La aplicación Cash App de Square es vulnerable a los hackers; los clientes afirman: “Te ignoran por completo”

·13  min de lectura
Logo de Cash App en la pantalla de un smartphone. (Foto: Pavlo Gonchar/SOPA Images/LightRocket via Getty Images)
Logo de Cash App en la pantalla de un smartphone. (Foto: Pavlo Gonchar/SOPA Images/LightRocket via Getty Images)

Sin previo aviso, los hackers drenaron cada dólar en efectivo, acciones o bitcoins de algunas cuentas vinculadas a Cash App, la popular plataforma de pagos de Square (SQ), según le contaron a Yahoo Finanzas seis de sus clientes.

Muchos de los 36 millones de usuarios mensuales de Cash App utilizan esta aplicación como sustituto del banco.

“Tuve que vender la sillita infantil para el coche que había comprado hace apenas dos meses para mi bebé para poder alimentar a mis hijos, porque ahora no tengo dinero”, contó Shania Jensen, una joven de 24 años usuaria de Cash App de Utah, refiriéndose a su cuenta poco después de que le robaran casi 3 000 dólares.

Jensen, una de los seis clientes de Cash App que le dijeron hace poco a Yahoo Finanzas que se habían convertido en el blanco de transacciones no autorizadas, dijo que cuando se acostó la noche del 5 de marzo, tenía el dinero en su cuenta, pero al día siguiente a las 7 de la mañana había desaparecido. Dijo que presentó una demanda policial, una queja ante el Better Business Bureau (BBB) ​​y denunció el asunto al fiscal general de Utah.

El tuit que la usuaria de Cash App, Shania Jensen, publicó el 7 de marzo de 2020.
El tuit que la usuaria de Cash App, Shania Jensen, publicó el 7 de marzo de 2020.

¡Me desperté y cada dólar a mi nombre se había esfumado de mi cuenta en medio de la noche! @CashApp @CashSupport @jack, hoy no puedo dar de comer a mis hijos porque tengo CERO dólares. ¡El servicio de atención al cliente de Cash no responde a mis correos ni me devuelve las llamadas! ¡Esto no es ético y no está bien!

Las plataformas de pago a través del móvil como Cash App, así como PayPal (PYPL), Venmode PayPal, Google Pay y Zelle, de propiedad bancaria, han sido testigos de un aumento de las descargas durante la pandemia de COVID-19. Con ese incremento también se han disparado las reseñas de aplicaciones que mencionan la palabra “estafa” o “fraude”, en todos los casos excepto para Zelle, según reportó la firma de inteligencia móvil Apptopia.

Cash App, que representó casi la mitad de las ganancias de Square en el último trimestre, se destaca por su amplia gama de transacciones. Acepta depósitos directos para cheques de pago y fondos de estímulo gubernamentales, procesa transferencias entre particulares, ofrece su propia tarjeta de débito y permite a los usuarios comprar y vender acciones y bitcoins (BIT-USD) dentro de la aplicación. Además, desde el 17 de marzo también empezó a permitir que los usuarios enviaran bitcoins a otros usuarios de Cash App de manera gratuita.

Los seis clientes de Cash App dijeron que los intentos repetidos de hablar directamente con una persona de la empresa para que les ayudara a recuperar su dinero fueron en gran parte infructuosos, agotadores y estresantes. Cash App reconoce que el soporte telefónico en vivo “generalmente no se encuentra disponible”, pero afirma que la lucha contra el fraude es de vital importancia y que ha invertido en tecnología para detectar posibles estafas.

“El 85 % de las aplicaciones que analizamos tienen algún tipo de problema de seguridad o privacidad”

Durante el año pasado, Better Business Bureau (BBB) “cerró” o analizó 2 485 quejas sobre Cash App, y 3 532 sobre Square, donde los clientes también han registrado quejas sobre Cash App. Durante ese mismo periodo gestionaron 928 quejas sobre Venmo y 83 sobre Zelle. PayPal, que tiene 377 millones de cuentas activas, acumuló 7 215 quejas.

Aunque BBB no revela el volumen de quejas pendientes, Lori Wilson, presidenta y directora ejecutiva de la sección de BBB en el Área de la Bahía de San Francisco y la Costa Norte de California, dijo que “probablemente” el número de quejas cerradas sea la métrica que refleja mejor el total de quejas.

