Los ciberdelincuentes llevan años de estar explotando la inocencia de los usuarios del sistema financiero nacional para lograr obtener datos que les permitan cometer una estafa informática burlando los sistemas de autenticación de usuarios implementadas por el banco donde ejecutarán los abusos informáticos necesarios para cometer estafas informáticas.
El engaño como método para cometer estafas informáticas.
En el caso que voy a explicar en el presente artículo, los delincuentes buscan obtener el control de la cuenta de correo electrónico, con lo que les basta para cometer estafas informáticas de varios millones de colones.
Los timos va mutando conforme las circunstancias varían para los delincuentes, pero el engaño es el actor principal en cada uno de ellos, con el fin de vulnerar el proceso de autenticación bancario.
En el 2008, se anunció con bombos y platillos que los bancos estatales implementaron sistemas de protección contra la estafa informática:
Es bien conocido que un sistema de autenticación basado únicamente en usuario y contraseña es absolutamente obsoleto, porque se pueden obtener los datos de autenticación por diferentes medios y así extraer así los fondos de la víctima. Los principales métodos de la ingeniería social que conozco han sido utilizados por los delincuentes en territorio nacional son los siguientes:
Suplantación de página web bancaria: Invitan a las personas al sitio web creado por ellos, con un falso mensaje de urgencia, para que el cliente ingrese los datos necesarios como si estuviera en el sitio oficial. La invitación puede darse por correo electrónico, mensaje de texto o llamada telefónica.
Falso funcionario bancario: Llaman a la persona haciéndose pasar por funcionarios del banco donde el cliente tiene una cuenta bancaria, para alertarle de un trámite de urgencia, para que la persona de este modo colabore dando los datos.
Programa informático malicioso: A través de una llamada telefónica, haciéndose pasar por un funcionario de una institución gubernamental o bancaria, engañan a la persona para instalar un programa informático que les da acceso al ordenador de la víctima, por lo que podrán capturar cualquier dato que estos ingresen. A partir de ahí, la persona puede visitar sitios oficiales y el delincuente puede capturar todos los datos necesarios.
En este ataque, la persona tiene la falsa impresión de que no le está dando datos informáticos a terceros, por lo que se encuentra seguro.
De momento no se están dando en el país el ataque de propagación de malware en tiendas oficiales de teléfonos móviles, con el fin de capturar datos bancarios, con aplicaciones que ofrecen funciones que pueden ser de interés para el usuario. Este ataque es más peligroso porque la seguridad informática del móvil es vulnerada y se podría hasta sustituir la aplicación oficial bancaria en el móvil de la persona.
El timo del falso funcionario bancario contra clientes del Banco Popular.
Al cliente bancario lo llaman para indicarle que se le va a dar una exoneración del IVA por ser adulto mayor, ayudarle con el trámite del registro de accionistas, u otro trámite que pueda ser de interés para la víctima, relacionado con Hacienda.
Se invita al usuario a ingresar un sitio que suplanta la identidad de Hacienda, donde hay un formulario donde se deben ingresar distintos datos. A la persona se le indica que para obtener el beneficio se debe vincular la cuenta de correo electrónico con Hacienda, por lo que la persona es invitada a ingresar su usuario y contraseña de su correo electrónico.
Finalmente, también deben ingresar el usuario del Banco Popular, pero el delincuente le hace énfasis en que no le van a pedir ningún token, ni contraseña de la entidad bancaria.
Explotación del sistema de recuperación de contraseña.
El Banco Popular decidió que sus usuarios puedan recuperar la contraseña de su cuenta bancaria, únicamente ingresando su usuario y con esto se le envía al correo las instrucciones para realizar el trámite.
Al mismo tiempo, el banco también decidió que el segundo factor de autenticación fuese a través del correo electrónico, por lo que una vez el delincuente obtiene el acceso al correo electrónico, se garantiza que puede solicitar una nueva contraseña y los OTP (One Time Password ) como segundo factor de autenticación para las transacciones bancarias.
Debido a esta terrible decisión de seguridad bancaria, los delincuentes fabrican engaños que les permitan poder cometer estafas informáticas, en el caso de este timo, solo requieren la contraseña del correo electrónico.
Como los delincuentes controlan el correo electrónico de la víctima, las advertencias de las transacciones podrían ni siquiera llegar a conocimiento de la víctima y cualquier código para «garantizar» que el titular es quien realiza la transacción estará también en control del delincuente.
Debería bastar un solo caso de explotación de una vulnerabilidad como la relatada en este artículo para que el Banco migre a un sistema más seguro, pero al momento de escribir este artículo el sistema de recuperación de contraseña por correo electrónico sigue vigente. Es importante que todos los usuarios activen el segundo factor de autenticación en sus cuentas de correo, para evitar que el mismo caiga en manos de los delincuentes.
Como hemos explicado anteriormente, el sector bancario debe centrar su estrategia más en algoritmos inteligentes que detecten fraudes, usando tecnologías emergentes como el Big Data y Machine learning, para de esta forma proteger mejor a sus clientes y haciendo el sistema menos dependiente de un vulnerable sistema de autenticación bancaria, que depende de conocimientos básicos de seguridad bancaria de los que carece la mayoría de la población.
Mientras la seguridad de los fondos bancarios de los usuarios del sistema financiero nacional dependa de la pericia de los usuarios para combatir los ataques de ingeniería social, las estafas informáticas no se van a detener.
El banco debe proteger al usuario de sí mismo, porque desde que decidió brindar este servicio tecnológico es bien conocido que sus usuarios, en su enorme mayoría, no reciben educación de seguridad informática en ningún momento de su vida y que las campañas de concientización han demostrado ser insuficientes.
Artículo recomendado: