El mayor uso de la banca digital a causa del confinamiento incrementó también los ciberataques al sistema bancario y fraudes a sus clientes. Las técnicas criminales han mejorado tanto que incluso logran usurpar números de los call centers de los principales bancos del país, para obtener información de sus víctimas.
El pasado 9 de octubre Víctor recibió una llamada (supuestamente) de su banco, para alertarle de varios "intentos inusuales de compras por internet". El presunto ejecutivo, siempre amable y asertivo, le explicó la gravedad de la situación: alguien más tenía sus datos y era urgente cambiar contraseñas para proteger su dinero.
- Te recomendamos Fraudes cibernéticos aumentaron en pandemia y seguirán creciendo: bancos Negocios
Ante la negativa de Víctor de proporcionar algún tipo de información, el ejecutivo le pidió comparar el número de teléfono que aparecía en la pantalla de su celular con el plasmado al reverso de su tarjeta bancaria, para así comprobar que efectivamente se trataba de una llamada hecha desde el propio banco. El número coincidía, así que continuó en la llamada durante casi 20 minutos, hasta que le pidieron proporcionar el NIP de su tarjeta.
“Colgué porque sé que no te pueden ni deben pedir tu contraseña por teléfono, pero el número del que me hablaron sí era del banco y el que me habló sí sonaba a ejecutivo bancario. Después marqué yo directamente al banco para preguntar si era cierto y todo era una mentira”, dijo a MILENIO.
Este tipo de llamadas son técnicamente conocidas como vishing, una práctica común para el robo de información bancaria que consiste en que los delincuentes simulan ser empleados de alguna institución financiera y sin agresión verbal de por medio, envuelven a sus víctimas para obtener su información bancaria como contraseñas.
El ex titular de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), Mario Di Constanzo, aseguró que los defraudadores hackean las líneas telefónicas de los call centers de bancos, organismos gubernamentales y empresas. De esta forma enmascaran su número telefónico e incluso llegan a utilizar grabaciones oficiales de los bancos para obtener la información personal.
“En 2018 empezó a crecer este tipo de llamadas. Te marcan y tú estás viendo el número telefónico del banco, el mismo que aparece en la parte de atrás de la tarjeta, y es ahí cuando confías y comienzas a proporcionar la información de datos personales y bancarios”, explicó.
De 2018 a la fecha, la Condusef tiene registro de 2 mil 672 números telefónicos identificados como posibles fraudulentos.
- Te recomendamos 5 datos que quizá no sabías sobre Andorra, el nuevo miembro del FMI Negocios
Pandemia aumentó ataques
El aumento en el uso de banca digital, a consecuencia de la pandemia del covid-19 y el confinamiento, también incrementó los ciberataques al sistema bancario y fraudes a los clientes, algo que seguirá aumentando a escala mundial, afirmó el presidente de la Asociación de Bancos de México, Luis Niño de Rivera, durante su participación en el Congreso Internacional de Investigación Financiera.
Sin embargo, dijo, los fraudes cibernéticos representan apenas 0.7 por ciento de los 144 millones de transacciones que se realizan diariamente en la banca nacional, además de que los bancos invierten todos los años cerca de 25 mil millones de pesos en tecnología y una parte sustancial de eso es para la ciberseguridad.
“Como transitamos al mundo digital y ha incrementado su uso considerablemente en el confinamiento, evidentemente los ciberataques son más intensos. No son problemas locales, son mundiales. Hay redes de delincuentes muy bien organizados que permanentemente están buscando vulnerar bases de datos, procesos operativos y controles de todo el sistema”, dijo.
En esto coincide Juan Marino, gerente de Ciberseguridad Regional de Cisco, al asegurar que este tipo de fraudes están lejos de ser atracos individuales y en su mayoría son solo un eslabón de una extensa red criminal.
“Tenemos que entender que no estamos hablando necesariamente de individuos, sino de organizaciones criminales donde hay una cadena del cibercrimen. Sí hay individuos que pueden ser el último eslabón de la cadena, los que generan el ataque, pero se están apoyando de herramientas e infraestructura que ya fue creada por estas organizaciones. Hay un avance en su sofisticación”, explicó a MILENIO.