Según la Oficina de Protección Financiera al Consumidor (CFPB, por sus siglas en inglés), durante los últimos tres años, la agencia recibió 1 559 quejas sobre Square, la empresa matriz de Cash App, bajo las cuales se archivan las quejas sobre Cash App. La mayoría de las quejas se referían a transferencias de dinero, moneda virtual o problemas con los servicios financieros.

Los datos del proveedor de inteligencia móvil Apptopia muestran que las menciones totales de las palabras “fraude” o “estafa” en las reseñas de los usuarios de la aplicación Cash App aumentaron un 335 % interanual desde febrero de 2020 hasta febrero de 2021. En el caso de PayPal, las menciones totales aumentaron un 191 %. Para Venmo, aumentaron a un 84 %.
Los datos del proveedor de inteligencia móvil Apptopia muestran que las menciones totales de las palabras “fraude” o “estafa” en las reseñas de los usuarios de la aplicación Cash App aumentaron un 335 % interanual desde febrero de 2020 hasta febrero de 2021. En el caso de PayPal, las menciones totales aumentaron un 191 %. Para Venmo, aumentaron a un 84 %.

La firma de inteligencia móvil Apptopia dijo que desde que empezó la pandemia algunas aplicaciones de pago se han visto inundadas de estafas. Las menciones totales de las palabras “fraude” o “estafa” en las reseñas de los usuarios de la aplicación aumentaron un 335 % para Cash App en febrero de 2021, en comparación con febrero de 2020. PayPal experimentó un incremento del 191 % y Venmo del 84 %. Sin embargo, Zelle bajó un 9 %.

Por supuesto, la mera mención de las palabras fraude o estafa en las reseñas no revela con precisión cuán vulnerable es una aplicación, según explicó el experto en informática forense Andrew Hoog, de la firma de seguridad de aplicaciones móviles NowSecure. A pesar de ello, tiene sentido que Zelle tenga menos casos de fraude debido a los grandes bancos que invirtieron en mejorar la plataforma.

“En sentido general, lo que he visto es que la seguridad y la privacidad de una aplicación aumentan significativamente cuando se encuentran bajo el ala de una institución grande y madura”, apuntó Hoog.

Entre las 42 aplicaciones móviles que NowSecure probó en marzo, incluidas las aplicaciones que usan normalmente los consumidores estadounidenses para realizar pagos y transferencias de dinero, 34 de ellas tenían problemas de seguridad que les valieron una calificación “C” y 6 presentaron problemas de seguridad que les dieron una calificación “F”.
Entre las 42 aplicaciones móviles que NowSecure probó en marzo, incluidas las aplicaciones que usan normalmente los consumidores estadounidenses para realizar pagos y transferencias de dinero, 34 de ellas tenían problemas de seguridad que les valieron una calificación “C” y 6 presentaron problemas de seguridad que les dieron una calificación “F”.

Hoog dijo que las aplicaciones móviles y los sitios web móviles en general son particularmente vulnerables a los ataques. “El 85 % de las aplicaciones que examinamos tienen algún tipo de problema de seguridad o privacidad”, afirmó. “Lo que he visto durante más de 10 años, algo bastante deprimente ya que he estado trabajando en este problema durante mucho tiempo... es que esa métrica realmente no ha cambiado”.

En respuesta a las preocupaciones de los usuarios sobre las vulnerabilidades de seguridad de Cash App, un portavoz de Cash App le dijo a Yahoo Finanzas que la plataforma sigue invirtiendo en personal y recursos tecnológicos para combatir el fraude.

“Estamos mejorando constantemente los sistemas y controles para prevenir, detectar y reportar cualquier actividad maliciosa en la plataforma”, dijo un portavoz de la compañía y agregó que Cash App lanzó hace poco una función impulsada por la Inteligencia Artificial para señalar posibles estafas y comenzó a enviar mensajes de texto SMS para alertar a los clientes sobre intentos sospechosos de inicio de sesión.

Hoog dijo que si bien el nivel de sofisticación en materia de seguridad de Square, la empresa matriz de Cash App, no es comparable con el de un banco de primer nivel, es muy respetada en la industria de desarrollo de aplicaciones por su interfaz de programación de aplicaciones (API) y las características de programación back-end que permiten que diferentes aplicaciones se comuniquen entre sí.

