Chau estafas en Mercado Pago: el truco que nadie usa para no perder plata

El avance de la economía digital en la Argentina es imparable, con billeteras virtuales como Mercado Pago, con más de 25 millones de usuarios, que facilitan las transacciones diarias. Sin embargo, esta masividad está acompañada por una creciente sofisticación del delito cibernético.

El contexto de la amenaza en cifras

La Unidad Fiscal Especializada en Ciberdelincuencia (Ufeci) registró un aumento interanual del 21,1% en delitos informáticos en 2024, al sumar 34.468 denuncias. El fraude en línea dominó con el 63% de los casos (21.729 reportes), seguido por la usurpación de identidad (4.637) y el acceso ilegítimo a cuentas. Proteger la cuenta es crucial, dado que los atacantes explotan las debilidades del factor humano y de configuración de los sistemas.

Panorama de riesgos y amenazas

El principal vector de ataque en la Argentina no es el hackeo técnico a la plataforma, sino la manipulación psicológica del usuario.

Ingeniería social

El factor humano es el eslabón más débil, como lo demuestran las siguientes técnicas:

• Phishing: Ataques hiperpersonalizados mediante correos o mensajes de WhatsApp que simulan ser Mercado Pago, que buscan que el usuario ingrese a enlaces fraudulentos para robar credenciales o códigos.
• Vishing: Llamadas telefónicas donde el delincuente se hace pasar por un representante de ayuda, en los que alerta sobre supuestos movimientos sospechosos para obtener claves de acceso o inducir transferencias involuntarias.
• Regla de oro: La empresa nunca solicita información confidencial (contraseñas o códigos) por teléfono o mensajes fuera de sus canales de validación.

La estafa de la aplicación falsa

Es una modalidad en auge que afecta a comerciantes. Los estafadores usan una aplicación apócrifa que simula fielmente la interfaz, colores y hasta el sonido de notificación de pago exitoso de Mercado Pago para mostrar un comprobante falso y llevarse la mercadería.

Para prevenirla, los comerciantes deben verificar siempre el ingreso del dinero en su propio dispositivo o usar terminales de cobro oficiales (por ejemplo, el Point Smart) que emitan comprobantes físicos.

Secuestro de línea

El SIM Swapping es un ataque crítico donde el delincuente, mediante ingeniería social a operadoras de telefonía, obtiene un duplicado del chip SIM de la víctima. Esto desactiva el chip original, permitiendo al atacante interceptar mensajes SMS y llamadas, incluyendo los códigos de autenticación de segundo factor (2FA) esenciales para restablecer contraseñas y vaciar cuentas.

Riesgos de hardware y conectividad

El robo físico del celular es un riesgo primario. Sin un bloqueo de pantalla robusto, el acceso a la billetera digital es directo. Además, el uso de redes Wi-Fi públicas sin una conexión cifrada o VPN facilita la interceptación de datos sensibles (ataques intermediarios).

El desafío estructural: Escasez de talento en ciberseguridad

El contexto de las amenazas se agrava por el déficit de más de 700.000 expertos en ciberseguridad en América latina. Esta carencia facilita la acción de los ciberdelincuentes, quienes evolucionan más rápido que las defensas institucionales. Aunque las corporaciones implementan altos niveles de protección, la responsabilidad final recae en el ciudadano, quien debe actuar como el principal custodio de sus activos financieros.

El doble filo de la inteligencia artificial

La IA es un punto de inflexión con un uso dual:

• Defensa corporativa: Plataformas como Mercado Pago utilizan sofisticados motores de IA y aprendizaje automático para identificar perfiles de riesgo, detectar patrones anómalos de consumo y bloquear operaciones sospechosas de forma automática.
• Asalto criminal: Los delincuentes usan IA generativa para automatizar ataques, crear textos persuasivos impecables (deepfakes) e imágenes o audios falsos indetectables, elevando el peligro del fraude hiperrealista.

Ante esta evolución constante, la tecnología de seguridad por sí sola es insuficiente. La concientización plena y la adopción de medidas preventivas son la única vía para resguardar información y ahorros.

Pasos de protección para Mercado Pago

La seguridad efectiva se basa en la implementación metódica de capas sucesivas de protección.

