Las estafas virtuales crecen de la mano del avance en la digitalización de los medios de pagos en los últimos años.
Con nuevos métodos de estafas virtuales que cambian en forma constante, los delincuentes cibernéticos buscan el modo de engañar a los usuarios de servicios financieros.
¿Cómo hacen los delincuentes para robar una cuenta o una tarjeta de crédito? ¿Es posible estar bajo resguardo completo frente a un delito informático? ¿Cómo se impide la caída en estafas virtuales?
Estas virtuales: «phishing»
Una de las estafas virtuales más usadas es el «phishing», que se realiza a través del envío de un mensaje por correo electrónico con la estética de un banco, de una plataforma de servicios o cualquier otra empresa en la que uno tenga que vincularse con usuario y contraseña.
El mensaje tiene una excusa para que el cliente ingrese a un enlace. Una vez que hace clic en ese enlace, la persona es dirigida a una página falsa de inicio de sesión, que recopilará sus credenciales y permitirá a los estafadores el acceso a su cuenta.
Esta modalidad de estafas virtuales se replica para cualquier empresa o servicio.
«Últimamente, hemos visto campañas de ‘phishing’, pero con mensajes de texto. Es algo novedoso porque tiene un costo mayor, pero que está ocurriendo bastante», advirtió Rodrigo Rollan, responsable de seguridad de la información del banco ICBC en la Argentina.
«Llegan mensajes de SMS a los celulares de los clientes, diciéndoles que tienen que ingresar a un sitio para revalidar sus credenciales porque hubo algún problema y si el cliente entra, lo que está haciendo es entregar sus contraseñas a un tercero que las utiliza para cometer el delito», explicó.
Este método de estafas virtuales a través de un SMS no era una práctica frecuente entre los ciberdelincuentes porque no existían servicios masivos de envío de mensaje que fueran económicos.
«Evidentemente por el contexto y por el crecimiento de la tecnología ahora está ocurriendo», señaló.
Frente a este tipo de estafas virtuales, Rollan recomendó que no se debe ingresar nunca a un sitio bancario desde un enlace enviado por correo, SMS o WhatsApp que no provenga de un sitio validado por ICBC.
«El cliente tiene que acostumbrarse a ingresar a la web de su banco por un ‘link’ que él o ella conoce; ni siquiera a través de los buscadores, ya que muchas veces los delincuentes pagan publicidad para aparecer con una dirección similar a la del banco y de esa manera logran cometer el ciberdelito», explicó.
«Es fundamental que la gente entienda y visualice la diferencia en las comunicaciones que reciben. Como banco nunca enviamos pedidos de información personal, de cuentas o claves para que hagan ninguna acción, tanto por mail, por SMS ni de manera telefónica», advirtió.
En este caso, «podemos contactarlos indicándoles que hubo un problema y que se contacten con el banco, pero nunca le vamos a estar enviando un ‘link’ o un vínculo para que ellos sigan y compartan este tipo de información», insistió Rollan.
El banco envía un mensaje semanal a sus clientes para concientizar sobre estafas virtuales y mantenerlos alertas. «Las únicas comunicaciones que sí podemos enviarles son referidas a beneficios o promociones y el link llevará solamente a nuestra web oficial”, explicó.
Uno de los factores que explica el crecimiento de las estafas virtuales es que hoy la mayor parte de los pagos se realizan de manera digital.
Según el Banco Central de la República Argentina, en mayo las transferencias inmediatas equivalían al 52 por ciento del PBI argentino, tras aumentar 12 por ciento respecto a 2022.
Lo mismo se refleja en el volumen operado en los cheques digitales, que ya mueven el equivalente al 25 por ciento del PBI; o en los pagos con códigos QR, que crecieron de manera exponencial en los últimos años.
«Son montos muy altos los que se están operando por medios de pago digitales, y esto implica que la dependencia que hay con la tecnología es muy grande, principalmente porque a mayor cantidad de operaciones mayor es la incidencia dentro de una misma tendencia de crecimiento», destacó Rollan.
«Se está dando un crecimiento en estas modalidades de pago, que tiene grandes ventajas desde la seguridad y practicidad, y que debe acompañarse con información y buenas prácticas para que la experiencia de los usuarios sea la mejor», señaló.
En los últimos cinco años, ICBC duplicó el monto invertido en tecnología y en recursos operativos en materia de ciberseguridad.
