En las últimas semanas se está registrando un repunte de los intentos de fraude a clientes de entidades financieras a través de canales digitales. Aunque no se trata de un fenómeno nuevo, los bancos están intensificando sus esfuerzos para ayudar a sus clientes a reconocer cualquier indicio de actividad fraudulenta y facilitar que operen con seguridad en un espacio de banca online. En estas campañas de concienciación, se incide en una serie de ideas básicas que, una vez interiorizadas, pueden ayudar a los usuarios a protegerse de estos intentos. Por ejemplo, es muy importante trabajar con pedagogía para recalcar que su banco nunca les va a enviar links en los que se pidan claves, ni les solicitará proactivamente por teléfono claves recibidas por mensaje.
Claves a buen recaudo
Aunque los formatos de estos intentos de fraude evolucionan y se hacen cada vez más sofisticados, todos parten de la misma premisa: la de que el cliente debe ser muy cauteloso en la custodia de sus propias claves. Los ciberdelincuentes no dudan en suplantar identidades y servirse de todo tipo de engaños. Con cualquier pretexto, crean una falsa sensación de urgencia para generar confusión y forzar al cliente a revelar sus claves. Una vez conseguida la contraseña de acceso, actúan con rapidez para extraer dinero de las cuentas a través de transferencias inmediatas al extranjero o realizan compras con las tarjetas, lo que dificulta enormemente seguir el rastro del dinero y, no digamos, recuperarlo.
Con cualquier pretexto, los ciberdelincuentes crean una falsa sensación de urgencia para generar confusión y forzar al cliente a revelar sus claves
Las entidades bancarias están realizando enormes inversiones tecnológicas para garantizar que sus usuarios operan en entornos 100% seguros. Pero su margen de actuación queda muy limitado cuando un cliente les facilita su usuario y contraseña a extraños. En ocasiones, se llega incluso a proporcionar los códigos que se envían a los móviles, en los que se detalla la operación. En este sentido, es muy importante extremar las precauciones con estos denominados segundos factores, especialmente en relación a dónde los introducen y qué información contienen. En definitiva, hay una máxima que no se debe olvidar: el texto del mensaje es el motivo real de la operación, independientemente de lo que nos cuenten y por eso es importante prestar mucha atención a ese SMS.
Para ABANCA la seguridad es una prioridad, por lo que dedica todos los esfuerzos a la prevención, detección y recuperación de los saldos comprometidos.
Nuevos tipos de fraudes
A medida que la tecnología evoluciona, los ciberdelincuentes también perfeccionan sus técnicas. Una que ha ganado en sofisticación es la conocida como “smishing” o fraude de SMS. El cliente recibe una comunicación en forma de mensaje en el móvil en la que se le invita a seguir un enlace. Al pinchar en él, se abre una página que es una réplica clónica de las webs reales del banco, y que sirve básicamente para capturar el usuario y contraseña del cliente. Una vez conseguidas, se redirige a la página real. Algunas precauciones elementales de seguridad pueden ayudar a detectar este tipo de webs fraudulentas. Por ejemplo, comprobar el texto de la barra de navegación o realizar una comprobación de si se trata de un espacio seguro.
Lo que hace diferente a esta técnica de otras similares es el nivel de refinamiento que está alcanzando. En ocasiones, los ciberdelincuentes consiguen suplantar incluso el teléfono desde el que habitualmente reciben los clientes las comunicaciones. Con ello, los SMS fraudulentos se entremezclan con comunicaciones reales que han recibido anteriormente de su banco, lo que induce a la confusión. Para protegerse del smishing, ABANCA envió más de 900.000 mensajes al móvil de sus clientes, y emite de manera recurrente recordatorios con información sobre cómo actuar y qué tipo de acciones concretas seguir para evitar ser víctimas de este tipo de fraudes.
También por voz
Una de las técnicas fraudulentas más novedosas es el “vishing”, término acuñado para referirse a los intentos de fraude a través de la voz (procede de la combinación de las palabras inglesas “voice” y “phishing”). Todo comienza con una llamada en la que el ciberdelincuente se hace pasar por un gestor o especialista de una empresa reconocida. A través de datos obtenidos de Internet, frecuentemente de las redes sociales, estos estafadores son capaces de convencer al usuario de que son quien dicen ser, hasta que consiguen instalar un programa malicioso en el dispositivo del cliente u obtener datos confidenciales sobre él.
Un ejemplo de este tipo de fraude es el del falso técnico informático que contacta con los usuarios con el pretexto de solucionar, paradójicamente, un problema de seguridad en sus equipos. A lo largo de la conversación, estos profesionales del timo son capaces de transmitir la urgencia de la situación y la necesidad de instalar una supuesta actualización. En realidad, este parche es un programa malicioso con el que intervenir todas las comunicaciones del ordenador y acceder a contraseñas y otros datos sensibles.
Los cortafuegos habilitados por las entidades bancarias son cada vez más avanzados y son capaces de actuar incluso cuando el cliente ya ha desvelado sus datos
Otro caso recurrente es el de los ciberdelincuentes que se hacen pasar por empleados de una entidad financiera. En estas llamadas se alerta de unas falsas compras fraudulentas. Con el pretexto de proceder a su cancelación, se solicita al cliente datos como el número, pin o CVV de la tarjeta, DNI o cualquier otra información de carácter personal. Con esos datos en su poder, son capaces de acceder a las cuentas del cliente o realizar compras con sus tarjetas.
En definitiva, los ciberdelincuentes encuentran nuevas fórmulas para comprometer la seguridad de los clientes de los canales no presenciales, aunque siguiendo la misma filosofía de siempre. A pesar de que los métodos se han sofisticado con el paso de los años, cada vez es más difícil que consigan su objetivo, porque los usuarios están más habituados a estas tretas y los cortafuegos habilitados por las entidades bancarias son más avanzados. En ocasiones, estos sistemas son capaces de actuar incluso cuando el cliente ya ha desvelado sus datos. Es por eso que resulta más importante que nunca seguir trabajando conjuntamente para ser capaces de identificar estas tentativas y cerrar cualquier puerta antes de que los estafadores se salgan con la suya.
¿Quieres participar en la conversación?