Curso de Dinero

8/2/24, 1:51 Cómo robé la cuenta de PayPal de mi amigo
CONCIENTIZACIÓN
Cómo robé la
cuenta de PayPal
de mi amigo
Alguien podría tomar el control de tu
cuenta de PayPal fácilmente y robarte
dinero si no tienes cuidado. Aquí te
mostramos cómo mantenerte a salvo de
un ataque simple pero efectivo.
Jake Moore
01 Feb 2022 , 10 min. read
https://www.welivesecurity.com/la-es/2022/02/01/como-robe-cuenta-de-paypal-de-amigo/ 1/15
Me ha fascinado la idea de poder irrumpir en

un banco desde que comenzó mi amor por
las películas de robo de bancos en la década
de 1990, y creo que finalmente puedo haber
descubierto una manera de hacerlo… Bueno,
algo así. La seguridad de las aplicaciones
bancarias típicas me impresiona
inmensamente, y como especialista en
seguridad, todavía no he pensado en una
forma para intentar eludir las -usualmente
robustas- medidas de seguridad
incorporadas y diseñadas para proteger el
dinero de los clientes de los bancos, tal como
debería ser. Sin embargo, si los bancos son
tan seguros, me pregunté si podría haber
una forma de atacar a uno de los servicios
más populares que a menudo tienen acceso
completo a los fondos de las personas:
Paypal.
Para poner las cosas en perspectiva, en los
últimos 18 meses he demostrado con éxito
lo fácil que puede ser secuestrar una cuenta
de WhatsApp o Snapchat si no tienen la
configuración de seguridad adecuada. Esto
me llevó a preguntarme si debería subir la
apuesta e intentar obtener el control de una
cuenta de una plataforma financiera
utilizando tácticas similares. Resulta que,
solo con el simple arte de “mirar por encima
del hombro”, alguien podría robar el acceso a
tu cuenta de PayPal y podrías perder miles
de dólares.
Los ataques de ingeniería social son cada vez
más comunes y su popularidad está en
aumento entre las bandas criminales. Por
otro lado, son difíciles de usar para
experimentar con alguien en condiciones de

prueba, simplemente porque las “víctimas”
están conscientes del vector de ataque
propuesto, lo cual inmediatamente invalida
la prueba y su viabilidad. Sin embargo, he
¿Quieres recibir
encontrado una manera de apropiarme de la
nuestros mejores
cuenta de PayPal de alguien y demostrarlo
contenidos?
en un experimento legítimo y legal. Y, lo que
es más importante, te lo enseñaré para que
Suscríbete
aprendas a nuestro
cómo evitar newsletter
este ataque en tu
cuenta.
Para demostrar
Tu direcciónesta
de correo
última prueba de
concepto (PoC, del inglés proof of concept),
no elegíNewsletter
apuntar asobre
cualquiera: quería
Crisis en probar
Ucrania
mi hipótesis en alguien que, muy
Newsletter semanal
probablemente, detectaría lo que estaba
sucediendo, especialmente teniendo en
Suscríbete
cuenta que hay dinero involucrado. Es por
eso que elegí atacar a un amigo (llamémoslo
Dave) que ha estado en la industria de la
seguridad durante más de 20 años. De
hecho, Dave es un gurú cundo se trata de
seguridad
Artículosinformática y muy pocas estafas
relacionados
pasan por delante de sus ojos sin que se dé
cuenta de lo
SEGURIDAD queEMPRESAS,
PARA está pasando. Por lo tanto,
era el candidato perfecto.
CONCIENTIZACIÓN
Qué es un ataque DDoS y
cuáles son sus
Que comience el
consecuencias
experimento
Recientemente
CONCIENTIZACIÓNacordé reunirme con Dave y
CVE-2017-11882:
algunos la a quienes solo había
amigos más,
vulnerabilidad
visto más
un puñado de veces en los últimos 18
explotada en correos
meses. Le pregunté a Davecon
si estaría de
malware en LATAM
acuerdo en desempeñar un papel
fundamental en un pequeño hackeo. En pos
de contribuir a una
CONCIENTIZACIÓN, mayor conciencia
SEGURIDAD EN sobre
REDES SOCIALES
la ciberseguridad y mejorar la prevención del
8 razones por las que los
fraude, aceptó permitirme probar cualquier
cibercriminales quieren
cosa en su cuenta,
tus datos a cambio de que yo
personales
comprara el almuerzo… Sin embargo, ¡no
especificó la cuenta bancaria de quién
usaríamos para comprarlo!
Mientras estábamos en el restaurante, Dave
colocó su teléfono sobre la mesa y estaba
charlando con algunos de nosotros. Traje mi
computadora portátil conmigo y, mientras
tanto, abrí el sitio web de PayPal y fui
directamente a la sección favorita de un
cibercriminal: la página de “olvidé mi
contraseña”.
Yo conozco la dirección de correo electrónico

