginas de phishing y faciliten las credenciales de sus cuentas. Algunos clientes hicieron clic en estas páginas falsas y compartieron los datos de acceso a sus cuentas con los estafadores”. La mayoría de los afectados insiste, de todos modos , en que no hizo clic en sitios fraudulentos. “Nos tomamos el fraude muy en serio y colaboramos estrechamente con los organismos reguladores y las fuerzas de seguridad para combatir la delincuencia financiera”, cerró Payoneer vía correo electrónico.