Nueva modalidad de robo en Colombia: engañan con falsa app de Nequi y Daviplata

Las formas de pago digital en Colombia se han consolidado en los últimos años. Ir a la tienda del barrio y pagar usando Nequi o Daviplata es una normalidad en la mayoría de ciudades del país. Pero este crecimiento también abre la puerta a delitos que aprovechan esa popularidad para robar datos y dinero a los usuarios.

En 2023 se registraron 18 millones de usuarios en estas plataformas, lo que quiere decir que para los ciberdelincuentes este es un escenario con un amplio margen de maniobra y recientemente ha surgido una modalidad de estafa en la que se invita a descargar una aplicación falsa llamada Nequit, con la promesa de poder usar ambas plataformas en un solo lugar.

Este tipo de robo combina la ingeniería social presencial con la invasión a nuestro teléfono, ya que estamos instalando un software del que no conocemos su procedencia. Así funciona.

Promocionando una aplicación falsa, los ciberdelincuentes buscan llegar a las víctimas para robarles su información. (Daviplata)

La estafa inicia con un contacto presencial y casual. Una persona en la calle se acerca a la víctima para ofrecerle un servicio, algo habitual porque los bancos suelen llevar agentes comerciales a las calles o centros comerciales para venderles tarjetas de crédito, préstamos y demás.

En este caso, el ofrecimiento es una aplicación que promete reunir a Nequi y Daviplata en un solo lugar. Al ser plataformas de entidades financieras diferentes operan cada una por aparte, pero muchas personas tienen ambos servicios, ya que eso no genera ningún cobro.

Después de convencer a la víctima de instalar la aplicación en su teléfono, el delincuente le pide un pago de 50.000 pesos colombianos (12 dólares aproximadamente) para continuar con el proceso. Otra señal de alerta, ya que ninguna de las dos apps cobra por su descarga y se obtienen gratuitamente desde Google Play Store y App Store.

Promocionando una aplicación falsa, los ciberdelincuentes buscan llegar a las víctimas para robarles su información. (Imagen ilustrativa Infobae)

El motivo por el que se exige el pago es porque la instalación se va a hacer mediante una APK, es decir, el delincuente descarga un archivo en el celular y de esa forma instala la aplicación. Un proceso que es legal hacerlo (y muchas apps seguras se pueden conseguir así), pero que en este caso no se conoce la procedencia del archivo.

Es aquí cuando la estafa llega al celular. Al no conocer el origen del archivo, es posible que haya algo más de fondo, como la instalación de una segunda aplicación maliciosa o malware, que posteriormente le permita al ciberdelincuente atacar el dispositivo, robando la información personal, controlándolo o accediendo a contenido privado.

Finalmente, el ataque tiene mayor potencial, ya que la víctima abrirá su cuenta de Nequi y Naviplata en esta aplicación falsa y toda su información y dinero quedan a disposición del ciberdelincuente, que podría robar la plata y los datos al tener el control de esa plataforma.

Esta no es la primera vez que un app falsa de este tipo intenta robar a los usuarios. En 2022, Nequi alertó de una situación similar. En ese momento la divulgación de la plataforma se hizo a través de redes sociales y la promesa era descargar el ‘Nequi infinito’.

La aplicación de dinero infinito de Nequi es falsa y solo busca robar datos y plata. (Nequi)

En concreto, el robo consistía en engañar a los usuarios con una aplicación que tenía dinero infinitamente y se podía usar para realizar pagos. Para obtenerla había que descargar un archivo APK. Pero de fondo es una modalidad de robo que busca los datos personales, financieros y la plata de las víctimas.

• Evitar aplicaciones secundarias: tanto Nequi como Daviplata, así como cualquier banco, cuentan con una aplicación oficial y desde ahí es seguro hacer cualquier tipo de transacción. No caer en promesas de plataformas que reúnen transacciones o cuentas en un solo lugar.
• Descargar de tiendas oficiales: aunque instalar archivos APK es seguro, este tipo de aplicaciones financieras están disponibles en Google Play Store y App Store, por lo que no es necesario hacer procesos externos, especialmente si no se tienen los conocimientos.
• Usar contraseñas seguras y únicas: evitar configurar claves sencillas con fechas de cumpleaños o fáciles de adivinar. Usar combinaciones que disten de números familiares y tener una contraseña para cada plataforma.
• Actualizaciones constantes: mantener el celular y las aplicaciones actualizadas para evitar problemas de seguridad y rendimiento.