Hecha la app, hecha la trampa: están falsificando a Nequi y Daviplata

Las aplicaciones de pago y las llamadas billeteras digitales son uno de los principales motores de la inclusión financiera, así como del dinamismo en el comercio, especialmente para los pequeños establecimientos, microempresas o emprendimientos unipersonales.

Las aplicaciones de pago y las llamadas billeteras digitales son uno de los principales motores de la inclusión financiera, así como del dinamismo en el comercio, especialmente para los pequeños establecimientos, microempresas o emprendimientos unipersonales.

En el país operan más de una decena de estas plataformas, pero las más populares son Nequi (de Bancolombia) y Daviplata (de Davivienda). Cada una tiene más de 20 y 17 millones de usuarios, que crecen a un ritmo diario de 10.000 personas, en promedio. Se estima que tres de cada cinco colombianos usan al menos una de estas.

Su creciente popularidad no sólo está generando nuevos canales de ventas y transacciones para todo tipo de usuarios y comercios, sino también se han convertido en el blanco de nuevos y sofisticados esquemas de estafa.

Los certificados de pago falsos

Una de las modalidades que está tomando vuelo, y que más resulta lesiva para los pequeños comercios, es la generación de comprobantes falsos. Esto se logra mediante el uso de aplicaciones especialmente diseñadas para producir imitaciones de estos documentos, con los cuales muchas veces se da por sellada una transacción entre cliente y establecimiento comercial. La complejidad de algunas de estas ‘apps’ falsas llega al punto de generar mensajes de texto fraudulentos, en los que se simula información de movimientos financieros, como el que se recibe cuando, en efecto, sí se hace una transferencia real de fondos de una cuenta a otra.

Una regla en el mundo de la seguridad informática dice que entre más potenciales víctimas existan, más oportunidades tienen las amenazas de prosperar. Ejemplo de esto es que, según información de la Policía Nacional, el uso de estas aplicaciones de pago falsas se ha convertido de una de las modalidades de engaño más usadas en el país.

Estas ‘apps’ se distribuyen en redes sociales con nombres como Nequiglitch, Nequitrampa o Davitrampa. Se trata de archivos que se descargan en el celular y, al instalarse, emulan la apariencia de las aplicaciones originales. Usualmente se cobra por su uso, otorgando al interesado un saldo ficticio que se va agotando en la medida en que genera comprobantes. Otras modalidades ofrecen “saldos infinitos” con el pago de mensualidades (además de recibir actualizaciones de la aplicación falsa).

Lea también: Campo de cultivo para el engaño: en Colombia el 63 % no sabe qué es un deepfake

Si esto le genera curiosidad, hay que hacer varias advertencias. El uso de estas aplicaciones no sólo es un crimen, sino que en una buena parte el estafador termina siendo estafado.

Esto sucede cuando contacta a una persona que promete venderle la aplicación falsa y luego desaparece con el dinero, o cuando le entregan un archivo infectado con un virus que se instala en su celular, robando sus credenciales bancarias y los datos de tarjetas de crédito y débito.

Ahora bien, para adelantar una estafa, el delincuente realiza una investigación previa. Usualmente, hace una compra legítima para conocer el nombre con el que aparece en la aplicación el número de teléfono o el código QR de la víctima. Posteriormente, registra esos datos en la plataforma falsa para generar el comprobante fraudulento.

El documento resultante es tan parecido al original que podría pasar como legítimo ante muchos. Las diferencias son mínimas, e incluso la hora y fecha que aparecen coinciden con el tiempo real.

Los estafadores se aprovechan de esto, pues han descubierto que, con solo mostrar estos comprobantes, la mayoría de los cajeros los revisan superficialmente y aprueban la compra, pues no se toman el tiempo de entrar en la aplicación y verificar que el dinero, en efecto, haya llegado. Es más, es común que en los comercios ni siquiera esté el dueño, y muchos empleados simplemente toman una foto del comprobante para enviársela al final del día al administrador o propietario el comercio.

