Ciberdelincuentes roban las claves de los usuarios bancarios para sacar un préstamo y vaciar las cuentas. Cómo evitarlo y denunciar en caso de ser víctimas

Desde la llegada de la pandemia, la migración de distintas operaciones bancarias hacia métodos digitales se tornó una constante. A partir de una necesidad inaudita, entidades y usuarios comenzaron a interrelacionarse de manera remota, a través de diferentes canales.

Se trató de una solución a los desafíos sanitarios que impuso el Covid-19, pero también abrió las puertas a una modalidad delictiva que no era tan frecuente: las estafas a través del homebanking.

La operatoria más utilizada por los ciberdelincuentes es robar la identidad y claves de los clientes bancarios para ingresar a sus cuentas, pedir créditos, retirar el dinero y desaparecer. La víctima queda así con su saldo bancario en cero y una deuda por cancelar con la entidad.

Los asaltantes virtuales tienen dos maneras de hacerse de los datos de las víctimas:

• Engaños mediante conversaciones: en redes sociales, mails o telefónicas, lo que se conoce como «ingeniería social»
• Phishing: correos electrónicos o mensajes en redes que simulan ser auténticos

En consecuencia, los clientes deben estar atentos, no dar información antes de certificar la identidad de su interlocutor y robustecer sus claves de acceso.

El aumento de los ataques al homebanking, de casi 3.000% en el último año, alertó primero a las entidades, que «inundaron» de correos a los usuarios advirtiéndoles sobre la proliferación de estafas digitales; y luego al Banco Central, que modificó en julio los requisitos para acceder a los créditos preaprobados.

Pandemia y estafas

Arturo Pozzali, defensor adjunto del Pueblo de la Ciudad de Buenos Aires y defensor del Cliente Bancario, asegura a iProUP que a partir de la pandemia les «empezaron a llegar muchas denuncias de gente a las que le vulneraban las contraseñas y les tomaban créditos«.

«El año pasado comenzamos a enviar oficios y comunicaciones al Banco Central y a las entidades. Les dijimos: ‘El sistema de otorgamiento de préstamos, como está armado, para la realidad actual, es problemático‘», recuerda Pozzali.

Según el funcionario, la propuesta exigía que «los créditos preaprobados tuvieran un grado mayor de dificultad para la obtención. Sobre todo, porque el crecimiento de las denuncias de personas a las que no sólo le vaciaban la cuenta, sino que le sacaban un crédito, extraían el dinero y los dejaban endeudados«.

Según los expertos, las estafas virtuales crecieron 3.000% en Argentina

«Son ataques de ingeniería social. Esto implica algún tipo de método de manipulación o engaño, en el que siempre el criminal se hace pasar por el bancoy le ofrece a la víctima algo que necesita. Estas víctimas son captadas por las redes sociales en la mayoría de los casos», detalla a iProUP su parte Jorge Litvin, abogado especialista en cibercrimen y Chief Legal Officer en Resguarda.

De acuerdo con el experto, la operatoria es la siguiente:

• Los criminales monitorean Twitter, Instagram o Facebook para ver quiénes siguen las cuentas oficiales de los bancos o les hacen reclamos
• Desde una cuenta paralela, que replica la imagen del banco, su descripción idéntica e incluso los mismos posteos, se comunican haciéndose pasar por la entidad y dicen: ‘Nosotros le solucionamos el problema’
• A partir de ahí comienza el proceso de manipulación. «Los engañan para obtener los datos de ingreso a la cuenta y les piden el código del token. Entonces, el criminal ya tiene la posibilidad de operar como si fuera el propio usuario

Pero, más allá del engaño «personal», existe otra técnica utilizada por bandas delictivas: el phishing. Miguel Rodríguez, Director de Seguridad informática en Megatech, indica a iProUP que «usan emails y páginas web falsas: cuando el usuario hace clic en un enlace, los hackers obtienen los datos de ingreso a las cuentas bancarias».

Y asegura que «esta información luego es publicada en la dark web, que es donde se expone lo robado, como claves bancarias, datos de tarjetas de crédito, etcétera».

Qué pasos deben seguir las víctimas

Una vez consumado el delito, los usuarios estafados se encuentran que, al ingresar a sus cuentas bancarias, el saldo está en cero y tienen una deuda con la entidad. A partir de ahí, deben iniciar  un camino de denuncias penales y civiles para demostrar que fueron víctimas de un robo y evitar el pago, mes a mes, del préstamo que ellos no tomaron.