personal de Dave y supuse que es la misma
que usa para PayPal. En un ataque genuino,
el criminal necesitaría saber la dirección de
correo electrónico de la potencial víctima,
pero en la actualidad, las direcciones de
correo electrónico de muchas personas
pueden encontrarse a través de algunas
búsquedas. De hecho, Google, LinkedIn, e
incluso Instagram, pueden mostrar tu
dirección de correo electrónico, que es todo
lo que se necesita para iniciar este ataque a
cualquier usuario de PayPal
cualquier usuario de PayPal.
Entonces, PayPal solicita enviar un “control

de seguridad rápido” a través de una
variedad de medios. En mi investigación,
esto podría ser a través de un mensaje de
texto, un correo electrónico, una llamada
telefónica, una aplicación de autenticación o
un WhastApp. Algunas personas incluso
tienen la opción de verificar la seguridad a
través de preguntas de seguridad que, sin
duda, son tan antiguas como la cuenta y sus
respuestas pueden ser extremadamente
fáciles de averiguar. No tenía idea de que yo
mismo todavía tenía configurada estas
preguntas como una opción, y en ninguna
configuración pude encontrar dónde
eliminar algunas formas de control de
seguridad. Pero, de vuelta con Dave, el único
control de seguridad que él tenía era a través
de mensaje de texto, por lo cual es el
método que nos interesa ahora.
Mientras Dave seguía hablando con
nuestros colegas en la sala de reuniones, hice
clic en “Siguiente”, lo cual generó el envió un
código de seis dígitos a su teléfono
inmediatamente.
Me incliné hacia el teléfono de Dave sin que

él se diera cuenta y toqué la pantalla para
prenderla. Como no había deshabilitado la
previsualización de los mensajes en la
pantalla de bloqueo de su teléfono, vi
fácilmente el código y lo escribí en el campo
para el código de verificación en el sitio web.
¡Esto era todo lo que necesitaba y ya estaba
en su cuenta! El sitio web de PayPal me pidió
que eligiera una nueva contraseña para su
cuenta y la cambié a una que el generador de
contraseñas creó en el momento.
Así que, ahí estaba: mirando los detalles de la
cuenta de PayPal de Dave. ¡Realmente sentí
que había irrumpido en un banco! Estaba
mirando todas las opciones y la información
de las tarjetas bancarias vinculadas. Podría
haber vinculado fácilmente un banco o una
tarjeta de crédito o incluso haber observado
sus datos personales, como la dirección de
su casa. Podría haber cambiado la dirección
de correo electrónico de su cuenta, su
dirección o su nombre, pero en orden de
poner a prueba realmente este ataque, hice
clic en “enviar dinero”. Aunque podría haber
enviado hasta 10.000 euros (me sentí
tentado, e incluso lo escribí), elegí enviar solo
10 euros a mi propia cuenta de PayPal.
¡Recuerden que él había autorizado esto, y
yo le había prometido reembolsarle
8/2/24, 1:51
yo le había prometido reembolsarle
Cómo robé la cuenta de PayPal de mi amigo
cualquier dinero que moviera!
En el momento en el que hice clic en “enviar

