“Así de fácil me timaron en Wallapop. Y el estafador sigue activo”
Un delincuente suplantó la identidad de una tienda en la plataforma y la víctima compró un producto que no existía por 1.650 euros. El defraudador repite su estrategia a menudo
Guillermo solía comprar tarjetas gráficas. Desde hace tiempo son muy buscadas porque tienen muchos usos. Se le ocurrió mirar en Wallapop, una plataforma de compraventa con mucho material de segunda mano. Había una de Nvidia, en un anuncio destacado, a 1.700 euros. “Yo la conozco y ese era el precio mínimo”, dice Guillermo. “Si hubiera costado 500 ya sé que no es real. Regateé al vendedor y me decía que no, que el mínimo es ese, el tío también conocía el producto”, explica.
Era un viernes de febrero por la noche y Guillermo, de 34 años y que prefiere ocultar su nombre completo e imagen para no verse más afectado, cenaba en un restaurante con su novia. Iba pidiendo información extra sobre la tarjeta y garantías al vendedor: un vídeo de la caja y su sello, una foto del carné de identidad. El vendedor lo presionaba porque así podría enviar la tarjeta el sábado por la mañana y lunes estaría en Valencia, donde vive. Llegó un momento en que decidió pagar ya y olvidarse. Hizo una transferencia instantánea de 1.650 euros y fue entonces cuando perdió su dinero.
El vendedor era presuntamente una pequeña tienda seria de la provincia de Bizkaia. Tenía más de 200 reseñas positivas en Wallapop y su nota era de cinco estrellas. Las reseñas de principios de febrero, justo anteriores a la compra de Guillermo eran impecables: ”Todo muy bien”, “perfecto. Muy rápido el envío”, “un trato excelente, todo ha sido superrápido, recomendable 100%”. El problema era otro, cada vez más habitual en internet: el vendedor no era quien decía ser. Era un estafador que había suplantado la identidad de la tienda, había añadido como anzuelo tarjetas gráficas y dispositivos de Apple y los había promocionado con anuncios en Wallapop. Las víctimas iban a llegar. Ese día fue, al menos, Guillermo, que ha hablado con EL PAÍS en Valencia.
Un método simple
Este es el relativamente sencillo proceso de fraude, según la elaborada hipótesis de Guillermo en conversaciones con el estafador y la experiencia de la tienda suplantada. Busca tiendas con buenas reseñas y averigua su número de teléfono. Un modo de hacerlo es escribir a la tienda con una consulta y pedirle hacerlo por WhatsApp, no por el chat de Wallapop. Ya tiene el número. Unos días después el delincuente escribe a esa tienda por WhatsApp haciéndose pasar por el servicio técnico de Wallapop.
El vendedor afectado, José Antonio Solano, publicó la conversación en un foro de internet. El 3 de febrero recibió este mensaje: “Hola buenas, somos el soporte técnico de Wallapop, hemos detectado varias denuncias hacia su perfil y debemos verificarlo para que no sea deshabilitado, contacte con nosotros lo antes posible”. Ese “hola buenas” y la falta de puntos son dos pequeñas alertas de phishing. Pero, en estos casos, a menudo puede más el temor que el análisis sintáctico.
Solano picó y siguió las instrucciones del delincuente, que lo llevó a poner su email y contraseña en una página falsa de Wallapop. Ya había perdido el control de su tienda. El estafador cambió los datos en seguida. Por suerte para Solano, su tienda iba a ser solo un medio para estafar. No perdió dinero ni la cuenta, que Wallapop le devolvió días después.
El ataque del fin de semana
El día de la semana elegido no es casualidad. Solano denunció el mismo jueves por la noche del ataque la suplantación a Wallapop. La respuesta de Wallapop le llegó la noche del lunes. El estafador sabe que tiene al menos tres días para víctimas propicias, de ahí que se gaste unos euros en publicidad. Guillermo buscó otras semanas tarjetas similares y vio que el viernes el mismo estafador tenía otras tiendas suplantadas. A veces entraba en el chat y le preguntaba si era el mismo que lo estafó. “The real one”, fue la respuesta una vez.
Wallapop dice que este retraso de fin de semana pasa muy poco en su plataforma. Primero hay un equipo de moderadores que “permite respuestas rápidas” y “en el 99.4% de los casos las acciones tomadas por los moderadores son correctas, pero existe un restante de casos que se deben rerrevisar y escalar al equipo interno de Wallapop”, dice Federico Coll, jefe de Community Operations de la plataforma. “El caso descrito es una excepción a la regla debido a que solo el 0.009% de los casos tardan más de un día en responderse”, añade.
Ese 0,009%, según Wallapop, es sobre los casos donde se reporta sospecha de fraude. Las cifras de suplantaciones son un porcentaje diminuto de un número muy grande: “De los usuarios que hacen uso de Wallapop, solo un 0,012% ha reportado una suplantación de cuentas”, dice Coll. Según cifras de la compañía, tienen 15 millones de usuarios activos en España y desde su fundación en 2013 ha permitido transacciones de más de 180 millones de personas.
