Las credenciales bancarias representan algo muy valioso para la economía personal, por lo que si un cibercriminal las obtiene, dispone en sus manos de una llave virtual para usar y disponer del dinero de las personas. Para lograr dicho objetivo, estos criminales usan diferentes técnicas que suelen dar rédito al encontrar usuarios despistados o desprotegidos.
En ese marco, en este Finanzas de Bolsillo abordaremos cinco técnicas planteadas por Eset Latam (compañía especializada en detección proactiva de amenazas) en un informe relacionado al tema, con las cuales los ciberdelincuentes pueden hacer uso de tu información personal.
Una de ellas son los sitios falsos. Según Eset Latam, los estafadores utilizan una URL que incluye el nombre del banco y que hasta tiene una apariencia similar al sitio oficial. En estos casos, el nombre del sitio suele ser casi igual al nombre que usa la institución en sus cuentas de X (ex Twitter) e Instagram, por ejemplo, pero con una mínima diferencia, la cual puede ser a veces de una sola letra. Es más, una búsqueda en Google puede llevar a uno a estos sitios fraudulentos que logran aparecer entre los primeros resultados de búsqueda, los cuales aparecen a veces hasta en forma de anuncios, según indica el informe.
Ya adentrados en el sitio falso, la estética y el diseño son iguales a los de la página oficial. En este caso, para acceder al supuesto homebanking se incluyen los campos en los que las víctimas deben ingresar sus credenciales para el inicio de sesión, que en realidad serán para los ciberdelincuentes. Allí, una vez que la persona ingrese su nombre de usuario y contraseña, el sitio simula que verifica los datos entregados, cuando en ese tiempo en realidad los estafadores inician sesión con las credenciales robadas en el sitio legítimo del banco.
Según Eset Latam, se han identificado recientemente dos sitios falsos que se hacían pasar por la web oficial del Banco Itaú (reconocida entidad con presencia en varios países de la región), con el objetivo de robar credenciales bancarias de clientes argentinos y brasileros. En estas ocasiones, vale aclarar que el banco también es una víctima, ya que los cibercriminales utilizan su nombre para robarle a sus clientes.
Otra vía utilizada por los ciberdelincuentes mencionada en el informe, es comprometer sitios previamente para desde allí obtener las credenciales bancarias de los usuarios. De ser el caso, los delincuentes pueden explotar una vulnerabilidad en scripts -secuencia de comandos en un código- o plugins -programas complementarios- agregados que no se encuentren actualizados, o bien aquellas fallas de seguridad que no han sido descubiertas. De esta forma, pueden agregar una redirección desde el sitio víctima hacia el sitio del atacante, desde el cual podrán obtener las credenciales.
La segunda técnica es el malware, el cual ha evolucionado, según sostienen en su informe, a pasos agigantados, ya que se comercializan diferentes tipos de códigos maliciosos. De hecho, Eset Latam manifestó que los troyanos bancarios (con gran presencia en toda la región) han causado daños por una cifra que asciende a los 110 millones de euros. Mekotio, Casbaneiro, Amavaldo o Grandoreiro son solo algunas de las familias capaces de realizar distintas acciones maliciosas, pero que se destacan puntualmente por suplantar la identidad de bancos mediante ventanas emergentes falsas y así robar información sensible de las víctimas.
Hay distintas maneras en que los cibercriminales pueden colocar ese tipo de malware en los equipos de sus víctimas. Por un lado, mediante correos de phishing o mensajes de texto. También a través de anuncios maliciosos, el compromiso de un sitio web que recibe muchas visitas (ciertos códigos maliciosos se descargan automáticamente y se instalan en el equipo apenas el usuario visita el sitio) y hasta puede estar oculto en aplicaciones móviles maliciosas que simulan ser legítimas, según afirmaron desde Eset Latam.
Otra técnica vieja y conocida son las llamadas telefónicas. Los cibercriminales son profesionales en su rubro y suelen contar historias de manera muy convincente, por lo que se valen de la ingeniería social para engañar y robar información sensible, como lo son las claves de acceso del banco. Los atacantes pueden llegar a la víctima mediante llamadas telefónicas masivas, con el único objetivo de lograr una comunicación más personal que a través de un correo electrónico: así la manipulación es más fácil de llevar a cabo. Como excusa de llamada pueden utilizar el informar sobre algún problema puntual con la cuenta bancaria o de un movimiento fraudulento asociado a la víctima. Para la supuesta resolución es que solicitarán información personal y las claves de acceso a la cuenta.