dinero ahora”, el teléfono de Dave recibió un
correo electrónico confirmando que el
dinero acababa de moverse de su cuenta y
aquí es donde se quedó helado cuando lo
leyó en su Apple Watch. Yo había movido el
dinero y le pregunté si podía comprarle el
almuerzo, pero su rostro indicaba que no
estaba impresionado.
Recapitulando, en este punto yo podría
haber enviado 10.000 euros a cualquiera de
las 300 millones de cuentas PayPal a lo largo
del mundo con solo ver un código en el
teléfono de alguien. Para mí, esto no tiene
ningún sentido y creo que la gente
claramente necesita ser consciente de este
simple ataque. La vara que uno tiene que
saltar para comprometer una cuenta de esta
manera parece estar demasiado baja,
especialmente cuando se compara la
seguridad con la de un típico banco en línea.
Sin embargo, se ha demostrado que
funciona y que puede tener un daño
potencial considerable.
Es posible que te inclines a pensar que Dave
simplemente debería haber desactivado la
previsualización de las notificaciones en su

teléfono. Sin embargo, como he demostrado
en mi prueba de ataque a Snapchat, todavía
es posible ver estos mensajes cuando las
potenciales víctimas simplemente están
usando sus teléfonos; por ejemplo, cuando
envían mensajes a las personas. A menudo
desconocen el modus operandi y
simplemente ignoran estas
notificaciones/advertencias. Cuando probé
el experimento de PayPal en un teléfono
Android, descubrí que la vista previa del
mensaje de texto estaba habilitada de forma
predeterminada, y tenía un área resaltada
del mensaje que seleccionaba el código de
confirmación para que pudiera verlo aún
más rápido.
Lectura relacionada: Aplicaciones de pago:

cómo mantenerte seguro al pagar con tu
teléfono
¿El reconocimiento facial

(FaceID) hubiera ayudado?
Hubo otro hallazgo al irrumpir en la cuenta
de Dave que significó la gota que colmó el
vaso. En el pasado, había visto a Dave
desbloquear su Iphone usando el
reconocimiento facial, incluso mientras
usaba una mascarilla en la cara. Se trata de
una función de desbloqueo en Apple Watch
que fue introducida en abril de 2021 con iOS
14.5 que evade FaceID, y en ese momento
intenté ponerla a prueba Probé esto en el
intenté ponerla a prueba. Probé esto en el
teléfono de Dave y, como sospechaba,
funcionó fácilmente usando mi propio rostro
tapado por una mascarilla. A pesar de que
recibió una notificación en su Apple Watch
donde decía que había desbloqueado su
iPhone, esto habría sido todo lo que se
necesitaba para desbloquear la
previsualización de un mensaje y,
seguramente, tener el tiempo más que
suficiente para leer el código de
confirmación e iniciar el ataque.
Pérdida del teléfono

Todo esto me hizo pensar en el robo de
teléfonos. Desde que los teléfonos incluyen
la opción de cifrado, había asumido que los
teléfonos robados no valían mucho en el
mercado clandestino y son relativamente
inútiles si los delincuentes no realizaban un
ataque de ingeniería social de seguimiento
para obtener la contraseña de
restablecimiento de Apple o Google. No
obstante, ahora estoy pensando que el
teléfono de cualquier persona está en riesgo
si los atacantes conocen su dirección de
correo electrónico al momento de, por
ejemplo, robarle en un tren. Una simple
mirada por encima del hombre o una rápida
búsqueda en Internet podrían ser suficientes
para obtener esta información con bastante
rapidez y luego obtener el código de
verificación de la forma en que vimos
anteriormente, lo cual significa que el daño
potencial es muy grande.
Preguntas de seguridad
PayPal todavía ofrece preguntas de
seguridad y, por lo que encontré, no pude
eliminarlas, solamente cambiar las
respuestas. La página de configuración de
seguridad de PayPal indica que “Para tu
protección, por favor elige 2 preguntas de
seguridad. De esta forma, podremos verificar
que realmente eres tú si alguna vez hay una
duda”. Sin embargo, pasar tales preguntas de
seguridad a menudo es extremadamente
fácil dentro del mundo de la ingeniería social
y la cantidad de datos disponibles sobre
muchos de nosotros en las redes sociales,
por lo que parece una locura que esta opción
esté disponible para ingresar a una
aplicación financiera.
Entonces, ¿Por qué es tan

