Clientes y entidades financieras deben tomar medidas de prevención ante las nuevas técnicas de los ciberdelicuentes, las que van desde ingeniería social en las redes sociales hasta la infección de teléfonos inteligentes.
Santiago de Chile, 06 de mayo de 2014.- A nivel latinoamericano las transacciones financieras electrónicas han ido haciéndose cada vez más masivas, por lo que el tema seguridad es uno de las preocupaciones más importantes tanto por parte de las entidades del sector como de los propios usuarios.
Según “Futuro Digital Latinoamérica 2013” de comScore, Chile se ubica en el segundo lugar detrás de Venezuela, a nivel latinoamericano, en la masificación de este tipo de transacciones, con un 43,8% de penetración, superando incluso el promedio de Europa (39,5%) y el global (31%).
“La seguridad de las transacciones bancarias online es un tema en constante evolución ya que los ciberdelincuentes, tienden a organizarse en mafias internacionales que buscan por todos los medios posibles explotar cualquier vulnerabilidad para cometer sus fraudes y robos, especialmente, entre los clientes menos avezados que se van incorporando a la banca online”, explica Miguel Cisterna, especialista en seguridad de Level 3.
El ejecutivo afirma que al analizarse la seguridad de la banca electrónica hay que distinguir entre las medidas que toman las entidades financieras para resguardar a sus clientes y sus transacciones y las que pueden tomar los propios usuarios. “La industria financiera es, por definición, la que mayores medidas de seguridad toma a nivel de uso de nuevas tecnologías y herramientas de resguardo. Sin embargo, las organizaciones criminales han ido utilizando formas cada vez más complejas de ataque, como vemos en los fraudes por clonación de tarjetas, por ejemplo, en donde se constata el uso de herramientas tecnológicas”, comenta Cisterna.
El usuario, la clave
Para el experto de Level 3, el principal eje en la seguridad online serán siempre los clientes, ya que los ciberdelicuentes se focalizan en ellos para cometer sus fechorías, a través de la ingeniería social -es decir, obtener mediante el engaño información confidencial, como claves, por ejemplo-, del malware o software malicioso y de diversos métodos para el robo de datos y suplantación de identidad.
“El phishing es una muestra de cómo operan estas organizaciones criminales: aplican ingeniería social y abusan de la confianza que otorga al cliente un mail que simula pertenecer a una organización financiera y lo llevan a entregar todos sus datos personales, incluyendo sus claves”, resume Cisterna.
Otras formas de ataque, la mayoría ignoradas por los usuarios, se dan a través de la contaminación de los computadores o dispositivos portátiles de los clientes. Una de las principales es a través de malware, virus, troyanos y gusanos. “La descarga indiscriminada de aplicaciones, como juegos, por ejemplo, es un vehículo utilizado para robar claves y datos de los usuarios, a través de código malicioso que puede pasar completamente inadvertido para las personas mientras envía datos personales a los ciberdelincuentes”, comenta el especialista de Level 3.
Nuevas formas de ataque
Cisterna añade que existen también otras formas más recientes y que se apoyan en la ingeniería social explotando el auge que tienen hoy las redes sociales y los smartphones. “La suplantación de identidad y el engaño pueden llevar a las personas en redes sociales a entregar datos confidenciales a desconocidos o a exponerlos a terceros que, a partir de ellos, comienzan a ejecutar sus fraudes”, afirma.
“Aunque a nivel latinoamericano no existen muchos casos, se ha detectado el uso de otras técnicas que apuntan a los teléfonos inteligentes, a partir de troyanos que infectan computadores y simulan una sugerencia del banco de instalar una aplicación en el smartphone la cual envía datos a los ciberdelincuentes cada vez que el usuario realiza una transacción”, subraya el ejecutivo, agregando que incluso se utilizan mensajes de texto (SMS) fraudulentos para llevar a los clientes a sitios Web maliciosos.
Cómo evitar convertirse en víctima
En cuanto a las recomendaciones para los usuarios, Cisterna cree que la precaución es siempre la mejor herramienta para evitar ser víctima de transacciones fraudulentas. En ese sentido, recomienda realizar cambios frecuentes de claves, evitar realizar transacciones en computadores o dispositivos desconocidos o no protegidos, no hacer nunca transacciones en lugares públicos con redes inseguras, jamás entregar sus claves y menos las coordenadas de sus tarjetas, ya que las entidades jamás las pedirán a sus clientes mediante correos electrónicos.
Asimismo, recomienda siempre fijarse que en la barra de navegación aparezca la imagen de un candado, ya que eso indica que es un sitio Web seguro, con tráfico encriptado, y no un sitio que simula ser su banco. “Tal como sucede con los cajeros automáticos o ATM o las tarjetas de crédito, existe una constante evolución, pero los cambios no pueden realizarse de la noche a la mañana, por lo que en esos casos como en las transacciones vía Internet es el usuario quien debe ser muy cuidadoso, revisando frecuentemente su estado de cuenta para detectar cualquier anomalía”, sentencia.
Nuevas respuestas
El especialista en seguridad de Level 3 sostiene que los bancos han ido incorporando cada vez tecnologías más robustas para proteger sus propios sistemas y las transacciones de sus clientes. “Los bancos invierten constantemente en tecnologías de nueva generación para prevenir fraudes y disminuir las brechas de seguridad en sus sistemas y redes, incorporando herramientas que permiten una detección preventiva de transacciones anómalas y entregando, como está dicho, mejores herramientas de autenticación para sus clientes, entre las que las de reconocimiento biométrico serán cada vez más frecuentes”, añade.
Y explica que los bancos han ido incrementando los niveles de seguridad para las transacciones on-line, lo cual se refleja en el creciente uso de métodos más robustos de autenticación con segundas o terceras claves. “Las tarjetas de coordenadas, los sistemas OTP (On-Time Password) y los tokens, son entregados por los bancos como un segundo factor para validar las transacciones. Incluso, debido a la masificación de los teléfonos móviles, cada día se los utiliza más como medio para entregar, a través de grabaciones o SMS, un segundo o tercer factor, lo cual, sin duda, dificulta el fraude y la suplantación”, detalla.
Sin embargo, el ejecutivo enfatiza que todas esas medidas pueden ser insuficientes si los clientes no son precavidos al momento de usar dichos mecanismos de seguridad.