Aplicaciones más sofisticadas (que se adquieren mediante el pago de una suscripción prémium) incluso son capaces de enviar falsos mensajes de texto al teléfono de la víctima, indicando que ha recibido una transferencia por un determinado valor. Todo esto refuerza el engaño. De nuevo, por desconocimiento, las personas confían, no verifican y terminan siendo estafadas.

Le puede interesar: Colombia en la mira: Se registran más de 118 ataques cibernéticos por minuto

Descubrimos que los delincuentes suelen suscribirse a canales en redes sociales en los que piden consejos y ayuda para adelantar sus estafas, además de compartir fotografías, audios y videos en los que exhiben lo que han robado.

Para esta historia, logramos acceder a varios de estos canales de comunicación durante unos meses para entender mejor cómo funcionan estas dinámicas.

La clave, dicen varios de los estafadores, está en mantener un “bajo perfil”, es decir, hacer compras de bajo monto y en comercios concurridos, donde usualmente no se toman el tiempo de revisar los pagos. Incluso, uno de los usuarios de estos canales manifestó que antes salía a la calle a robar, pero desde que empezó a usar este engaño cambió su modo de delinquir.

Si, con el tiempo, descubren que en ciertos comercios no han despertado sospechas, suelen fijarlos como sus blancos favoritos para repetir el fraude.

También encontramos casos en los que se hicieron compras millonarias, incluyendo vehículos, tecnología, joyería y ropa. Para estas, los estafadores suelen emplear documentación falsa (si es que la solicitan para la compra), números de teléfono provenientes de tarjetas SIM adquiridas en la calle, el uso de VPNs y direcciones de mensajería que no son propias. Todo esto para evitar que la víctima tome acciones en su contra.

Tienen planes A, B y C para todo. Por ejemplo, si una potencial víctima decide revisar la aplicación original y comprueba que el dinero no ha llegado, usan la excusa de que la aplicación está caída y que el dinero le llegará pronto. Si aun así el comerciante se niega a entregar la mercancía, el delincuente, para evitar problemas, devuelve el producto o realiza la transacción desde su aplicación original.

Hablando con uno de estos estafadores, nos dijo que planeaba retirarse en dos meses, pues ya han sido varias las ocasiones en la que a estado al borde de que lo linchen o de que lo capturen las autoridades. “El otro día llegaron a mi casa tres uniformados con el dueño de la tienda, me tocó meterles parla, hacerme el bobo y decirles que la aplicación me estaba fallando. En últimas llamé a una hermana para que me prestara la plata y me dejaran tranquilo. Como a la semana de que pasara eso me salvé de que me lincharan. Hice un pedido en un restaurante y quedé de recogerlo. Cuando estaba de camino sentí una corazonada, y cogí por otro lado; volteé a mirar y habían varias personas esperando en la entrada, creo que familiares del dueño”, dice, al añadir que “ya son varias las personas que tienen identificada esta estafa, y que ha conocido de casos en los que la gente, cansada, está tomando justicia por mano propia”.

En entrevista con El Espectador, el COO de Nequi, Jorge Iván Otálvaro, dijo que esta es una problemática que conocen y en la que han trabajado internamente para combatir a los delincuentes.

Parte de estos esfuerzos incluye la colaboración con las autoridades, quienes también investigan estas estructuras criminales para desmantelarlas. Además, han desarrollado herramientas tecnológicas que vale la pena que usted tenga en cuenta para no caer en las trampas de los estafadores.

Por ejemplo, si le dicen que la plataforma está caída y que por eso no ha recibido el dinero, usted puede ingresar a esta página https://www.nequi.com.co/personas/ayuda/status y comprobar si la operación tiene alguna afectación. En el caso de Daviplata, no encontramos un servicio propio; en su lugar, existen páginas como www.caido.co/estado/daviplata que reportan si se ha encontrado algún problema. También le aconsejamos revisar las redes sociales de estas plataformas para saber si se ha reportado algún inconveniente.

