Bajo la modalidad de «phishing», se dispararon durante la pandemia. Expertos destacan que el «factor humano» puede ser más vulnerable que el tecnológico.

«Atención: estas recomendaciones de seguridad te ayudarán a proteger tu identidad. Hoy existen muchas personas haciéndose pasar por vos para robar tu información«.

Así, con un cartel escrito en mayúsculas, uno de los grandes bancos privados advierte en su web a los usuarios sobre los riesgos, cada vez más habituales, de ser víctimas de un ciberdelito. El mensaje se replica, con otras palabras y seguido de distintos tips, en las páginas del resto de las entidades financieras.

El fenómeno surge a raíz de una mayor digitalización de las transacciones. Por lo pronto, el fraude y las estafas bancarias son los delitos que más vienen creciendo. Tanto es así que desde la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) señalan que las denuncias se dispararon un 3.000%, desde 2020 a esta parte.

Por distintos mecanismos, como el robo de claves de acceso al homebanking o datos de tarjetas de crédito, los ciberdelincuentes vulneran la seguridad de los clientes e ingresan a sus cuentas.

En los últimos meses, las denuncias se multiplicaron también en las redes sociales y el modus operandi se repetía: los estafadores toman créditos rápidos por los canales online de las entidades, para quedarse con el dinero y dejarle al cliente una importante deuda con los bancos.

«Es el cuento del tío versión digital«, resume Horacio Azzorin, fiscal de la UFECI, en diálogo con iProUP. Y remarca: «Hasta antes de la pandemia, se venía dando más a cuentagotas. Si bien era algo que estaba presente, nunca se había dado con tanta virulencia como cuando empezó la cuarentena».

Ante el incremento de las denuncias, el Banco Central emitió una circular para reforzar las medidas de seguridad que deben tomar las entidades al otorgar préstamos por canales electrónicos.

Ahora, los bancos deben corroborar –por las distintas vías disponibles– que es realmente el cliente quien quiere el crédito. Una vez verificado, deberá enviar mensajes al usuario para advertirle que tiene 48 horas para cancelar el pedido.

Modus operandi

«Hay dos espacios de desprotección o de vulnerabilidad, si se quiere. Uno es el tecnológico y el otro, que es el más vulnerable de todos, es el humano: los errores que cometen las personas al no protegerse. Esto se aprovecha fuertemente por las campañas de phishing«, señala a iProUP Gery Coronel, Country Manager para Sudamérica de Check Point Software Technologies.

El experto añade que esta modalidad consiste en un «intento deliberado por obtener información confidencial haciéndose pasar por quien no es: te mandan un mail que parece del banco o la tarjeta de crédito, o te contactan a través de las redes sociales mediante un usuario que parece ser del banco o una tienda de compras».

Así, continúa el experto, «la víctima es atraída por un préstamo o descuento y no toma los recaudos necesarios para analizar la información. Entonces, pincha algún enlace que puede contener malware (archivo malicioso) y, a partir de eso, se contamina el sistema».

Gabriel Zurdo, experto en ciberseguridad y CEO de BTR Consulting, afirma a iProUP: «Los delitos y estafas online han aumentado como nunca antes. La gente está más conectada y expuesta».

«En cuarentena, el phishing ha sido el ciberdelito más frecuente: 45% de los ataques de seguridad ocurridos. Anuncios emergentes y ventanas de chat son de los más efectivos: al hacer clic, la persona es redirigida a un sitio web de ‘phishing’, para robarle los datos personales, credenciales de inicio de sesión o descargarle malware en su computadora«, añade.

Arturo Pozzali, defensor del Pueblo adjunto y del cliente bancario en la Ciudad de Buenos Aires, donde las denuncias crecieron 200%, afirma a iProUP que «las estafas más comunes suceden a través de cuentas apócrifas, redes sociales, mails o llamados telefónicos, armados con la idea de confundir y que las personas den información clave y así robarles su identidad».

«Son cuentas en redes sociales o mails con las mismas características que las oficiales pero con pequeñas diferencias, posiblemente imperceptibles, donde uno coloca sus datos, claves, mails y un grupo de personas se hace de esos datos, los roba y logra entrar a los homebankings y hacer operaciones», remarca el funcionario.

Bancos en alerta

Más allá de la vulnerabilidad de los usuarios, que pueden caer en engaños de distintos tipos, los bancos también se encuentran expuestos a grandes riesgos. Según Coronel, «se ven afectados de distintas maneras: aumentaron muchísimo los ataques del tipo ransomware, que básicamente es secuestro de información con pedido de rescate«.

