Adalid Medrano


Abogado especialista en Delitos Informáticos y Ciberseguridad

Browsing Tag:

Ingeniería Social

Cómo ejecutan uno de los timos del «falso funcionario de Hacienda» para estafar a clientes del Banco Popular.

Los ciberdelincuentes llevan años de estar explotando la inocencia de los usuarios del sistema financiero nacional para lograr obtener datos que les permitan cometer una estafa informática burlando los sistemas de autenticación de usuarios implementadas por el banco donde ejecutarán los abusos informáticos necesarios para cometer estafas informáticas.

El engaño como método para cometer estafas informáticas.

En el caso que voy a explicar en el presente artículo, los delincuentes buscan obtener el control de la cuenta de correo electrónico, con lo que les basta para cometer estafas informáticas de varios millones de colones.

Los timos va mutando conforme las circunstancias varían para los delincuentes, pero el engaño es el actor principal en cada uno de ellos, con el fin de vulnerar el proceso de autenticación bancario.

En el 2008, se anunció con bombos y platillos que los bancos estatales implementaron sistemas de protección contra la estafa informática:

“Durante este mes y el próximo, los cuatro bancos públicos empezarán a ofrecer a sus clientes nuevas “armas” contra el fraude electrónico. En el caso del Banco de Costa Rica (BCR) y Bancrédito, el uso de estos dispositivos será obligatorio a la hora de hacer transacciones por Internet y no tienen ningún costo. En tanto, el Banco Popular y el Nacional ofrecerán mecanismos de seguridad optativos, es decir, el usuario decide si los adquiere o no.” (La Nación, 2008)

Es bien conocido que un sistema de autenticación basado únicamente en usuario y contraseña es absolutamente obsoleto, porque se pueden obtener los datos de autenticación por diferentes medios y así extraer así los fondos de la víctima. Los principales métodos de la ingeniería social que conozco han sido utilizados por los delincuentes en territorio nacional son los siguientes:

Suplantación de página web bancaria: Invitan a las personas al sitio web creado por ellos, con un falso mensaje de urgencia, para que el cliente ingrese los datos necesarios como si estuviera en el sitio oficial. La invitación puede darse por correo electrónico, mensaje de texto o llamada telefónica.

Falso funcionario bancario: Llaman a la persona haciéndose pasar por funcionarios del banco donde el cliente tiene una cuenta bancaria, para alertarle de un trámite de urgencia, para que la persona de este modo  colabore dando los datos.

Programa informático malicioso: A través de una llamada telefónica, haciéndose pasar por un funcionario de una institución gubernamental o bancaria, engañan a la persona para instalar un programa informático que les da acceso al ordenador de la víctima, por lo que podrán capturar cualquier dato que estos ingresen. A partir de ahí, la persona puede visitar sitios oficiales y el delincuente puede capturar todos los datos necesarios.

En este ataque, la persona tiene la falsa impresión de que no le está dando datos informáticos a terceros, por lo que se encuentra seguro.

De momento no se están dando en el país el ataque de propagación de malware en tiendas oficiales de teléfonos móviles, con el fin de capturar datos bancarios, con aplicaciones que ofrecen funciones que pueden ser de interés para el usuario. Este ataque es más peligroso porque la seguridad informática del móvil es vulnerada y se podría hasta sustituir la aplicación oficial bancaria en el móvil de la persona.

El timo del falso funcionario bancario contra clientes del Banco Popular.

 Al cliente bancario lo llaman para indicarle que se le va a dar una exoneración del IVA por ser adulto mayor, ayudarle con el trámite del registro de accionistas, u otro trámite que pueda ser de interés para la víctima, relacionado con Hacienda.

 

Se invita al usuario a ingresar un sitio que suplanta la identidad de Hacienda, donde hay un formulario donde se deben ingresar distintos datos. A la persona se le indica que para obtener el beneficio se debe vincular la cuenta de correo electrónico con Hacienda, por lo que la persona es invitada a ingresar su usuario y contraseña de su correo electrónico.

Finalmente, también deben ingresar el usuario del Banco Popular, pero el delincuente le hace énfasis en que no le van a pedir ningún token, ni contraseña de la entidad bancaria.

Explotación del sistema de recuperación de contraseña.

 

Captura realizada el 17/10/2019 donde se puede ver el proceso para recuperar la contraseña por correo.

El Banco Popular decidió que sus usuarios puedan recuperar la contraseña de su cuenta bancaria, únicamente ingresando su usuario y con esto se le envía al correo las instrucciones para realizar el trámite.

Al mismo tiempo, el banco también decidió que el segundo factor de autenticación fuese a través del correo electrónico, por lo que una vez el delincuente obtiene el acceso al correo electrónico, se garantiza que puede solicitar una nueva contraseña y los OTP (One Time Password ) como segundo factor de autenticación para las transacciones bancarias.

Debido a esta terrible decisión de seguridad bancaria, los delincuentes fabrican engaños que les permitan poder cometer estafas informáticas, en el caso de este timo, solo requieren la contraseña del correo electrónico.

Como los delincuentes controlan el correo electrónico de la víctima, las advertencias de las transacciones podrían ni siquiera llegar a conocimiento de la víctima y cualquier código para «garantizar» que el titular es quien realiza la transacción estará también en control del delincuente.

Debería bastar un solo caso de explotación de una vulnerabilidad como la relatada en este artículo para que el Banco migre a un sistema más seguro, pero al momento de escribir este artículo el sistema de recuperación de contraseña por correo electrónico sigue vigente. Es importante que todos los usuarios activen el segundo factor de autenticación en sus cuentas de correo, para evitar que el mismo caiga en manos de los delincuentes.

Como hemos explicado anteriormente, el sector bancario debe centrar su estrategia más en algoritmos inteligentes que detecten fraudes, usando tecnologías emergentes como el Big Data y Machine learning, para de esta forma proteger mejor a sus clientes y haciendo el sistema menos dependiente de un vulnerable sistema de autenticación bancaria, que depende de conocimientos básicos de seguridad bancaria de los que carece la mayoría de la población.

Mientras la seguridad de los fondos bancarios de los usuarios del sistema financiero nacional dependa de la pericia de los usuarios para combatir los ataques de ingeniería social, las estafas informáticas no se van a detener.

El banco debe proteger al usuario de sí mismo, porque desde que decidió brindar este servicio tecnológico es bien conocido que sus usuarios, en su enorme mayoría, no reciben educación de seguridad informática en ningún momento de su vida y que las campañas de concientización han demostrado ser insuficientes.

Asesoría Legal

Si es víctima de un delito informático, puede solicitar una cita para ser asesorado sobre su caso: 

Correo electrónico:
[email protected]

(Whatsapp): 
+506 88130930

Toda consulta tiene un costo. 

Quién soy

Abogado especialista en  delitos informáticos ciberseguridad,  con más de una década de estudio del fenómeno de la ciberdelincuencia,  co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)

Leer biografía completa.

Ingeniería social, el arte del engaño ( HangoutON, España)

En esta entrevista compartí con otros especialistas de Iberoamérica sobre el tema de Ingeniería Social, en el programa español HangoutON de España.