A su vez, el informe destaca que hay engaños que incluyen hacerse pasar por el servicio de atención al cliente de un banco o entidad reconocida. De hecho, son varias las entidades bancarias las que en su sitio web advierten de esta amenaza y brindan información muy útil de prevención para sus usuarios y usuarias.
Otra táctica común y eficiente es crear perfiles falsos en las redes sociales (tales como Facebook, Instagram o X) y llevar a cabo desde allí el engaño, el cual terminará en la obtención de credenciales de acceso bancario de víctimas desprevenidas o desinformadas.
La última técnica a mencionar es el scraping. Esta forma de robar funciona una vez que una persona empieza a seguir la cuenta oficial de un banco en redes sociales para realizar una consulta. Luego, los ciberatacantes la contactan por privado, de manera inmediata, haciéndose pasar por el banco en cuestión. Si la víctima responde el mensaje sin verificar que se trata de una cuenta real o falsa, el supuesto asesor pedirá un número de teléfono para continuar con la consulta por esa vía. Allí utilizarán toda la información disponible en las redes sociales e internet en general para hacerle creer a la víctima de que realmente es un colaborador del banco y que está allí para darle soporte. Una vez que la víctima entra en confianza, el supuesto asesor pedirá la información bancaria, que le servirán para vaciar la cuenta.
Verificar direcciones y no dar información propia
Para hacerle frente a este tipo de ciberdelito Eset Latam brinda una serie de prácticas que pueden llevarse a cabo para intentar reducir sensiblemente el riesgo de estas estafas que a veces, por desconocer el tema, no se tienen en cuenta.
Una de ellas es verificar la dirección web visitada y confirmar que es la correcta, con el fin de hacerle frente a la primera práctica de robo mencionada. En este sentido, también recomienda en su informe sobre ciberdelitos relacionados a las credenciales bancarias que uno siempre debe comprobar que el sitio web en cuestión tenga un certificado de seguridad válido, firmado por la compañía que dice ser.
Siguiendo este último punto, la empresa explicó que, en el caso de no saber si la seguridad del sitio web sea legítima, uno no debe brindar ningún tipo de información personal y financiera. Con respecto al robo de credenciales bancarias por medio de las llamadas telefónicas, la empresa manifestó en su informe que no se debe divulgar ningún detalle por teléfono, incluso si la persona del otro lado suena convincente.
En ese escenario, uno debe consultar de dónde están llamando y luego volver a llamar a dicha organización para verificar si es cierto. En este caso, también es clave no utilizar los números de contacto proporcionados por esa persona. También recomiendan no hacer clic en enlace ni descargar archivos de emails, mensajes de redes sociales, mensajería instantánea o de texto sospechosos. Para cuidar tu equipo, sostienen que se debe utilizar un software de seguridad para proteger el equipo contra el malware y otras amenazas.
Soluciones de seguridad bancarias
Además de saber identificar las estrategias usadas por los cibercriminales para realizar este tipo de estafas web y, en consecuencia, perder tus credenciales bancarias, desde la empresa también destacaron en su informe la importancia de contar con soluciones de seguridad bancarias.
“El primer paso como siempre en estos casos es interiorizarse y mantenerse informado de las estrategias y técnicas que utilizan los cibercriminales para obtener las credenciales bancarias y cualquier otro tipo de información sensible. Y la principal aliada en esto de mantener las claves protegidas es una solución de seguridad, que cuide las operaciones en línea, pero sobre todo, las bancarias. Las soluciones de seguridad también evolucionaron y, por ejemplo, de ESET se destaca la ´Protección de banca y pagos en línea´, que asegura que cada una de las transacciones estén protegidas dentro de un entorno seguro y confiable, brindando protección contra el fraude online. Además, el modo de navegador seguro ofrece protección automática para las operaciones bancarias en línea y encripta automáticamente la comunicación entre el teclado y el navegador (en todos los navegadores compatibles) para proveer una capa de seguridad adicional frente a keyloggers, malware y otros tipos de amenazas digitales.”, comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.