1. Activar biometría y bloqueo de pantalla: Es el primer nivel de defensa física. Mercado Pago exige una medida de seguridad activa en la pantalla del celular. Se recomienda el reconocimiento facial o lector de huella dactilar. Dentro de la aplicación, en "Tu perfil" > "Seguridad" > "Método de verificación", se debe exigir la comprobación biométrica para la apertura y transferencias.
2. Configurar autenticación de dos factores (2FA): Herramienta crucial contra accesos no autorizados. Se activa en "Tu perfil" > "Seguridad" > "Verificación en dos pasos". Advertencia: El método de SMS es vulnerable a SIM Swapping. Se recomienda usar aplicaciones de autenticación digital (por ejemplo, Google Authenticator), que generan códigos en el propio dispositivo sin depender de la red móvil.
3. Designar una "persona de confianza": Herramienta exclusiva para emergencias (robo o pérdida). Permite a un máximo de cinco contactos designados reportar el incidente para bloquear la cuenta de forma preventiva. Esta acción cierra automáticamente todas las sesiones abiertas e impide el acceso a los fondos.
4. Saneamiento y control estricto de dispositivos vinculados: Se debe revisar periódicamente y cerrar las sesiones abiertas en dispositivos no familiares o en desuso. Esto se realiza en "Más" > "Seguridad" > "Dispositivos vinculados". En caso de sospecha, usar la opción "Desvincular todos los dispositivos".
5. Resguardar y monitorear la tarjeta física: La aplicación permite pausar la tarjeta prepaga o de crédito al instante para bloquear consumos temporales y modificar el PIN de seguridad de forma remota. Es fundamental activar las notificaciones de consumo para la detección temprana de fraudes.

Gestión de crisis: Cómo desconocer una operación no autorizada

La rapidez de respuesta es clave para la recuperación de fondos. El reporte debe iniciarse obligatoriamente dentro de la interfaz oficial de la plataforma:

1. Ingresar a la sección "Actividad".
2. Localizar la transacción sospechosa (revisar montos pequeños).
3. Tocar el detalle del pago.
4. Seleccionar la opción "Tengo un problema" o "Ayuda con este pago".
5. Elegir la frase "No reconozco esta operación" o "Tengo un cargo no reconocido".
6. Proporcionar los datos exactos del movimiento.

Tras el reporte, la compañía inicia un análisis que puede demorar hasta 30 días hábiles. Se evalúa el historial del usuario, la ubicación de acceso (IP) y la reputación del receptor. En casos de fraude evidente, puede generarse un crédito provisorio.

• Botón de arrepentimiento: Para compras en Internet, la Resolución 424/2020 exige a los comercios la inclusión de esta herramienta. Permite revocar la operación por arrepentimiento dentro de los 10 días corridos posteriores a la entrega, obligando al comercio a reintegrar el dinero.
• Transferencia errónea: Si el dinero fue enviado por error a un destinatario equivocado y figura como finalizada, se debe descargar el comprobante oficial (PDF), contactar al centro de ayuda y adjuntar la captura de pantalla y el número de operación. El soporte técnico responde en un plazo de 48 a 72 horas hábiles.

Intervención judicial y recursos de prevención

En casos de delitos graves (por ejemplo, vaciamiento total de cuentas o estafas piramidales), la instancia administrativa puede ser insuficiente. La intervención judicial es fundamental para la persecución penal.

• Denuncia ante la Ufeci: Las víctimas de fraudes complejos deben radicar la denuncia ante la Unidad Fiscal Especializada en Ciberdelincuencia de la Nación con el envío de un correo a la siguiente dirección de correo electrónico: denunciasufeci@mpf.gob.ar.
• Contenido del correo: Descripción detallada del hecho, capturas de pantalla de movimientos ilegales y números de teléfono de contacto fraudulento.
• Regla máxima: No borrar ninguna conversación textual ni registro de llamadas, ya que son elementos probatorios esenciales para las pericias informáticas.

En un escenario donde las billeteras virtuales ya son parte del día a día y el delito digital crece al ritmo de nuevas herramientas, incluida la inteligencia artificial, la seguridad no depende solo de los sistemas de las plataformas: también de los hábitos del usuario. Activar la biometría, reforzar la verificación en dos pasos, controlar dispositivos vinculados, designar una persona de confianza y desconfiar de llamados o enlaces "urgentes" son medidas simples que reducen drásticamente el riesgo.

Y para comerciantes, la regla sigue siendo la misma: no entregar mercadería hasta ver el dinero acreditado en la cuenta. Prevenir, documentar y actuar rápido ante cualquier sospecha es hoy la mejor forma de cuidar los ahorros en la economía digital.