Wallapop vuelve a estar en el centro de la actualidad porque junto a Vinted o Airbnb tendrán de plazo hasta el 6 de abril para presentar a Hacienda la información de sus vendedores que realicen anualmente más de 30 operaciones de venta de bienes con un importe superior a 2.000 euros. Es momento de mucha actividad en estas plataformas y una oportunidad para los ciberestafadores. En el caso de Wallapop no es la primera vez que se suplanta su identidad para intentar estafar al vendedor, sobre todo si es nuevo. Buscan sus credenciales y los datos de la tarjeta bancaria.
La estafa al 'novato' de Wallapop
Cuando dos personas se ponen de acuerdo en Wallapop, una para vender y otra para comprar, aparece la opción de enviar el producto en lugar que quedar para entregarlo en persona. De esta forma, el pago se realiza en una transacción en línea, cuya cuantía recibe el vendedor una vez el producto se ha entregado.
Esta modalidad de venta mediante envío requiere que el comprador pulse el botón de pagar e introduzca los datos del medio de pago y una dirección de entrega, que puede ser también una oficina de correos. Por su parte, el vendedor ingresará el dinero acordado en un monedero o en su cuenta bancaria.
Se trata de un proceso sencillo que, sin embargo, para las personas que lo usan por primera vez puede generar ciertas dudas, lo que precisamente aprovechan los ciberdelincuentes en una nueva estafa que aprovecha la venta con envío para robar los datos de su cuenta y su tarjeta al vendedor. El estafador cumplirá con las preguntas habituales de buen comprador al interesarte por el estado del producto, el precio, posibles rebajas... hasta que se acepta el envío.
El problema llega después, cuando el vendedor marca como reservado el producto, momento en que el cibercriminal, si ha detectado que la víctima no lleva mucho tiempo usando la 'app' o es la primera vez que realiza un envío, intentará engañarla. En este caso, fingirá aportar su experiencia en el uso de Wallapop para ayudar, señalando, por ejemplo, que el vendedor no ha hecho bien el registro de su cuenta y que por eso no le permite hacer el pago. De hecho, asegura que se debe a que falta el correo electrónico e incluso llega a pedirle a la víctima que le diga el 'email' con el que se ha registrado.
Si la víctima se lo da, recibirá en su bandeja de entrada una comunicación supuestamente procedente de Wallapop, en la que se indica que "el sistema ha reservado con éxito su artículo para la venta" y que para confirmar el pedido debe pinchar en el botón que se incluye. Al hacerlo, se le redirige a una página de 'finalización de pedido' que "emula casi a la perfección al sitio legítimo de Wallapop en Internet", como apuntaban hace meses desde Panda Security.
En esta página, el vendedor encuentra opciones que le instan a confirmar el correo electrónico, restablecer la contraseña o confirma la tarjeta de crédito para efectuar pagos. Sin embargo, se trata de un sitio cuidadosamente diseñado para conseguir la numeración completa de la tarjeta, la fecha de caducidad y el código CVV.