Hay dos detalles fascinantes de este caso. Primero, los dos engañados son usuarios expertos de internet y sus plataformas, no principiantes. “Estaba trabajando y me despisté”, dice Solano por teléfono a EL PAÍS. “Luego me di cuenta al momento. Si lo piensas en frío tiene un par de fallos en la escritura y la presión para hacerlo ya es extraña. Pero era demasiado tarde. Llevo más de 20 años en el mundo del comercio electrónico y me ha pasado”. Solano tiene otra excusa. Unos días antes, otra plataforma, eBay, lo había contactado por email para pedirle una documentación. Ahí hizo comprobaciones y era cierto. Pero ese día, el estafador lo pilló despistado.
Ese es el segundo detalle curioso: estar despistado afecta lo que hacemos. Solano trabajaba y Guillermo cenaba en un restaurante. Con esos dos descuidos y un rato de trabajo, el delincuente ganó más de lo que gana la mayoría de españoles al mes. “¡Qué fácil es estafar!”, dice Guillermo, que habló varias veces con el delincuente. Primero para conseguir más datos sobre él y añadirlos a su denuncia a la policía. Guillermo usó la cuenta de un amigo para comprar otra tarjeta gráfica. Cuando hizo la transferencia fraudulenta, la primera cuenta corriente no había funcionado. El delincuente usaba evidentemente documentación y cuentas falsas. Ahora Guillermo le decía que no funcionaba ninguna y el otro le iba dando más.
Cómo hacerse amigo del delincuente
También quiso lograr que entrara en una videollamada para capturarle la cara. Pero no pudo. Cuando Guillermo se dio por vencido, se hizo colega del malo. Le dijo su nombre de guerra. EL PAÍS ha intentado entrar en contacto con él, de momento sin suerte: su cuenta de WhatsApp sigue aparentemente activa con una foto de unas llantas de coche, la misma que cuando hablaba con Guillermo. El delincuente le ofreció colaborar y le explicó su método: comprar tarjetas SIM con documentación falsa para que la policía no pueda rastrear el número y usarlo para conectarse a internet mediante una VPN buena, que oculta el origen de la conexión. El estafador quería que Guillermo le mandara cajas de tarjetas gráficas para poder engañar a más usuarios, entre otras opciones de colaboración. Guillermo declinó.
EL PAÍS ha tenido acceso a algunas de las conversaciones. Además de algún insulto, Guillermo intenta por todos los medios que el criminal ceda en algo. El otro se hace el loco con frases como estas: “La cuenta [bancaria] no es mía ni de nadie cercano a mi entorno”; “todo es real, pero nada es de nadie, todo online”; “nadie sale perjudicado”. El estafador aconseja a Guillermo que reclame al banco, que le devolverá el dinero, algo que está ahora mismo en los tribunales: “Te lo devuelven en días, en semanas”, lo que no es cierto. El criminal mandó entonces una captura de un DNI español vigente a nombre de un empresario de Tenerife. “Las creo a nombre de este, que me cae peor”, escribe. “Aunque tampoco le va a pasar nada. Tío, la policía está al tanto de que no son estas personas realmente”. La gente afectada por suplantaciones debe lógicamente buscar un abogado y aclarar en un juicio que no fueron ellos.
Al final, el criminal ayuda a Guillermo diciéndole a qué banco debe ir a reclamar por una de las cuentas falsas. Guillermo ha seguido mirando tarjetas en Wallapop en las semanas siguientes y se ha encontrado con el estafador. Tras una conversación aparentemente normal sobre métodos, el criminal escribe: “Tú no sabes quién soy yo, picha”.
Los abogados de Guillermo, del despacho Calvo y Sáez-Benito de Huesca, han solicitado que la policía rastree todas las cuentas que dio el estafador. El juez no lo ha autorizado de momento. Las cuentas no son solo de un banco. Con la pandemia, los bancos facilitaron la apertura de cuentas online y, ahora, algunas entidades han vuelto a poner dificultades para evitar los fraudes. La transferencia de Guillermo se hizo con toda probabilidad a una cuenta falsa del BBVA. El banco explica: “En BBVA monitorizamos la operativa de nuestros clientes para detectar patrones anómalos que puedan constituir un fraude. Cuando se detecta cualquier operación sospechosa se procede a bloquear dicha operativa de manera preventiva. Esta monitorización está siempre activa e incluye el alta digital”.
El objetivo es demostrar que el banco fue negligente al comprobar que el titular era quien decía ser. La policía tiene pendiente investigar a quién pertenece el móvil que se usó para certificar la cuenta corriente. Aunque la policía sepa que esas cuentas no son reales, como dice el estafador, el trabajo de comprobarlo y de tirar de todos los hilos es largo.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.
Sobre la firma