«Hay que seguir dos instancias distintas. Por un lado, la denuncia penal que se hace en la fiscalía o la comisaría, porque es un delito. Pero después a la gente le queda la problemática de pagar el crédito y eso no se resuelve en la justicia penal«, advierte Pozzali, quien enumera los pasos a seguir:

• Se pide obligatoriamente una instancia de arbitraje previo. En la Ciudad, eso lo hace el gobierno porteño vía Defensa al Consumidor
• Después, desde la Defensoría del Pueblo enviamos la instancia administrativa a los bancos: algunos tienen respuestas favorables, aunque en otros casos se complejiza más
• Juicio civil y comercial. Ya hay varios fallos de cámaras que fijaron que el banco no podía cobrar, al menos hasta que falle la justicia penal y se compruebe que fue un robo de identidad

«Cuando llegan este tipo de casos, interponemos una medida cautelar contra el banco, para que no debiten mes a mes las cuotas del préstamo que el usuario no generó», señala Litvin.

El abogado coincide con el Defensor del Pueblo en que «lo primero es la denuncia penal, con la que se le dice al juez civil que el cliente fue estafado». Señala que «en casi todos los casos le dieron la razón al usuario e impidieron que los bancos debiten las cuotas, por lo menos hasta que haya una resolución final de la causa penal».

Los especialistas recomiendan que lo primero que deben hacer las víctimas es hacer la denuncia en la comisaría o la fiscalía

«Como quizá no se encuentren a los autores, pero sí se determine que hubo un delito y que la víctima no pidió el préstamo, probablemente los bancos no puedan cobrarles a los usuarios«, agrega. A raíz del incremento de este tipo de casos, el Banco Central modificó la operatoria a principios de julio.

«El crédito preaprobado existe, pero para otorgarlo el banco tiene que garantizar la identidad por otras vías y depositar el dinero 48 horas después, no de inmediato. La entidad tendrá ese tiempo para informar por los distintos canales que depositará la plata: si no la rechazás, te la acredita», señala Pozzali.

Cuidar la identidad

«Lo primero que trato de trasladar a las personas es que deben comprender que hay que cuidar la identidad. Es un activo: hay que comprender lo importante que es cuidarla«, señala a iProUP Rodrigo López Guerra, CTO de Ixpandit Fintech Factory. Para ello, el directivo remarca que «la industria debe movilizarse en nuevos vectores de certificación de seguridad».

«Se podrían implementar nuevas medidas, como un DNI electrónico que ayude a identificar como tercer vector: debes tener la clave, el token y el DNI con el chip de la persona. O algunos datos difíciles de obtener», indica López Guerra.

Y añade: «Por ejemplo, si para validar la identidad se pidiese el número de trámite de DNI, es un dato difícil de robar si no tenés el documento. Puede ser que el día de mañana no sea un vector de defensa, pero hoy lo es, porque muy poca gente tiene acceso a ese dato», agrega.

Por otro lado, el CTO de Ixpandit plantea que las entidades podrían detectar el intento de estafa a partir del comportamiento anómalo del usuario en su homebanking. «Hay modelos estadísticos que deberían poder predecir con muy buena exactitud el comportamiento normal de una persona en su cuenta. Además, ya los utilizan los bancos para vender créditos», señala.

Cómo protegerse

Según explicó Rodríguez, director de seguridad informática en Megatech, hay una serie de recomendaciones que los usuarios deben tener en cuenta para no ser víctimas de esta modalidad:

• Nunca brindar datos personales de forma telefónica, mail, WhatsApp o mensaje de texto SMS. Las entidades bancarias no piden esta información a sus clientes
• Jamás hacer clic en enlaces que llegan por correo electrónico, aunque este parezca haber sido enviado desde su banco.
• Siempre ingresar al sitio web, de forma en la barra de direcciones del navegador, para evitar ser víctima de las estafas de phishing
• No responder pedidos para aceptar una transferencia o resolver un error en el envío de fondos

Además, para mejorar la seguridad de las cuentas bancarias, el experto recomienda:

• Activar la autenticidad de dos factores o «dos pasos». Así, para operar con las cuentas bancarias se solicitará, además de la clave, un código que se envía al celular o email del usuario
• Usar contraseñas que sean complejas para dificultar que sean «adivinadas»
• No usar las mismas claves en diferentes aplicaciones. Cambiarlas una vez por mes
• Nunca usar una computadora pública o una red WiFi desconocida para acceder a homebanking
• Mantener actualizado el sistema operativo y el navegador de las computadoras que se usan

Así, la mejor manera de resguardarse es operar llamando al banco o ingresando en el sitio o la aplicación de la entidad. Y proteger los datos personales y financieros. Y estar atentos porque los ciberdelincuentes hoy están más activos que nunca.