Una oleada de estafas vinculadas al uso del home banking está afectando tanto a los titulares de las cuentas, que en segundos ven cómo pierden sus ahorros, como a los bancos que ven comprometida su reputación e imagen.
En este sentido, Bernabé Crena, especialista y consultor senior de F5 LATAM, sostiene que en la actualidad “los cibercriminales están pagando herramientas SEO para publicitar una página fraudulenta que duplica la del banco y así conseguir los datos de logueo de las personas”.
Los estafadores se han perfeccionado invirtiendo en los buscadores, “publicitan una página falsa prácticamente al mismo nivel o arriba de la página oficial del banco. Así, las personas acceden a una URL que no es la oficial, dando sus datos a una web que es igual a la del banco. Ponen el usuario y contraseña, piden el token, y la gente confiada lo otorga”, detalla Crena.
Una vez vulnerado el acceso, “hay un humano que se mete en esa cuenta e inmediatamente manda plata a otras cuentas, perdiendo el rastro del tracking”. Es una transacción que se realiza en un breve tiempo porque el token dura unos pocos minutos. Por eso, para consolidar la estafa, “hay un cibercriminal de guardia las 24hs en un centro de supervisión, vigilando que alguien caiga en la trampa. Se trata de corporaciones, pequeñas empresas, no son cibercriminales con capuchas”, aclara el especialista.
Como herramienta, los estafadores pueden desarrollar una actividad híbrida, esto es: un bot asistido por un humano. “El humano se loguea, porque el sistema busca detectar ´humanidad´ para otorgar el acceso, pero las transferencias las realiza un bot, permitiendo muchas transacciones en un período de tiempo muy reducido”, concluye el referente de F5.
Sin embargo, hay algunos tips que resguardan a los titulares de las cuentas:
- Los usuarios son siempre el “firewall humano”, es quien entiende que está siendo una posible víctima y tiene algunos conocimientos en cibercriminalidad. Es la primera barrera ante los ataques y principalmente debe reconocer la página oficial del banco, para esto es mejor NO buscarla, sino tener la web -que sabemos es la correcta- en favoritos, porque los buscadores ponen como primera opción la página fraudulenta que está publicitada por los cibercriminales.
- Si ven un link falso: DENUNCIARLO, los buscadores tienen siempre una etiqueta dónde denunciar.
- En vez de ingresar a través de la web, usar la aplicación que ya conocés y es de confianza. Chequear al momento de la instalación que no sea una app fraudulenta. Se pueden usar bancos que usen doble factor de autenticación y, si incluyen datos biométricos mejor aún (huella dactilar, iris o rostro). En el home banking no se piden esos datos, porque los flujos son distintos. Debemos chequear que el autor de la app, que sea el banco que diseñó la aplicación. Si bajas la aplicación de “El gran banco argentino” y no el nombre del banco, es dudoso.
- Hablar con los proveedores de servicios, es decir las empresas de telecomunicaciones, que están instalando herramientas para protegerte y evitar caer en estos ataques.
Por su parte, las empresas también pueden limitar el accionar de los cibercriminales, pero generalmente sucede una vez consumado el hecho porque las herramientas antifraudes pueden detectar datos de localización y aquellos vinculados a la geovelocidad o detectar a muchos usuarios queriendo ingresar desde un mismo origen.
En la mayoría de los casos, cuando un cibercriminal logra realizar una estafa, el banco no tiene la certeza que sea un hecho fraudulento para detenerlo.
Los cibercriminales trabajan todo el día pensando estrategias para delinquir, por eso, los usuarios no tenemos otra opción más que dedicar un tiempo para capacitarnos y evitar ser víctimas de un fraude.