Nueva estafa de phishing en Wallapop: cuidado con mensajes falsos de venta

El realismo del engaño lo hace casi imposible de detectar
Fabiani advierte que la sofisticación de la estafa podría engañar fácilmente a usuarios menos atentos.

En el mercado digital de segunda mano, la confianza se ha convertido en moneda de cambio para los defraudadores. Un usuario de Wallapop documentó en abril de 2024 cómo una sofisticada campaña de phishing imita con precisión quirúrgica la identidad visual de la plataforma para conducir a sus víctimas, paso a paso, hasta el umbral donde entregan sus datos bancarios. El engaño no explota la ignorancia, sino algo más humano: la familiaridad y la rutina.

  • Una estafa de phishing circula activamente en Wallapop, capaz de engañar incluso a usuarios experimentados gracias a su alto nivel de sofisticación visual y narrativa.
  • El fraude opera en cadena: un mensaje falso de confirmación de venta, un correo de apariencia oficial y un sitio web clonado que replica fielmente la interfaz real de la plataforma.
  • El momento crítico llega cuando la víctima pulsa el botón para 'cobrar su dinero' y se le solicitan datos bancarios completos en una ventana diseñada para parecer legítima.
  • Un usuario afectado ya ha presentado denuncia ante la Policía, convirtiendo su experiencia en advertencia pública sobre los mecanismos exactos del engaño.
  • La defensa más eficaz es recordar una regla sin excepciones: Wallapop jamás solicita datos bancarios ni información de contacto que ya obra en su poder.

Fernando Fabiani tenía unos patines a la venta por 35 euros cuando recibió un mensaje aparentemente oficial de Wallapop: su artículo había sido vendido. Para completar la transacción, le pedían su teléfono o correo electrónico. La señal de alarma fue inmediata: la plataforma ya disponía de esos datos. Aun así, decidió continuar conscientemente para documentar el mecanismo del fraude.

Los estafadores habían construido el engaño con esmero. Poco después llegó un correo de formato impecable, visualmente indistinguible de la comunicación oficial de Wallapop, que lo instaba a seguir instrucciones para finalizar la compra. Un segundo correo, esta vez desde una cuenta genérica, lo redirigió al siguiente paso.

El desenlace era el corazón de la trampa: un sitio web que reproducía con fidelidad la interfaz de Wallapop, donde aparecían su producto y sus datos de venta. Un botón prometía 'Obtener mi dinero'. Al pulsarlo, se abría una ventana solicitando sus datos bancarios completos. La ilusión de autenticidad había sido construida paso a paso para que la víctima bajara la guardia exactamente en ese instante.

Fabiani reconoció que la secuencia lógica de confirmaciones, la familiaridad visual del sitio clonado y el realismo de cada etapa hacían el engaño suficientemente convincente para atrapar a usuarios menos atentos. Tras documentarlo, presentó denuncia ante la Policía. La advertencia es clara: cualquier mensaje en Wallapop que solicite datos bancarios o información de contacto que la plataforma ya posee es, sin excepción, una trampa.

Fernando Fabiani tenía unos patines a la venta en Wallapop por 35 euros cuando llegó el mensaje. Era una felicitación de la plataforma: su artículo había sido vendido. Para completar la transacción y coordinar el envío, le pedían que compartiera su número de teléfono o correo electrónico. Parecía oficial. Parecía real. Pero algo no encajaba.

La plataforma de compraventa de segunda mano es territorio fértil para los estafadores. Miles de usuarios intercambian dinero y datos personales cada día, y la confianza que genera una aplicación conocida es precisamente lo que los delincuentes explotan. Fabiani, experimentado en la app, reconoció la señal de alarma: Wallapop ya tenía esa información. No la pediría de nuevo. Aun así, decidió seguir adelante, consciente del riesgo, para documentar cómo funcionaba el engaño.

Los estafadores habían preparado el terreno con cuidado. Minutos después del mensaje inicial, un correo llegó a la bandeja de entrada de Fabiani. Su formato era impecable, su apariencia indistinguible de la comunicación oficial de Wallapop. El mensaje lo instaba a seguir instrucciones para finalizar la compra. Cuando hizo clic, recibió otro correo, esta vez de una cuenta genérica, no de Wallapop, pidiéndole que procediera al pago final.

Lo que vino después fue el toque maestro de la estafa. El enlace lo llevó a un sitio web que reproducía fielmente la interfaz de Wallapop. Allí estaba su producto, sus datos, todo lo que acababa de vender. La ilusión de autenticidad era casi perfecta. Un botón prometía: "Obtener mi dinero". Al pulsarlo, se abrió una nueva ventana. Esta vez pedía sus datos bancarios. Aquí era donde la estafa cobraba su verdadero valor.

Fabiani, que ha usado Wallapop en múltiples ocasiones, reconoció que el engaño era lo suficientemente sofisticado como para atrapar a usuarios menos atentos. El realismo de cada paso, la secuencia lógica de confirmaciones y redireccionamientos, la familiaridad visual del sitio clonado: todo estaba diseñado para que la víctima bajara la guardia en el momento crítico. Ya ha denunciado lo ocurrido a la Policía.

La lección es simple pero urgente. Wallapop nunca solicita datos bancarios a través del chat de la aplicación. Nunca pide números de teléfono o correos electrónicos que ya posee. Cualquier mensaje que lo haga, por muy oficial que parezca, es una trampa. Los usuarios que reciban comunicaciones sospechosas deben denunciarlas a las autoridades y no seguir los enlaces, por tentador que sea verificar qué ocurre después.

He estado a punto de caer en intento de estafa por phishing en Wallapop
— Fernando Fabiani, usuario que denunció el fraude en X
No sería difícil caer en ella debido a su gran realismo
— Fernando Fabiani, sobre la sofisticación del engaño
The Hearth Conversation Another angle on the story
Inventor

¿Por qué Fabiani decidió continuar con la estafa si ya sospechaba que algo no iba bien?

Model

Quería entender el mecanismo completo. Sabía que era falso, pero siguió adelante de forma deliberada para documentar cada paso y advertir a otros usuarios.

Inventor

¿Qué hace que este phishing sea particularmente peligroso?

Model

La precisión. No es un correo torpe con errores de ortografía. Reproduce fielmente el diseño de Wallapop, usa la información real del producto que vendiste, y cada paso parece lógico y oficial.

Inventor

¿En qué momento exacto se revela el engaño?

Model

Cuando piden los datos bancarios. Wallapop maneja los pagos a través de su propia plataforma. Nunca te redirige a una ventana separada pidiendo tu información financiera.

Inventor

¿Cuál es el riesgo real para alguien que cae en esto?

Model

Robo de identidad y acceso directo a su cuenta bancaria. Una vez que tienen esos datos, los estafadores pueden vaciar la cuenta o usarla para fraudes posteriores.

Inventor

¿Qué debería hacer un usuario si recibe un mensaje así?

Model

No hacer clic en nada. Verificar directamente en la app de Wallapop si la venta es real. Y denunciar el mensaje a la Policía. Eso es lo que Fabiani hizo, y es lo correcto.

Contact Us FAQ