El hackeo a Cash App “me ha revuelto el estómago”

Aunque la API de Square es respetada, las acusaciones de estafas en la plataforma de Cash App son alarmantes. Britt Soderberg, propietario de un negocio en California, dijo que le estafaron aproximadamente 21 000 dólares en Cash App. Soderberg contó que, a partir de agosto, los hackers generaron reembolsos falsos repetidos en la aplicación desde su cuenta bancaria a sus contactos auténticos. Cuando sus contactos devolvían el dinero a su cuenta de Cash App, los hackers confiscaron el efectivo para comprar bitcoins y luego lo transfirieron a una billetera de bitcoins desconocida, según Soderberg.

Britt Soderberg, propietario de un negocio en California, dijo que le sacaron de su cuenta de Cash App aproximadamente 21 000 dólares en bitcoins en una serie de transferencias no autorizadas realizadas entre el 10 de agosto y el 9 de septiembre de 2020. Crédito: Britt Soderberg
Britt Soderberg, propietario de un negocio en California, dijo que le sacaron de su cuenta de Cash App aproximadamente 21 000 dólares en bitcoins en una serie de transferencias no autorizadas realizadas entre el 10 de agosto y el 9 de septiembre de 2020. Crédito: Britt Soderberg
Esta captura de pantalla muestra una parte de los aproximadamente 21 000 dólares en transacciones de bitcoins no autorizadas de Cash App que, según el titular de la cuenta, Britt Soderberg, fueron realizadas por un hacker entre el 10 de agosto de 2020 y el 9 de septiembre de 2020.
Esta captura de pantalla muestra una parte de los aproximadamente 21 000 dólares en transacciones de bitcoins no autorizadas de Cash App que, según el titular de la cuenta, Britt Soderberg, fueron realizadas por un hacker entre el 10 de agosto de 2020 y el 9 de septiembre de 2020.

En otra estafa relacionada con bitcoins, los 1 850 dólares que tenía un estudiante de Farmacología de primer año del Área de la Bahía en su cuenta de Cash App vinculada a la cuenta bancaria desaparecieron, según contó el propio estudiante, quien contactó a Yahoo Finanzas en Twitter para contarle sus preocupaciones, pero pidió mantenerse en el anonimato por temor a que revelar más información personal pudiera agravar sus desgracias financieras.

El estudiante contó que los piratas informáticos convirtieron sus fondos en acciones de Tesla (TSLA), luego en bitcoins (BIT-USD) y más tarde vaciaron su cuenta por completo. Dijo que la estafa se produjo en un lapso de 10 minutos, el 22 de febrero. Comenzó con un mensaje de texto de “inicio de sesión instantáneo” a las 10:17 de la mañana que parecía provenir de Cash App.

El texto parecía ser un aviso auténtico de un intento fraudulento de inicio de sesión en su cuenta, según él. En ese momento, dijo que llevaba dos años usando la aplicación sin problemas y que había activado funciones de seguridad como la autenticación en dos pasos, la identificación facial y un PIN para cada transacción.

“Es su dominio oficial. Es el dominio Cash-dot-App”, dijo refiriéndose a la URL que se encontraba en el mensaje. A las 10:21 de la mañana le llegó un mensaje de texto similar con un enlace que lo conectaba a su cuenta. Comprobó dos veces que su configuración de seguridad y sus cuentas estuvieran en orden. A las 10:27 de la mañana, los hackers comenzaron una serie de retiros en efectivo utilizados para comprar acciones de Tesla - la primera transacción procesó acciones por valor de 1 000 dólares, luego 500, más tarde 250 y finalmente 100. Inmediatamente vendieron las acciones y las ganancias fueron transferidas a una billetera bitcoin.

“Mientras ocurría todo eso, no recibí ninguna notificación”, dijo el estudiante, desconcertado de que los piratas informáticos también impidieran a Cash App enviar sus confirmaciones regulares de transacciones.

Dijo que Cash App respondió a su primera señalación de fraude, por correo electrónico, diciendo inicialmente que solo su banco podía iniciar una demanda por los retiros. Afirmó que intentó hablar varias veces con un representante de Cash App, sin suerte.

“Literalmente, se me ha revuelto el estómago todos los días por culpa de esa empresa... y sigue sucediendo, eso es lo triste”, le dijo a Yahoo Finanzas.