fácil?
Los bancos están continuamente trabajando
para que sea más difícil que los criminales
exploten sus sistemas y, a menudo, los
actualizan sin que lo sepamos para
mantener nuestras cuentas seguras. Pero si
utilizamos PayPal como forma de pago en
apps como Uber o eBay, que está
constantemente vinculada a nuestras
tarjetas de crédito y cuentas bancarias, ¿no
es este el eslabón más débil de la cadena?
Sin intención de culpar a PayPal, creo que
hay muchas técnicas de prevención que tú
puedes aplicar ahora mismo, luego de leer
este artículo. De ninguna manera esto es
culpa de PayPal, pero demuestra una

posibilidad que los cibercriminales
intentarán aprovechar y, por lo tanto,
debemos estar atentos.
Métodos de prevención
No confíes en la autenticación en dos pasos

basada en mensajes de texto; siempre que
sea posible, utiliza una aplicación de
autenticación o una clave de seguridad en su
lugar.
Nunca ignores un código de confirmación. Si

recibes uno cuando no lo esperabas,
probablemente haya algo que necesite
investigarse.
Nunca descuides tu teléfono.
Oculta la previsualización de todos los

mensajes de texto y otras notificaciones de
aplicaciones.
Si pierdes tu teléfono o te lo roban,

comunícate inmediatamente con tu
proveedor de telefonía para bloquear la SIM.
Luego, utiliza la opción “Buscar mi” de Apple
o “Encontrar mi dispositivo” de Google para
localizar el teléfono y colocarlo en modo
perdido.
Utiliza una dirección de correo electrónico

alternativa para PayPal, una que otros no
puedan adivinar.
Desactiva o cambia tus respuestas de

seguridad de PayPal por contraseñas
aleatorias que no estén relacionadas con la
pregunta y guárdalas en tu administrador de
8/2/24, 1:51
p g y g Cómo robé la cuenta de PayPal de mi amigo
contraseñas.
Elimina la opción que permite que el

reconocimiento facial funcione con un Apple
Watch mientras usa una mascarilla.
Por supuesto, he contactado a PayPal

pidiendo una respuesta, así que permítanme
dejarlos con lo que su representante tuvo
para decir: “He revisado el documento que ha
compartido hasta su final. Sin embargo, tenga
en cuenta que hemos educado a nuestros
usuarios para que no compartan el código de
seguridad que recibieron de PayPal con nadie.”
Discusión
What
13
Upvote Funny Love
2 Comments
Join the discussion…
LOG IN WITH OR SIGN UP WITH DISQU
Name
 Share
YURIAN ARENCIBIA
2 years ago
Un poco mas le pide la contraseña a dave,
0 0 Reply • Share ›
Gonzalo
Noticias, opiniones y análisis de la comunidad de seguridad de ESET
Acerca de RSS Feed

Contáctanos Dirección
Información Legal Política de Cookies
Política de privacidad
Copyright © ESET, Todos Los Derechos Reservados

Curso de Dinero

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Curso de Dinero

Cargado por

Copyright:

Formatos disponibles

8/2/24, 1:51 Cómo robé la cuenta de PayPal de mi amigo

Me ha fascinado la idea de poder irrumpir en

experimentar con alguien en condiciones de

Yo conozco la dirección de correo electrónico

Entonces, PayPal solicita enviar un “control

Me incliné hacia el teléfono de Dave sin que

cualquier dinero que moviera!

En el momento en el que hice clic en “enviar

previsualización de las notificaciones en su

Lectura relacionada: Aplicaciones de pago:

¿El reconocimiento facial

Pérdida del teléfono

Entonces, ¿Por qué es tan

culpa de PayPal, pero demuestra una

No confíes en la autenticación en dos pasos

Nunca ignores un código de confirmación. Si

Nunca descuides tu teléfono.

Oculta la previsualización de todos los

Si pierdes tu teléfono o te lo roban,

Utiliza una dirección de correo electrónico

Desactiva o cambia tus respuestas de

Elimina la opción que permite que el

Por supuesto, he contactado a PayPal

Upvote Funny Love

Join the discussion…

LOG IN WITH OR SIGN UP WITH DISQU

Un poco mas le pide la contraseña a dave,

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

Acerca de RSS Feed

Copyright © ESET, Todos Los Derechos Reservados

También podría gustarte