La estafa informática bancaria es uno de los delitos informáticos más denunciados en Costa Rica y esto a pesar de que rara vez los delincuentes vulneran la seguridad lógica de los sistemas informáticos bancarios, ya que estos suelen ser muy seguros debido a la alta inversión en seguridad informática, por lo que es más fácil explotar la vulnerabilidad que representa el ser humano con acceso al sistema, tanto a nivel de clientes como de empleado con acceso privilegiado. 

Lo que quiere decir que las entidades bancarias deben invertir más en capacitar a sus clientes y a sus empleados, como herramienta de lucha contra la estafa informática y otros delitos informáticos en contra de entidades financieras y sus clientes.

Un reciente estudio concluyó que un 43% de los profesionales de tecnologías de la información sabrían cómo atacar a la empresa en la que trabajan.  Por esto, es importante que las entidades bancarias hagan conciencia en sus empleados, como mecanismo de disuasión, sobre las responsabilidades penales de las acciones que pueden ejercer sobre un sistema o su información, como lo puede ser la venta de datos personales, de acceso restringido, de los clientes bancarios (Delito de violación de datos personales 196 bis, Código Penal).

Ningún sistema informático es 100% seguro.

Parece claro que ningún sistema informático puede ser 100% seguro mientras un ser humano con acceso al mismo lo exponga, por lo que todo sistema informático bancario debe estar preparado para el error humano.

Por lo anterior, toda estrategia de seguridad informática bancaria que se centre en el mero aseguramiento del proceso de autenticación, de uno o varios factores, es obsoleto, ya que este nunca podrá ser 100% seguro siempre que existan seres humanos ingenuos que revelen o expongan información confidencial apta para que su identidad sea suplantada en una entidad bancaria.

De acuerdo al Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe

el 49% de las entidades bancarias aún no están implementando herramientas, controles o procesos usando Tecnologías Digitales Emergentes, tales como Big Data, Machine Learning o Inteligencia Artificial, las cuales resultan muy importantes a la hora de prevenir ciberataques o determinar patrones sospechosos asociados a fraude, entre otras capacidades de detección”.

¿Y por qué esto es preocupante?

Porque si un atacante logra obtener por parte de un empleado bancario su contraseña y la víctima es engañada para brindar el segundo factor de autenticación (Clave dinámica o token), los delincuentes tendrían la vía libre para disponer de los fondos bancarios.

En cambio, si el banco hace uso del Big Data y el Machine learning con el fin de aprender  del comportamiento de los usuarios en la plataforma bancaria, podría detectar de forma más eficiente comportamientos anómalos o fraudulentos y así protegerles de estafas informáticas en sesiones de usuarios debidamente autenticados, pero con características como las siguientes:

  1. Transferencias a cuentas bancarias nuevas, por montos muy superiores a lo normal.
  2. Transferencias bancarias por montos elevados desde dispositivos o ubicaciones nuevas.
  3. Múltiples transferencias bancarias a cuentas bancarias no favoritas o frecuentes, en intervalos de tiempo muy reducidos.
  4. Transferencias bancarias con montos importantes hacia cuentas bancarias con poca reputación o reciente creación. Si el banco aprende del comportamiento de sus clientes, sabe cuándo una transferencia que ingresa es anómala, tanto por el comportamiento del que emite la transferencia como de quien la recibe.

¿Cómo protegerse?

Los clientes deben aprender a escoger su banco con base a distintos criterios de seguridad, como pueden ser los siguientes:

  1. Le permita autenticarse con un segundo factor de autenticación distinto a una clave impresa “dinámica”.
  2. Le brinden la posibilidad de asegurarse ante fraudes informáticos por tarjetas bancarias.
  3. Le notifiquen por correo o mensaje electrónico, en tiempo real, de transferencias o compras a sus dispositivos móviles.
  4. Cuenten con un sistema de recepción de denuncias de estafas informáticas eficiente.
  5.  Cuenten con protocolos de actuación ante estafas informáticas, como lo es el congelamiento de fondos de cuentas bancarias receptoras, que sean sospechosas de facilitación del delito informático. En combinación con el punto 4, puede ser muy eficiente.

El cliente por su parte debe seguir los siguientes mandamientos

  1. No brindar datos personales por medios no presenciales, como lo son el correo electrónico, mensaje de texto o sitios webs no oficiales: desconfíe de cualquier instrucción que le pida instalar un programa o le pida un dato personal, aunque no le pidan la contraseña.
  2. No ingresar a sitios web bancarios, a través de enlaces provenientes de mensajes, correos electrónicos, sitios web de terceros o redes sociales.
  3. No instalar aplicaciones de dudosa reputación en su dispositivo móvil u ordenador, aunque se lo recomiende alguien “con autoridad” por vías electrónicas. Desconfíe siempre.
  4. Cambiar la contraseña de forma frecuente y nunca utilizar la misma que usa ya en otro sitio web o aplicación.
  5. No comparta la contraseña bancaria con nadie, ni con sus familiares.
  6. No ingrese a su entidad financiera desde redes de wifi inalámbricas públicas.
  7. Verifique de forma frecuente su estado de cuenta y últimas transacciones en búsqueda de transacciones anómalas.
  8. No preste su cuenta bancaria para recibir transferencias de terceros, porque podría estar
    ayudando a delincuentes a movilizar fondos obtenidos de estafas informáticas (Ver delito 234 CP,  Facilitación del delito informático )

Lic. Adalid Medrano

Abogado especialista en Derecho Informático. Co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos (9048 y 9035)