La compraventa de artículos de segunda mano se ha vuelto muy popular, ya que existen algunas plataformas que permiten hacerlo fácilmente desde casa. Una de estas plataformas es Vinted, un sitio web muy conocido en Europa y Norteamérica para comprar y vender ropa de segunda mano y otros artículos.

No hace falta ir muy lejos para toparse con ciberdelincuentes y estafadores, ya que suelen encontrarse en los sitios web de compras más populares. A continuación, hablaremos de un robo que tuvo lugar en la plataforma de Vinted, aunque este tipo de delito podría haberse producido en cualquier otro sitio de compraventa.

La víctima, a quien a partir de ahora nos referiremos como Helen, es una buena amiga mía que, en general, sabe manejarse en Internet. Lleva años realizando todas sus operaciones bancarias en Internet, suele comprar en tiendas en línea de todo tipo (desde Shein y Aliexpress hasta Amazon o Zara) y también está familiarizada con las plataformas de artículos de segunda mano, donde compra y vende artículos asiduamente.

A Helen le costaba vender algunos artículos en otra plataforma y decidió darle una oportunidad a Vinted. Tenía amigos que la utilizaban desde hacía tiempo, y así podría llegar a un nuevo público que pudiera estar interesado en los artículos que quería vender: un cuadro y unos zapatos de mujer.

Creó una cuenta en Vinted y subió los dos artículos. Se llevó una grata sorpresa cuando, en cuestión de segundos, recibió un par de mensajes de dos personas interesadas, cada una en uno de los productos. Le resultó especialmente sorprendente porque había tenido los mismos artículos a la venta en otra plataforma y nadie había mostrado interés por ellos.

El primer comprador interesado de Vinted le envió una captura de pantalla en la que mostraba cómo había pagado el artículo, y en esa misma captura había una solicitud del número de teléfono del vendedor. Al mismo tiempo, el segundo comprador le pedía su número de teléfono para proceder a la transacción una vez efectuado el pago.

Llegados a este punto, hay que mencionar que, antes de este incidente, Helen nunca había sido víctima de ninguna estafa. De hecho, había sido capaz de reconocer mensajes de phishing en el pasado (soy su referente en materia de seguridad), y es consciente de que hay que tener cuidado. Sin embargo, esta vez la emoción y la prisa por ocuparse de las dos ventas al mismo tiempo le hicieron bajar la guardia. Envió su número de teléfono a los posibles compradores.

Unos instantes después, recibió dos mensajes SMS distintos, ambos del mismo remitente (Vinted). El mensaje de texto era prácticamente idéntico; la única diferencia eran los últimos caracteres de la URL:

Recibir el pago y completar la venta https://sms2waw.win/XxxXxx

Al hacer clic en él, redirigió a Helen a una pasarela de pago con el logotipo de Vinted en la parte superior, en la que se le indicaba que tenía que rellenar los datos de su tarjeta de crédito para recibir el pago. Procedió a hacerlo. Tras rellenar el formulario, apareció un símbolo de carga y parecía que algo había ido mal. Pensando que podría tratarse de un problema con su tarjeta de crédito, Helen introdujo los datos de otra tarjeta.

Unos minutos más tarde, recibió los siguientes mensajes en WhatsApp:

Helen respondió diciendo que no había recibido ninguna notificación. Después, recibió otros mensajes de WhatsApp de un número de teléfono diferente:

Finalmente, Helen recibió un mensaje SMS con el nombre de su banco en el campo «De»:

Para verificar su tarjeta bancaria en el sistema, debe confirmar la notificación en la aplicación de su banco.

Helen abrió su aplicación bancaria, y efectivamente había una notificación que tenía que aprobar por un importe total de 299 euros. Recibió instrucciones adicionales en WhatsApp.

En ese momento, Helen decidió ponerse en contacto conmigo. Me envió capturas de pantalla de los diferentes mensajes que había recibido y me contó el resto de la historia. Le dije que no aceptara ningún pago y que bloqueara sus tarjetas de crédito de inmediato (afortunadamente, se trataba de una operación fácil, de dos clics, en su aplicación bancaria). Denunció a los usuarios a Vinted, así como los números de teléfono a WhatsApp, y canceló sus dos tarjetas de crédito. Por suerte, los estafadores no desviaron el dinero de ninguna de ellas.

El dinero es la gran motivación de los ciberdelincuentes. Estos malhechores son mentirosos experimentados y son hábiles jugando con nuestros sentimientos en el momento oportuno. Esto puede hacer que tomemos decisiones irracionales que en circunstancias normales nunca tomaríamos.

Nota: He traducido del español al inglés cada uno de los mensajes incluidos en este artículo.

Lecturas complementarias:
La estafa de la «chica del cáncer» ha robado más de medio millón de dólares
¿Por qué todo el mundo está siendo hackeado en Facebook?
Casi me estafan desde el correo electrónico de mi universidad