Esta semana, la comunidad de ciberseguridad se vio sacudida por un extenso vaciamiento de cuentas en Payoneer que afectó a usuarios en Argentina. El incidente, que comenzó a tomar relevancia en plataformas como Reddit y Twitter, resalta la fragilidad del segundo factor de autenticación basado en mensajes de texto (SMS), señalado de manera unánime como el método menos seguro en cuestiones de seguridad digital.

Los primeros indicios del ataque surgieron en un hilo de Reddit titulado «Hacked, a shame», donde usuarios reportaron haber recibido mensajes de verificación de identidad y notificaciones de pagos no autorizados a través de SMS. La situación ganó notoriedad en Twitter con el hashtag #PayoneerHacked, atrayendo la atención de usuarios, expertos en ciberseguridad y medios especializados.

Uno de los afectados, que prefirió mantenerse en el anonimato, compartió su experiencia, revelando que recibió múltiples SMS durante la madrugada con mensajes de verificación. Al intentar acceder a su cuenta de Payoneer, descubrió que su contraseña había sido cambiada y que sus ahorros habían sido transferidos. Este patrón de ataques nocturnos sugiere que los atacantes aprovecharon momentos en los que los usuarios estaban menos atentos.

La magnitud de las pérdidas varía entre los usuarios afectados, desde 5 mil hasta 60 mil dólares. Algunos informaron la pérdida de «años de trabajo». La mayoría de los afectados utiliza Movistar o Tuenti como proveedores de telefonía, aunque también se han registrado casos con Claro y Personal.

Movistar emitió un comunicado negando responsabilidad y explicando que tomaron medidas preventivas para números específicos desde los cuales se reportaron las comunicaciones fraudulentas. Sin embargo, los afectados sostienen que la debilidad reside en el uso del SMS como segundo factor de autenticación, un método conocido por ser vulnerable a ataques como el smishing.

La investigación para determinar la cadena exacta de los ataques está en curso, y múltiples hipótesis se barajan, desde una posible filtración de datos hasta campañas activas de phishing. Se destaca que hubo una campaña de phishing dirigida específicamente a usuarios de Payoneer, alojada en un dominio relacionado con entidades bancarias argentinas y con indicios de estar vinculada a servidores en Rusia.

A pesar de los reclamos individuales y colectivos de los afectados, Payoneer responde advirtiendo que no puede confirmar la devolución de fondos en todos los casos. La incertidumbre persiste sobre cómo los atacantes obtuvieron los códigos de verificación, pero lo que queda claro es la necesidad urgente de reevaluar la seguridad del segundo factor de autenticación vía SMS en entornos financieros y aplicaciones que manejan saldos importantes. La comunidad espera respuestas oficiales y acciones preventivas tanto de Payoneer como de las autoridades competentes en ciberseguridad.