De acuerdo con el experto, este tipo de ataques pueden ser dirigidos hacia personas específicas, con un trabajo previo de inteligencia donde el que intenta hacer el fraude conoce el banco o tipo de servicios financieros que usa la víctima, o de manera aleatoria como sucede actualmente por el aumento del uso de la banca en línea.
Cifras de BBVA México, el banco con más clientes en el país, muestran que entre junio y agosto de este año creció 62.7 por ciento las operaciones de transferencias interbancarias por SPEI, respecto al mismo periodo del año pasado.
En redes sociales las quejas se cuentan por decenas. Usuarios compartiendo que recibieron una llamada de sus respectivos bancos solicitando “validar” información para “dar mantenimiento a la cuenta” o bien para “frenar compras en línea sospechosas”.
De acuerdo con el Comité Especializado de Seguridad de la Información, órgano consultor del Consejo de Seguridad Nacional, durante los meses de contingencia sanitaria por la pandemia, el número de ciberataques a empresas, instituciones gubernamentales y personas en el mundo se incrementó hasta en 400 por ciento.
Prevención
Para Juan Marino en la solución de este problema el usuario es pieza clave; “que todos los usuarios entiendan que tienen que desconfiar, que tienen que romper con esa tendencia de confiar cuando se trata de sus transacciones digitales, de sus servicios financieros. Desconfianza total, no deben entregar ningún dato sensible ni por teléfono, ni por correo, y ante la duda, buscar los canales oficiales de comunicación con la entidad financiera”.
El portavoz de Cisco consideró que desde el lado de los bancos, estos tienen la responsabilidad de informar a través de sus propios medios los tipos de fraudes que acechan a sus clientes, así como incorporar tecnología para la prevención de ataques en sus sistemas de seguridad, los cuales detectan en automático comportamientos inusuales en la banca.
"Cuando el criminal intenta usar la información obtenida para robar, lo va a hacer desde un dispositivo y una ubicación geográfica que no son los normales, y eso se puede detectar tecnológicamente. Los bancos tienen que incorporar las capacidades tecnológicas para que automáticamente el sistema detecte un comportamiento inusual y evite esa transferencia", afirmó.
Para evitar cualquier tipo de fraude, la Condusef recomienda no proporcionar nunca datos personales y bancarios por vía telefónica o a través de mensajes, toda vez que las empresas y bancos nunca van a solicitar los datos financieros o números de tarjetas de crédito por teléfono o internet, cuando no sea el usuario quien inicie una operación. Siempre se debe llamar directamente a la institución financiera.
Mario Di Constanzo aseguró que la recomendación más viable para no caer en la trampa de la suplantación es nunca hacer caso a este tipo de mensajes y convertirse en “el sujeto activo”; además siempre mantener el bloqueo de tarjetas activado en caso de que la aplicación del banco permita esta funcionalidad.
“Si se recibe la llamada de alguien queriendo advertir de alguna alerta o fraude es importante colgar el teléfono y ser quien llame al banco, pero del número de teléfono que se tiene de la institución, no del que están llamando, es decir no remarcar el número, no hacer caso del correo electrónico o entrar a la liga que están mandando y siempre preguntar si hay algún problema con alguna de las cuentas directamente en el banco”.
Agregó que a pesar de que existen un gran número de campañas para que los usuarios protejan sus datos personales, aún quedan pendientes las que estén orientadas a que las instituciones financieras cuiden su identidad.
“Esta es la otra cara de la moneda y en donde no hemos avanzado en México, puesto que el fraude en su modalidad tradicional que es el cibernético, se ha ido a este nicho (telefónico), por lo que creo, deberían existir normas oficiales que debieran de seguir las instituciones financieras para evitar este robo de identidad y la investigación de estos delitos debería ser perseguida por una comisión multidisciplinaria ya que la Policía Cibernética no tiene la facultad de bloquear un número, sino es el IFT, lo que provoca que la actuación sea muy lenta”.
Con información de Yeshua Ordaz.
lvm