Escrito por: Jerónimo Corregido
Mathew Bergwall, conocido como el Rey de los Paquetes, concibió una metodología de estafa que explotaba los puntos débiles en las devoluciones de Amazon. Hackeó los servicios de las empresas de logística y vulneró los sistemas para que decenas de miles de paquetes aparecieran como devueltos. Su método se comercializó en el mercado negro.
El método de Mathew Bergwall hoy en día se utiliza para estafar a usuarios.
Mathew Bergwall: el origen de la estafa con devolución de paquetes
En su piso de lujo en Miami, el muchacho parece estar trabajando: escribe largamente frente a la pantalla, acepta operaciones, estira los dedos con satisfacción. Tiene apenas 19. A su alrededor, por donde se mire, hay artículos suntuarios. Rolex, dispositivos electrónicos sin abrir, teléfonos de última generación, ropa de diseño… La vista no alcanza a cubrir todo.
¿Se trata del hijo de un magnate o de un joven emprendedor particularmente exitoso? Ninguna de las dos cosas: es Mathew Bergwall, y desarrolló su capital a partir de una estafa que explota los puntos débiles de Amazon. Todos los productos que tiene alrededor, los consiguió gratis.
Bergwall se percató de que las devoluciones de paquetes no se volvían efectivas cuando estos llegaban al almacén, sino cuando eran escaneados en su punto de regreso. Es decir: para que Amazon concretara un reembolso de dinero, no hacía falta que los productos efectivamente volvieran, sino que el sistema los aceptara como devueltos.
A partir de esto, Bergwall hackeó cuentas de empleados en grandes empresas de logística para acceder a sus terminales. Con esto, pudo llevar a cabo su estafa contra Amazon sin ninguna resistencia. Simplemente llenaba su carrito con artículos de lujo, los pagaba con normalidad usando su tarjeta y por último los recibía en su domicilio.
Cuando obtenía la etiqueta con la información, utilizaba el código para que el paquete figurara de regreso al almacén. Amazon procedía al reembolso y Bergwall se quedaba con el producto. Esto podría haber terminado ahí, pero su creador fue un paso más allá con la comercialización de su método.
El joven no solo estaba robando bienes de lujo en Amazon, sino que también estaba cobrando por su invento en el mercado negro. En el 2023, el gobierno de Estados Unidos lanzó un operativo para rastrear las pérdidas en compraventas digitales, y detuvo a Bergwall. Pero la semilla estaba germinada, y el método echó a rodar.
Una estafa que se volcó contra los usuarios
Luego de enfrentar cargos por más de 40 años de prisión, el creador del engaño fue condenado por apenas un año. Eso sí: tuvo que pagar una multa de 1,5 millones de dólares. La mayor parte de ese monto sirvió para indemnizar a Amazon. Bergwall quedó en la historia como “El Rey de los Paquetes”, el joven que burló el sistema de devoluciones.
Pero su legado no quedó ahí. Si bien el método original había tomado como blanco a Amazon, la misma estrategia comenzó a replicarse para embaucar a particulares. Hoy en día existen tres variantes del fraude de Bergwall que pueden afectar a usuarios de Amazon.
La primera de ellas sucede cuando el contacto telefónico cayó en manos de redes de estafadores. En ese caso, la víctima recibe una llamada del supuesto servicio de atención al cliente de Amazon. Muy gentilmente, el operario explica que hay un reembolso pendiente, o un cobro extra, u otro beneficio en favor del usuario.
Ganada la confianza, el estafador solicita la verificación de la identidad y la descarga de una app específica. Todo lo que se introduzca allí quedará en manos de terceras partes. Esto puede derivar en el robo de los fondos de la cuenta bancaria, si se comparten esos datos.
La segunda variante de la estafa de Bergwall es el paquete que llega sin que nadie lo pida, la famosa estrategia de brushing. Estos productos, por lo general meras baratijas, son enviados por vendedores de baja reputación para aumentar su credibilidad en Amazon. Usan el envío para registrar reseñas de 5 estrellas y mejorar su negocio. No afecta directamente a quien lo recibe, aunque sus datos se utilizan como instrumento del fraude.
La tercera versión se da cuando un hacker consigue las credenciales de una cuenta de Amazon y la utiliza para realizar las falsas devoluciones, exactamente como las haría Bergwall. Solo que hoy en día el servidor tiene defensas contra eso, y automáticamente bloquea la cuenta. Su propietario no podrá utilizarla, y no sabrá que fue utilizada para una estafa.
¿Hay manera de defenderse de los ataques de esta índole? Sí, siguiendo estos tres pasos:
- Utilizar una contraseña única para Amazon: esto minimiza el riesgo de hackeo, en caso de ser presa de credential stuffing.
- Usar la autenticación en dos pasos: de esta manera, aun cuando la contraseña sea vulnerada, los estafadores no podrán ingresar en la cuenta.
- Verificar la seguridad de los datos: se pueden utilizar herramientas como HaveIBeenPwned para ver si el correo electrónico propio ha sido robado por hackers.
