"Me desapareció plata de mi cuenta de Ualá. Primero no podía abrir la cuenta y cuando lo logré habían transferido plata a otra cuenta", escribía un usuario de Twitter el 27 de febrero. Fue uno de los mensajes que se repitieron en la red social en los últimos días, donde varios usuarios de la fintech reclamaron que sus cuentas estaban vacías, debido a transferencias de efectivo no autorizadas por los mismos usuarios.
Ualá es actualmente uno de los 11 unicornios argentinos (empresas que superan el valor de mil millones de dólares), ofreciendo múltiples servicios financieros y la posibilidad de obtener una tarjeta prepaga sin pasar por instituciones bancarias.
El ataque a los usuarios se desencadenó durante el fin de semana largo y la desesperación fue creciendo con el correr de los días: fueron 68 en total las personas afectadas. Varios de ellos compartieron en sus redes la experiencia y los reclamos se dirigieron contra la empresa y el fundador y CEO, Pierpaolo Barbieri, quien puso en marcha la inmediata respuesta de Ualá, solucionando el caso de cada usuario afectado.
Julio López, reconocido analista informático, fue quien empezó a documentar y contabilizar estos casos, para armar a partir de ahí una reconstrucción de los ataques a usuarios para tratar de esclarecer el hecho.
Ualá negó "vulnerabilidades" y reintegra el dinero
Desde Ualá, compartieron una declaración sobre lo sucedido aclarando que la empresa "no está exenta a estas maniobras” y manifestando que seguían “uno por uno a los 68 casos reportados durante el fin de semana largo”.
Aclararon que "no se trató de una vulnerabilidad en el sistema” y precisaron que la industria financiera “está registrando una cantidad importante de casos de fraude”.
La fintech argentina Ualá llega a Colombia en expansión regional
“Ya están activos todos los protocolos correspondientes y como siempre, nuestra prioridad es la atención a los usuarios. Del mismo modo, seguimos trabajando en iniciativas de educación financiera como Aula Ualá para seguir educando”, sostuvo el comunicado dela fintech.
Desde el miércoles la empresa empezó a depositar el dinero en varias cuentas de los usuarios afectados. Esto fue confirmado por Julio Lopez (“ya pagaron al 80 por ciento de la gente”), aunque agrega que hasta el momento quedaban todavía algunas personas esperando por la solución de sus casos.
Ataque por fuerza bruta, no 'phishing'
A raíz de que las denuncias iban aumentando en Twitter, el propio Barbieri comenzó a dar explicaciones y a intercambiar conversaciones con varios de los damnificados. El empresario recalcó que los sistemas "no habían sido vulnerados” y que los códigos de acceso a las cuentas habían sido descubiertos “por ser muy obvios” o por 'phishing' (delito de suplantación de identidades para obtener información valiosa como contraseñas de cuentas y números de tarjetas de crédito).
Para López, lo de Ualá no se trató de phishing: “Fue un ataque por fuerza bruta, a ciegas o con alguna regla para hacer múltiples intentos hasta abrir (las cuentas) con algo”, explicó el especialista.
Hizo clic en un mail y le sacaron 80.000 pesos: ¿cómo prevenir las estafas virtuales?
El experto señaló "la ausencia del segundo factor de autenticación" seguramente jugó un papel clave para el ataque, ya que si una persona consigue adivinar la contraseña de otra cuenta, automáticamente “puede ingresar a la aplicación” para realizar cualquier transacción. “Te vacían la cuenta y no te enteraste”, afirma.
Además, López indicó que uno puede realizar una transferencia de una cuenta a la otra y “no hay ningún mail que avisara sobre una transacción de salida de dinero”. Esto es porque para la validación de esas transferencias se necesita de una clave de confirmación. Por este motivo, varios usuarios solo se enteraron del problema al ingresar a sus cuentas.
“Ninguna de las personas estafadas fue alertada, sino que pasaron para ver su saldo y allí se dieron cuenta que estaban en cero”, agregó López y señala al sistema de la empresa por no darse cuenta de que los usuarios puedan ingresar contraseñas “vulnerables o inseguras”.
