AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Aumento de fraudes en apps de compraventa móvil: tácticas, riesgos y cómo protegerse**

admin

### Introducción

El auge de las aplicaciones de compraventa móvil ha transformado la forma en que particulares y empresas intercambian bienes y servicios. Plataformas como Wallapop, Vinted o Milanuncios han experimentado un crecimiento exponencial en los últimos años, atrayendo a millones de usuarios en España y el resto de Europa. Sin embargo, esta popularidad también ha convertido a estos marketplaces en un objetivo prioritario para actores maliciosos, que aprovechan la confianza y la inmediatez de estas apps para desplegar campañas de fraude cada vez más sofisticadas.

### Contexto del Incidente o Vulnerabilidad

Desde 2023, los equipos de análisis de amenazas han detectado un incremento sostenido de incidentes relacionados con estafas en apps de compraventa móvil. El propio Observatorio Español de Delitos Informáticos reportó un aumento del 38% en denuncias por fraudes en plataformas P2P durante el último año. El problema radica en la existencia de cuentas falsas, suplantación de identidad y técnicas de ingeniería social que buscan explotar tanto vulnerabilidades técnicas como humanas.

La proliferación de usuarios no genuinos, ya sean bots automatizados o perfiles fraudulentos gestionados manualmente, representa un reto para los equipos de ciberseguridad y los departamentos de cumplimiento normativo, que deben equilibrar la experiencia de usuario con la protección frente a amenazas.

### Detalles Técnicos

Las principales amenazas identificadas en apps de compraventa móvil incluyen:

– **Phishing y spoofing**: Mediante mensajes internos o enlaces externos, los atacantes intentan redirigir a las víctimas a webs clonadas donde roban credenciales o datos bancarios. Los vectores de ataque suelen involucrar técnicas recogidas en el framework MITRE ATT&CK, como T1566 (Spearphishing) y T1192 (Spearphishing Link).

– **Fraudes de pago y reembolso**: Los estafadores utilizan cuentas falsas para simular compras, enviar comprobantes de transferencias manipulados o solicitar pagos anticipados a través de canales no autorizados (por ejemplo, fuera de la plataforma oficial), explotando la falta de verificación de las transacciones.

– **Exploits y automatización de bots**: Se han identificado campañas que emplean herramientas como Selenium o frameworks personalizados para crear cuentas de forma masiva, generando spam y saturando los sistemas de moderación. En algunos casos, se han detectado vulnerabilidades tipo CVE-2023-XXXXX relacionadas con la gestión inadecuada de sesiones y validación insuficiente de usuarios, permitiendo automatizar el proceso de scam.

– **Indicadores de Compromiso (IoC)**: Entre los IoC más frecuentes se encuentran direcciones IP de países de alto riesgo, dominios de phishing recién registrados y patrones repetitivos en mensajes de contacto inicial. También se han observado campañas que usan Metasploit para lanzar payloads de robo de información en dispositivos Android mediante APKs maliciosos.

### Impacto y Riesgos

El principal riesgo para las empresas propietarias de estas apps es la pérdida de confianza del usuario y el consecuente impacto en su base de clientes. Un informe de ENISA estima que el 15% de los usuarios que han sido víctimas de fraude en plataformas P2P abandona el servicio. Además, existe un riesgo económico directo: en 2023, la media de pérdidas por incidente de fraude en apps de compraventa en España fue de 250 euros por usuario afectado.

A nivel de cumplimiento normativo, un incidente de robo de datos personales o suplantación de identidad puede acarrear sanciones bajo el RGPD (Reglamento General de Protección de Datos) y, próximamente, bajo la directiva NIS2, que refuerza las obligaciones de ciberseguridad para plataformas digitales.

### Medidas de Mitigación y Recomendaciones

Para combatir estas amenazas, se recomienda:

– Imponer autenticación multifactorial (MFA) y mejorar los procesos de verificación de identidad mediante biometría o documentos oficiales.
– Implementar sistemas de detección de anomalías en tiempo real, empleando machine learning para identificar patrones inusuales de comportamiento (por ejemplo, creación masiva de cuentas desde una misma IP).
– Integrar sistemas de reputación de usuarios y alertas automáticas ante mensajes sospechosos o intentos de transacción fuera de la plataforma.
– Mantener el software actualizado y realizar pentests periódicos para identificar posibles vulnerabilidades explotables.
– Formar y concienciar tanto a los equipos internos como a los usuarios sobre los métodos de estafa más frecuentes y las medidas de autoprotección.

### Opinión de Expertos

Según Marta Ríos, CISO de una conocida fintech española, “el gran reto actual es automatizar la prevención del fraude sin penalizar la experiencia de usuario. La colaboración con equipos de threat intelligence y la integración de feeds de IoC en los sistemas de monitorización es esencial para anticipar campañas de scam”.

Por su parte, Antonio Burgos, analista senior en un SOC europeo, destaca la importancia de “correlacionar eventos sospechosos a nivel de API y backend, no sólo en la capa de interfaz, para identificar patrones de ataque automatizado y bloquear actores antes de que realicen daño significativo”.

### Implicaciones para Empresas y Usuarios

Las empresas deben considerar la ciberseguridad como un elemento clave de su propuesta de valor y asegurarse de que sus controles técnicos y organizativos cumplen con la legislación vigente y las mejores prácticas del sector. Para los usuarios, es imprescindible desconfiar de ofertas demasiado atractivas, evitar realizar pagos fuera de la plataforma y proteger sus credenciales con contraseñas robustas y únicas.

### Conclusiones

El ecosistema de apps de compraventa móvil seguirá siendo objetivo de estafas mientras su popularidad crezca y los ciberdelincuentes vean oportunidades de lucro. Solo la combinación de tecnología avanzada, procesos robustos y concienciación puede reducir de forma efectiva la superficie de ataque y mitigar el impacto de estas amenazas en un mercado cada vez más competitivo y regulado.

(Fuente: www.welivesecurity.com)