Estafas virtuales bancarias y el límite de lo vulnerable

La pandemia aceleró este fenómeno y la cantidad de personas engañadas. Y la “ingeniería social” hizo el resto, utilizando todo artilugio para consumar la estafa. Hubo un momento, antes de aplicar la “ingeniería social” para obtener las credenciales de acceso al h

omebanking

por ejemplo, donde los cajeros automáticos se adulteraban (actualmente sigue existiendo pero en menor medida), se obtenían los datos de la tarjeta y los delincuentes la clonaban. Los bancos aplicaron barreras de seguridad para que no suceda o sea más costoso o complicado. Pero, hoy la tecnología permite que una persona desde su casa y con algunos conocimientos de informática pueda efectuar miles de robos por minuto. Por eso, y a pesar de los habituales avisos de bancos o plataformas de comercio electrónico sobre estafas o posibles engaños, se sigue cayendo en la trampa de los ciberdelincuentes. ¿Por qué pasa esto? Todavía cuesta entender que los vulnerables son los usuarios de internet, y no siempre las aplicaciones o plataformas con las que se opera. En estos casos, la tecnología es usada a favor del delito y es ahí donde hay que hacer mayor énfasis, para prevenir y anticipar el engaño. Generalmente, los delincuentes buscan datos de usuario, contraseñas, segundos factores de autenticación o

token

. En este sentido, mucho se ha escuchado sobre estafas bancarias vinculadas a la emisión de créditos preaprobados debido a que los clientes brindan a desconocidos sus credenciales de acceso a los canales digitales e incluso su segundo factor de autenticación. Aquí reside la importancia de la concientización que las entidades vienen haciendo en el último tiempo. Si producto del engaño se brinda a desconocidos las credenciales de acceso y el

token

, es muy difícil que ellas puedan detectar que detrás de esa operación hay un ciberdelincuente. Por ejemplo, cuando se realiza una operación por un canal electrónico la única manera que tiene un banco de corroborar la identidad del cliente es mediante usuario, contraseña y segundo factor de autenticación. Si estas credenciales se brindan a un tercero no hay manera de saber quién la está ejecutando. Estos datos funcionan como una firma electrónica ante un canal digital, por eso no se debe entregar a nadie y mucho menos por teléfono. Los bancos informan habitualmente que no solicitan a sus clientes sus credenciales de acceso. Pero, además, una medida de seguridad adicional es contar con contraseñas seguras. Esto es que tengan signos de puntuación, mayúscula, minúscula, y una numeración. Hoy se tiene contraseña para todo: correos electrónicos, cuentas bancarias, cajeros automáticos, redes sociales. Lo cierto es que se debería contar, en todos los casos, con contraseñas diferentes. Utilizar un administrador de contraseñas (que las guardan y encriptan) puede ser un recurso eficaz para estos tiempos donde todo es digital. Aun así, si pesar de todo esto se es víctima de una estafa virtual lo primero que hay que hacer es comunicarse con la entidad con la que se opera y avisar el caso. Luego, realizar la denuncia correspondiente ante las Fiscalías de Ciberdelito para que sean investigadas.

 Recientes medidas del BCRA

A raíz del crecimiento de las estafas virtuales vinculadas con el otorgamiento de créditos preaprobados a través de

homebanking

, el Banco Central de la República Argentina recientemente emitió una medida para que los bancos corroboren la identidad de sus clientes al momento de solicitarlos por los canales electrónicos disponibles. La medida establece que “la verificación deberá hacerse mediante técnicas de identificación positiva. Recién después de la verificación, la entidad deberá comunicarle –a través de todos los puntos de contacto disponibles– que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de las 48 horas hábiles siguientes. El citado plazo de acreditación podrá ser reducido en el caso de recibirse la conformidad del usuario de servicios financieros de manera fehaciente”. Pero ¿de qué modo estas entidades deberán confirmar la identidad de sus clientes? ¿Cuáles son las herramientas más seguras? Muchos hablan del reconocimiento facial, el t

oken

, un llamado telefónico, un mensaje por SMS o servicio de mensajería. La realidad es que la gran mayoría de los bancos ya viene aplicando estas medidas, y las estafas siguen creciendo. Por eso, la única manera de poder combatir esta ola de engaños es ser conscientes del uso que se hace de la tecnología, de internet y los dispositivos. Actuar en este sentido siempre será, a la larga, más efectivo que establecer una discusión sobre la seguridad o vulnerabilidad de las plataformas que se usan.

(*) El Ingeniero. Pablo Rodríguez Romeo (MP 49452 - MN 5117), es perito Informático Forense, especialista en Seguridad - Socio del Estudio CySI de Informática Forense –

http://www.cysi.com.ar