Tampoco la empresa contaba con alguna notificación de apertura en un nuevo dispositivo nuevo. “(Podían) abrir dos veces la cuenta en distintos dispositivos sin avisar que había dos dispositivos abiertos ni que se estaba abriendo por primera vez en uno nuevo”, comenta el analista.
Por último, aporta Lopez, no había una notificación de cambios de contraseña y provocaba que quien ingrese a la cuenta, pueda cambiar la contraseña sin dejar rastro alguno. “No queda registrado en ningún lado, no te llega una notificación diciéndote ‘exitosamente han cambiado el password de tu aplicación’”, asegura.
Adolescente afirma poder hackear 25 autos Tesla en todo el mundo
La metodología usada para el ataque por fuerza bruta fue por una combinación de data breach. En otras palabras, una violación de datos a su sistema con el objetivo de robar información.
“Suponé que a Tinder se le escapa la base de datos de sus usuarios y sus passwords. Entonces los tipos agarran un usuario, toman el password que tenía en Tinder y se lo prueban contra Ualá. Y entonces ahí ven si funciona o no funciona. Eso hasta que apareciera el password”, ejemplificó Lopez y, a causa de no generarse un bloqueo de la cuenta tras varios intentos, no negó la posibilidad de que se haya usado un sistema de hackeo ya que debieron “haber probado cientos de miles de veces para haber podido estafar”.
“No agarras 68 casos y vas con 68 (intentos), le probaron tantas combinaciones hasta que encontraron el password. Fueron probando los passwords hasta que resultaron”, sostiene.
En primera persona
El sábado 26, Mariano Rodríguez ingresó a su cuenta de Ualá para pagar una tarjeta con el dinero que tenía depositado. “Era los rendimientos que tenía generando en inversiones, así que entré a la app para hacer la transferencia”, inicia contando su experiencia Mariano. Para su sorpresa, encontró su cuenta en cero y con tres transferencias hechas (que no había autorizado) a un CVU desconocido.
Inmediatamente hizo el reclamo a la empresa. Por curiosidad, al día siguiente entró a Twitter para ver si a alguien más le había sucedido lo mismo: encontró a 30 personas “que estaban realizando el mismo reclamo”.
Filtración de datos: Herramientas permiten saber si tu mail fue hackeado
Es allí donde se contacta con Julio López, quien ya estaba en contacto con varios usuarios perjudicados. “En ese momento me sumé a un grupo de WhatsApp con más de 40 damnificados. Todos expresamos básicamente la misma historia: entramos de casualidad y vimos varias transferencias a destinatarios desconocidos”, aseguró Rodríguez.
Dentro de ese grupo, se realizó un Excel con la lista de todos los perjudicados y la cantidad de efectivo en sus cuentas al momento del vaciamiento. El total reunido entre las 68 personas superó los tres millones de pesos. “En mi caso, el monto fue alrededor de $80.000”, aporta Mariano quien desde el inicio estaba “100% seguro” que no era un caso de phishing.
“Conozco las maniobras que utilizan para vulnerar las credenciales de personas poco cautas. Nos dimos cuenta de que se trató de un ataque por fuerza bruta: los estafadores intentaron ingresar en nuestras cuentas con distintas combinaciones de contraseñas hasta que pudieron”, explica.
Al iniciar la semana, Mariano realizó la denuncia en el Ministerio de Seguridad y en Defensa de las y los Consumidores. Finalmente, un número privado se contactó con él desde Ualá y le informaron que su dinero sería reintegrado durante la semana.
Al consultarle qué balance sacaba de la situación, el joven destacó “la rápida resolución de la empresa" para brindarle una solución, como también “la predisposición total” de Barbieri para contactarse con los damnificados “incluso en altas horas de la noche”. Igualmente, al igual que López, coincidió en que la empresa debe reparar en aquellas características “que le facilitan el trabajo a los estafadores”.
NM/HB