Las aplicaciones montadeudas persisten en México, a pesar de las detenciones realizadas en la Ciudad de México en 2022 y de las distintas regulaciones destinadas a impedir su proliferación en el país.

Un reciente informe Kaspersky detalla su método más reciente: infectar el smartphone del usuario con el malware SpyLoan para luego robar su información y bloquear su teléfono. Este método también es mencionado por el Consejo Ciudadano para la Seguridad y Justicia de la Ciudad de México.

Malware disfrazado de app de préstamo

El reporte de Kaspersky indica que en América Latina se difunden aplicaciones a través de anuncios de redes sociales, ofreciendo préstamos inmediatos con tasas de interés muy altas.

Una vez que el usuario solicita el dinero y no lo paga, la app inicia un proceso malicioso para acceder a los datos personales del cliente. Esto comienza con el acceso a los contactos y las fotos almacenadas en el teléfono del usuario para forzar el cobro de la deuda, aunque se han documentado casos donde el hostigamiento inicia antes de que termine el plazo.

Kaspersky también detalla métodos aún más extremos en los que estas aplicaciones pueden llegar a bloquear el acceso del usuario a su teléfono.

Según la firma de seguridad, México es el país más afectado por SpyLoan, pero también se han registrado casos en Colombia, Perú, Chile, Brasil, India, Kenia, Pakistán, Nigeria, Uganda y Filipinas.

Los permisos y sus riesgos

Por su parte, el informe del Consejo Ciudadano para la Seguridad y Justicia de la Ciudad de México indica que este nuevo modus operandi de las apps montadeudas ocurre cuando al ingresar, además de los documentos personales y el número de celular, el usuario también da permiso a la aplicación en cuestión para acceder a los contactos, galería de fotos y contraseña.

Esto tiene como resultado que el malware se instale en el dispositivo y se active cuando el usuario no cumple con el pago, bloqueando la pantalla con el mensaje «Bloqueado por falta de pago» e impidiendo el uso del dispositivo.

Hasta el momento, Salvador Guerrero Chiprés, presidente del Consejo Ciudadano, reveló que se han identificado al menos cuatro aplicaciones que utilizan este método: PayJoy, Doy Préstamo, ListoCash y Fácilcash.

Chiprés también reveló un protocolo para salir de la lista de endeudamiento, que incluye solicitar la constitución legal de la empresa, colaborar con las autoridades en el caso, hacer públicos los mecanismos de cobro, evitar el mal uso de datos personales, implementar buzones de quejas y mantener un seguimiento con el consejo.

Los montalikes, una estafa emergente

El director del consejo también ha informado sobre otra estafa, conocida como Montalikes, en la que se engaña a las personas haciéndoles creer que recibirán dinero por dar un «like».

Entre 2022 y 2023, se han recibido 183 reportes de esta modalidad, siendo el 63% de ellos de mujeres. En este caso, el principal medio de contacto es WhatsApp, donde se llega a ofrecer hasta 2,000 pesos por dar «likes» en YouTube.