«Nosotros hacemos mucho foco en lo que llamamos ciberresiliencia: estar disponibles y ser capaces de reaccionar o de responder ante cualquier inconveniente, ya sea una falla o lo que se conoce como un ciberataque. Eso tiene mucho de ejercicio de planificación, de que todas las áreas que intervienen en el negocio, estén preparadas», sostuvo el responsable de seguridad de la información de ICBC.
Desde 2018, el banco de capitales chinos lleva adelante ejercicios internos de simulación que prueban la disponibilidad del negocio y la ciberresiliencia, e involucra a todas las áreas del banco.
Precauciones con las tarjetas físicas
Otro de los métodos más utilizados por los ciberdelincuentes para cometer estafas virtuales es el robo de datos de las tarjetas de crédito.
Aquí, el modus operandi es distinto, ya que generalmente el delincuente en algún momento debe tener acceso a la tarjeta para luego, con una foto de frente y dorso, efectuar cargos a esa cuenta.
Frente a esto, el modo más concreto para no ser estafado es no entregar la tarjeta de crédito y realizar, en cambio, el pago con el sistema sin contacto.
«Hay que empezar a acostumbrarse a hacer pagos bajo esta modalidad, ya sea acercándose a la caja o que en el comercio le acerquen la terminal de pago al cliente. Hoy todas las tarjetas cuentan con esta tecnología, con lo cual es un tema cultural y es algo en lo que debemos trabajar todos”, dijo Rollan.
Estafas virtuales: ingeniería social
La ingeniería social es otra de las prácticas usadas por delincuentes para estafas virtuales, que llevan adelante un «cuento del tío» a través de un llamado telefónico.
Inducen a la persona a que realice alguna operación bancaria, acepte algún pedido de pago o pedido de cobro, o les piden información que terminan utilizando para acceder a sus servicios.
En este caso de estafas virtuales, la clave pasa por lo que se define como «la desconfianza sana». «Que la gente se acostumbre a que, en el mundo de hoy, donde no todo es presencial, hay que estar seguro con quién uno está interactuando; que cuando recibe algo, primero vea que quien le está enviando, eso sea quien dice ser», advirtió Rollan.
«Muchas veces» la gente no se hace esa pregunta «y es crucial. También que se pregunte por qué esa persona la está contactando, si tiene sentido lo que le está pidiendo. Eso también es muy importante, es parte de la concientización que hacemos constantemente y siempre se lo estamos advirtiendo a los clientes», recomendó.
Estafas virtuales: acciones del banco
Cuando un cliente sufre una de las estafas virtuales, el banco debe hacer la investigación debida respecto de lo que ocurrió; identificar algún punto de compromiso y en ese caso informar rápidamente al cliente.
Si el banco detecta algún compromiso de las cuentas, debe bloquear de manera preventiva para que el delincuente no pueda hacer más operaciones, y advertirle al cliente sobre esta situación y en paralelo seguir el reclamo y la acción legal que corresponda.
«El banco investiga inmediatamente y toma todas las medidas para proteger al cliente. Detenemos cualquier acción posterior sobre las cuentas del cliente o sobre las tarjetas del cliente e iniciamos la investigación hasta tanto se determine qué fue lo que ocurrió», dijo Rollan.
Si bien el banco avanza con la investigación del delito una vez que el cliente hace la denuncia, también cuenta con mecanismos de detección temprana de estafas virtuales, que entre otras cosas incluye la búsqueda constante de información filtrada en Internet sobre cuentas comprometidas o sobre tarjetas comprometidas.
«Cuando encontramos filtraciones de tarjetas de un cliente en Internet, lo que hacemos es bloquear preventivamente los accesos a las cuentas y le comunicamos al cliente que hubo un inconveniente con su cuenta y que nos contacte. Pero no damos un mandato de que haga algo desde el mail, ni un link, ni mucho menos. También lo hacemos cuando detectamos operatoria que no es habitual en un cliente o movimientos anómalos en las cuentas o en las tarjetas”, afirmó el responsable de seguridad de la información del ICBC.
«La identidad de las personas ya no es solamente el DNI (Documento Nacional de Identidad), como era antes. Hoy las redes sociales y el e-mail también forman parte de la identidad y merecen una protección mayor a la que normalmente tienen», concluyó Rollan.
Si te gustó o sirvió algo que publiqué, te ofrezco dos alternativas para agradecer y permitir la continuidad de mi trabajo en Bahía César, haciendo clic sobre ellas:
Introduce tu correo electrónico para suscribirte a Bahía César y recibir avisos de nuevas notas.