«Encriptan las estaciones de trabajo o los servidores y aparecen carteles de este tipo: ‘Si no me depositás en tres horas tanto dinero en bitcoin, no libero la información‘. Ahí hay una extorsión, pero si el banco acepta, viene un segundo nivel de extorsión, ya que los ciberdelincuentes se quedaron con los registros de los usuarios», detalla.

«Hay un concepto clave en tema de ciberdelitos: lo importante es prevenir antes que detectar. Cuando se descubre malware en el sistema, el daño ya está hecho y puede ser muy perjudicial», añade.

Con la migración masiva al teletrabajo, aumentaron 3.000% las estafas bancarias en el último año

«La compañía debe contar con herramientas preventivas. Hay muchas soluciones, que cada vez tienen que cubrir más espacios, ya que hace un tiempo las entidades sólo tenían que proteger su data center y red. Ahora cada cliente del banco tiene las apps en su celular. Con el trabajo remoto, cada empleado trabaja desde la PC donde sus chicos bajan juegos, por ejemplo», advierte Coronel.

El ejecutivo resalta que, «si bien la superficie de ataque se amplió a favor de los delincuentes y hay más espacios de vulnerabilidad», también hay herramientas para proteger» estos flancos. 

Zurdo indica que las firmas de seguridad se enfocan «en cómo las entidades financieras deben enfrentar un fenómeno global, identificar y contener amenazas, integrar las áreas de ciberseguridad con los conceptos tradicionales de control y fraude, y entrenar y preparar la operación y sus recursos humanos».

Consejos de seguridad personal

Más allá de los procesos tecnológicos que lleven a cabo las entidades para resguardar la seguridad de los datos de sus clientes, «el elemento humano sigue siendo el más vulnerable«. Es por eso que los expertos detallan algunas cuestiones básicas a tener en cuenta para no ser víctima de estos delitos.

«Es importante que no le den las claves de acceso a nadie y tener contraseñas ‘fuertes’: el nombre y el cumpleaños de los chicos, no va. Tengamos claves con mayúsculas, minúsculas, números y símbolos», recomienda Coronel.

Además, alerta que no hay que tener claves únicas: «Si uno tiene en Netflix la misma clave que en el banco, por ahí te roban en el streaming y se puede usar para todo. Hay que entender el poder de cómputo que tienen los ciberdelincuentes, que con robots pueden ir probando sitio por sitio millones de claves hasta que aciertan».

Otro aspecto, que es el mismo que remarcan los bancos en sus alertas, es que nunca pedirán a los clientes información sobre las claves ni usuarios por teléfono o mail.

«Hay que validar el usuario: generalmente los mails son parecidos, con una letra diferente. Lo que aconsejo es conectarse uno directamente con la web del banco, llamar directamente y no seguir enlaces que llegan«, remarca Coronel.

Además, indica que «tampoco es aconsejable conectarse a redes Wi-Fi públicas ni usar dispositivos de terceros, como las PC de un cibercafé. En un bar, no hay que realizar transacciones con el banco o las tarjetas, porque una red Wi-Fi pública es tremendamente vulnerable«.

«Muchas de las amenazas más peligrosas se envían a través de ingeniería social, es decir, engañando a usuarios para que cedan sus datos o descarguen malware desde un archivo adjunto o un link», remarca Zurdo, quien aconseja que «es importante estar atentos y practicar el escepticismo: investigar antes de hacer clic para evitar ser víctima de posibles fraudes».

El home banking sólo debe usarse en la red hogareña, recomiendan los expertos

En ese escenario, el CEO de BTR Consulting comparte una serie de recomendaciones sobre hábitos y pautas en relación a la seguridad del usuario:

• No hagas clic en enlaces que soliciten completar tu información personal
• No caigas en esquemas demasiado buenos para ser verdad
• No creas en las ventanas emergentes y las llamadas telefónicas que dicen que tu computadora está infectada
• No descargues programas que se llamen a sí mismos optimizadores del sistema
• Considera deshabilitar las notificaciones push (las que aparecen en la zona superior del celular)
• Utilizá un navegador designado en el que confíes
• Buscá HTTPS y el candado verde en la dirección de los sitios que visites

Con gran parte de la población más conectada a internet que nunca, los ciberdelincuentes están al acecho. Por ello, los usuarios deben pensar dos veces antes de operar con sus bancos o tarjetas de crédito. En estos casos, no hay antivirus que valga.