Nequi también ha desarrollado una opción para verificar si un comprobante es legítimo, incluso sin necesidad de entrar en la aplicación (esta, por ejemplo, podría ser una alternativa rápida y sencilla para los cajeros que no tienen acceso a la aplicación de su jefe). Hay que aclarar que sólo funciona cuando el pago se hace con código QR. Lo que debe hacer es abrir la app y, sin iniciar sesión, dirigirse a la opción “usa tu QR” y luego presionar en “comprueba un pago”. Se abrirá la cámara para que escanee el código y, si el comprobante que le muestran es legítimo, aparecerá “Pago confirmado”; de lo contrario, dirá “no reconocemos este QR”. Para el caso de Daviplata debe seleccionar la opción “Código QR” y luego elegir “confirmar comprobante”.

“DaviPlata cuenta con un mecanismo para validar las transacciones y pagos que se hagan a través del QR interoperable o de la opción de Pasar Plata, a través de un comprobante que se genera al final de la transacción con un QR que contiene los datos de la transacción y permite a los usuarios comprobar la veracidad del pago y saber si la plata efectivamente llegó al DaviPlata”, explicó Margarita Henao, CEO de DaviPlata.

Para el anterior caso, una vez más, revise que los datos sean correctos, como el nombre del comercio, el valor de la transacción, la fecha y la hora. Poniendo en práctica estas recomendaciones (siendo la principal la de revisar que el dinero aparezca en su aplicación), se refuerzan las medidas para evitar caer en la trampa que se multiplica por estos días.

Una amenaza que crece en el continente

Lo anterior es solo una muestra de lo que desde hace algunos años se ha visto en la región, en donde el uso de estas aplicaciones ha venido cobrando un especial protagonismo. Un estudio adelantado por el banco BBVA muestra que, en países como Argentina, el uso de estas billeteras virtuales está presente en ocho de cada 10 personas, por ejemplo.

El modus operandi es el mismo: un desarrollador fabrica la aplicación falsa, la cual es promocionada y vendida a cientos o miles de estafadores, quienes a su vez salen a cazar a sus víctimas.

La aplicación que ha demostrado un mayor grado de perfección al intentar emular a la original es la de YAPE, una plataforma de pagos móviles peruana. Esta presta todos los servicios ya descritos en este artículo, pero la experiencia de navegación que ofrece es idéntica a la original, llegando incluso a copiar las transiciones de pantalla y animaciones.

La alerta es que el grupo de ciberdelincuentes que la ha desarrollado ya anunció que planea “internacionalizar el negocio”, proyectando su expansión primero a Colombia y Chile, y luego a otros países de la región. En otras palabras, podríamos ver una competencia entre los desarrolladores de estas aplicaciones por quién se queda con el mercado.

En entrevista con El Espectador, el analista de seguridad del equipo Great Latam de Kaspersky, Leandro Cuozzo, resaltó la importancia de la colaboración entre diferentes actores para combatir estas organizaciones criminales. Por ejemplo, entre las empresas desarrolladoras de aplicaciones, las autoridades y las asociaciones de comerciantes, en educar a la población en general (especialmente a los comercios) sobre la existencia de estas amenazas y las medidas que se deben tomar para no caer en las trampas.

“Es muy probable que estos grupos sigan creciendo, tienen muchas ganas de estafar. Trabajan mucho y veremos versiones de aplicaciones falsas más desarrolladas”, anticipa Cuozzo, quien además reitera que la mejor arma para combatir a estos criminales es conocer cómo operan y, para estar 100 % protegido, siempre corroborar en la aplicación que el dinero ha llegado.

💰📈💱 ¿Ya te enteraste de las últimas noticias económicas? Te invitamos a verlas en El Espectador.