La plataforma Payoneer, utilizada por muchos usuarios argentinos para gestionar pagos digitales y cobros, se vio afectada por una falla de seguridad que hizo desaparecer el dinero de quienes tenían ahorros en dólares depositados allí.

El caso tuvo rápida exposición en redes sociales y plataformas como Reddit, donde cientos de damnificados compartieron su experiencia y comenzaron a advertir a otros usuarios sobre esta falla desde el pasado fin de semana. Algunos incluso reclamaban la pérdida de decenas de miles de dólares.

Payoneer es una de las billeteras digitales más populares entre trabajadores remotos, freelancers y profesionales que brindan servicios para el exterior y cobran en dólares o euros.

Según distintos reportes, los damnificados recibían mensajes de texto con códigos de verificación y notificaciones de transferencias. Y al intentar acceder a sus cuentas para aclarar la situación, se encontraban con que sus contraseñas habían sido modificadas.

Aunque en principio trascendió que los casos estaban vinculados únicamente con usuarios de Payoneer que usaban Movistar como proveedor de telefonía móvil, también hubo clientes de otras compañías de telecomunicaciones afectados, según víctimas consultadas por Clarín. 

Payoneer es una plataforma conocida entre quienes cobran sus trabajos en moneda extranjera.

A raíz de esta situación, la empresa de servicios financieros con sede en Nueva York emitió un comunicado. "Tenemos conocimiento de casos recientes en los que los estafadores engañaron a los clientes para que hicieran clic en enlaces a sitios de phishing y facilitaran las credenciales de sus cuentas. Por desgracia, algunos clientes hicieron clic en estos enlaces falsos y compartieron los datos de acceso a sus cuentas con los estafadores", manifestaron desde Payoneer.

"Además, estamos al tanto de nuevas modalidades de fraude que comprometen los teléfonos móviles y que también podrían haber afectado a algunos de nuestros clientes", agregó la empresa. Aunque la explicación oficial habla de phishing –método que consiste en el envío de mails falsos para que quienes los reciben entreguen datos personales–, lo cierto es que los usuarios afectados afirman que no recibieron ningún correo electrónico.

En redes sociales se publicaron posteos que mencionaban un dominio web identificado como "alertaspayoneer.com", que ya fue dado de baja y que fue utilizado por los ciberdelincuentes para capturar el correo electrónico de los usuarios de la plataforma de pagos.

Los SMS que recibían las víctimas.

Por otro lado, también se habló de una base de datos de Movistar que podría haberse filtrado y haber sido utilizada por quienes están detrás del ataque.

"Movistar tomó conocimiento por publicaciones en redes sociales que clientes de la compañía que poseen cuentas en la plataforma Payoneer habrían sido estafados a través de la recepción de SMS que, mediante maniobras de smishing, capturaron sus credenciales de la mencionada plataforma", dice un comunicado de la firma de telecomunicaciones que se difundió en redes sociales. El smishing es un tipo de estafa que sigue la misma lógica que el phishing pero desplegada a través de mensajes de texto, pero las víctimas remarcaron que este no fue el caso.

En ese contexto, Movistar enfatizó que no es responsable de los mensajes (ni de su contenido) que terceros cursen utilizando su red. "No obstante lo anterior, hemos tomado medidas preventivas con aquellos números desde los cuales algunos clientes han reportado haber recibido dichas comunicaciones", completa el comunicado.

Cómo se realizó el hackeo de cuentas en Payoneer

La plataforma de pagos utiliza un sistema de autenticación de dos pasos (2FA) que envía un código de seguridad vía SMS al número teléfonico del usuario cuando este intenta ingresar en su cuenta, un método que en reiteradas ocasiones ha demostrado no ser el más seguro dado que si los cibercriminales logran clonar la línea mediante técnicas como el SIM swapping, también tendrán acceso a las cuentas de la víctima.

Además, Payoneer aplica la misma metodología para el cambio de contraseñas. Es por esto que los usuarios afectados tampoco podían ingresar en sus cuentas, dado que quienes les robaron el dinero pudieron cambiar sus claves de acceso.

La principal hipótesis hasta el momento apunta a una posible vulnerabilidad en el proveedor de servicios de SMS contratado por las empresas de telefonía, que le habría permitido a los autores del hackeo interceptar los mensajes de texto con los códigos de seguridad de seis dígitos. Estos mensajes llegaban a los usuarios afectados, que no podían ingresar a sus cuentas dado que ya se les habían cambiado las contraseñas. Y para cuando lograban hacerlo, se encontraban con que el dinero ya había desaparecido.