“Te ignoran por completo”

Algunos clientes han criticado a Cash App, incluso en su cuenta de atención al cliente en Twitter, así como en Reddit, diciendo que se sienten frustrados por sus brechas de seguridad, tardanzas en las respuestas a las señalizaciones de robo de fondos, desactivaciones de cuentas y un servicio al cliente en gran parte automatizado. La compañía también ha sido acusada en una demanda colectiva putativade violar los derechos de los consumidores a disputar transacciones fraudulentas bajo la Ley de Transferencias Electrónicas de Fondos.

Cash App reconoce que un número de teléfono en su sitio activa una grabación que indica a los titulares de las cuentas que se comuniquen con un miembro del equipo de Cash a través de la aplicación. Los clientes dicen que esas opciones suelen generar un bucle de comunicación en el que los robots, en vez de las personas, gestionan sus señalizaciones de fraude.

“Es casi como vivir una relación abusiva en la que intentas contactar a alguien, pero te ignora por completo”, confesó Jensen, la joven de 24 años que afirma que le vaciaron su cuenta de la noche a la mañana.

En el caso de Jensen, Cash App bloqueó con éxito dos intentos fraudulentos de retirar aproximadamente 2 600 dólares de su cuenta. Sin embargo, minutos después los hackers retiraron cantidades más pequeñas de 1 600, 1 000 y 500 dólares.

“No sé cómo no detectaron eso”, dijo Jensen. Para aumentar su frustración, dijo que los representantes de Cash App estaban disponibles solo mediante solicitudes de devolución de llamada, gestionadas convenientemente a través de la aplicación.

Los estafadores también han aprovechado la falta de agentes telefónicos de Cash App configurando números de contacto de empresas falsas para robar información de las cuentas de clientes, según reportaron WLS Chicago, WRIC Richmond y WTVD Raleigh.

En esta ilustración aparece el logotipo de Cash App en un smartphone. (Ilustración gráfica de Igor Golovniov/SOPA Images/LightRocket vía Getty Images)
En esta ilustración aparece el logotipo de Cash App en un smartphone. (Ilustración gráfica de Igor Golovniov/SOPA Images/LightRocket vía Getty Images)

Lance Gibson fue víctima de esa red.

El 26 de enero, notó que le faltaban 301 dólares en su cuenta de Cash App y buscó en Google una forma de llamar a la empresa. No se percató de que su búsqueda le condujo a una línea de atención al cliente fraudulenta, de manera que un agente de la compañía falsa le pidió que comprobara su identidad usando una aplicación de verificación de la App Store. A los pocos minutos de descargar la aplicación, desaparecieron 1 665 dólares de su cuenta bancaria vinculada.

Gibson dijo que cuatro días después de que su banco le acreditara la pérdida, recibió un correo electrónico generado automáticamente por Cash App informándole de que su caso había sido cerrado. Dijo que para empeorar aún más la situación, su banco le exigió que renunciara a los fondos acreditados porque Cash App se había negado a reconocer la transacción en disputa como fraude.

“Es probable que tenga que pedir un préstamo personal para pagar el alquiler este mes”, contó Gibson.

Soderberg y el estudiante permitieron que Yahoo Finanzas compartiera sus identidades de cuenta “$ Cashtag” con Cash App. Ambos dijeron que Cash App los contactó por correo electrónico después de que Yahoo Finanzas les transmitiera la información. Aunque reconocieron que Cash App les ofreció su ayuda, hasta ahora no se sienten satisfechos con la respuesta de la aplicación.

Soderberg dijo que, a pesar de haber perdido 21 000 dólares, hasta el momento Cash App solo le ha depositado en su cuenta un “crédito provisional” de 267 dólares. Por otra parte, el estudiante contó que Cash App se comprometió a volver a depositar ciertas acciones retiradas de su cuenta.

Jensen dijo que Cash App le ha reembolsado todo el dinero.

Tanto Soderberg como Jensen dijeron que Cash App sugirió, sin más explicaciones, que los hackers pudieron haber accedido a sus cuentas a través de sus respectivos correos electrónicos vinculados, lo cual permitió los movimientos no autorizados.

Todos los usuarios dijeron que les gustaría que Cash App les explicara exactamente cómo sus cuentas fueron vulneradas.

También te puede interesar:

VIDEO | El juego de mesa de moda que requiere habilidad, rapidez y concentración

Alexis Keenan