Claves bancarias: ¿Cómo evitar el robo?

Se debe de reconocer el valor significativo de las credenciales bancarias, las cuales representan una llave virtual para acceder a los fondos de las personas. Para los cibercriminales, obtener esta información es como tener acceso a una caja fuerte digital, lo que les permite disponer del dinero de sus víctimas.&;

Para lograr este objetivo, emplean diversas técnicas, especialmente dirigidas a usuarios que no están debidamente protegidos, desatentos o descuidados. ESET, una empresa líder en la detección proactiva de amenazas, identifica las cinco principales estrategias utilizadas por el cibercrimen para robar claves bancarias y ofrece orientación sobre cómo protegerse de estos ataques.

Ten una conexión segura y rápida a internet para evitar fraudes en el futuro por ello, te mostramos las ofertas del mes:

Principales estrategias del cibercrimen

1. Sitios falsos

Los estafadores utilizan URLs que incluyen el nombre del banco y tienen una apariencia casi idéntica a la oficial, a menudo con diferencias mínimas, como una sola letra. Estos sitios fraudulentos pueden aparecer entre los primeros resultados de búsqueda en Google, siendo en su mayoría anuncios.&;

Una vez en la página falsa, su estética y diseño son idénticos a los de oficial. Al acceder al supuesto homebanking, se solicita a las víctimas que ingresen sus credenciales de inicio de sesión, que en realidad son para ciberdelincuentes.&;

Después de enviar la información, se simula verificar los datos, pero en realidad los piratas inician sesión con las credenciales robadas en la web legítima del banco.

Recientemente se descubrieron dos dominios falsos que se hacían pasar por el Banco Itaú, una reconocida entidad con presencia en varios países de América Latina, con el fin de robar las credenciales bancarias de clientes en Argentina y Brasil.&;

Es importante señalar que el banco también es una víctima en estos casos, ya que su nombre se utiliza para engañar a los clientes. De hecho, en la página oficial, la entidad comparte varios consejos para evitar que las personas caigan en diferentes tipos de fraudes en su nombre.

Otra táctica utilizada por los cibercriminales es comprometer a las instituciones previamente para obtener las credenciales bancarias de los usuarios. Pueden aprovecharse de vulnerabilidades en scripts o plugins no actualizados, además de fallas de seguridad no descubiertas.&;

Esto les permite agregar una redirección desde el dominio comprometido hacia el del atacante, donde es posible obtener las credenciales. Asimismo, los delincuentes a menudo crean una página falsa dentro del sitio web oficial, haciéndola pasar por la entidad.

Imagen vía ESET

Una vez que las víctimas caen en la trampa, es probable que se les solicite ingresar su información bancaria.

2. Malware

El malware ha evolucionado considerablemente, con diversos tipos de códigos maliciosos disponibles en el mercado.&;

Los troyanos bancarios, muy comunes en toda la región, han causado daños significativos, ascendiendo a 110 millones de euros. Mekotio, Casbaneiro, Amavaldo y Grandoreiro son algunas de las familias de malware capaces de suplantar la identidad de bancos mediante ventanas emergentes, con la finalidad de robar información sensible de los cuentahabientes.&;

Imagen vía ESET

Los cibercriminales tienen varias formas de distribuir este tipo de virus, incluyendo correos electrónicos de phishing, mensajes de texto, anuncios maliciosos, la explotación de sitios web populares y la distribución de aplicaciones móviles maliciosas que se hacen pasar por legítimas.

3. Llamadas telefónicas

Dado que los estafadores son expertos en su campo y tienen habilidades convincentes para narrar historias, recurren a la ingeniería social para engañar a las personas y obtener datos sensibles, como las contraseñas bancarias.&;

Se valen de llamadas telefónicas masivas para establecer una comunicación más personal con el objetivo, lo que facilita la manipulación.&;

Utilizan diversas excusas, entre las que destacan informar sobre problemas específicos con la cuenta bancaria o movimientos fraudulentos con el fin de solicitar información personal y claves de acceso a la cuenta.&;

Otros pretextos usados incluyen la promesa de un bono por parte del Ministerio de Desarrollo Social en Argentina, que requiere el acceso al banco para entregarlo, así como hacerse pasar por el servicio de atención al cliente de un banco reconocido.&;

Numerosas entidades bancarias advierten sobre esta amenaza en sus páginas y proporcionan información útil para prevenir este tipo de fraudes.

4. Perfiles falsos en redes sociales

Otra estrategia común y efectiva es crear perfiles falsos en Facebook, Instagram o Twitter, desde los cuales se lleva a cabo el engaño para obtener las credenciales de acceso bancario de personas desprevenidas o desinformadas.&;

Los estafadores monitorean los comentarios de los usuarios en busca de palabras clave o etiquetas de perfiles verificados. Aprovechan la urgencia que suelen tener estos mensajes, como reclamos o problemas a resolver, y envían mensajes directos haciéndose pasar por la cuenta legítima del banco.&;

Utilizan el mismo logo y una variación del nombre oficial, e incluso ofrecen el contacto del servicio de atención al cliente o solicitan un número de contacto.&;

Finalmente, las víctimas son contactadas por supuestos representantes de atención al cliente que intentan obtener información, como contraseñas, tokens u otros datos para acceder a sus cuentas y vaciarlas.

Imagen vía ESET

5. Scraping

El scraping, también conocido como "rascado", opera cuando una persona comienza a seguir la cuenta oficial de un banco en redes sociales para realizar una consulta. Los ciberatacantes se ponen en contacto con la persona de forma inmediata y privada, haciéndose pasar por la institución en cuestión.&;

Si la víctima responde al mensaje sin verificar si se trata de una cuenta real o falsa, el supuesto asesor solicitará un número de teléfono para continuar la consulta por esa vía.&;

Utilizarán toda la información disponible en las redes sociales y en internet en general para hacer creer al cuentahabiente que realmente están allí para brindarle soporte. Una vez que la gente le da su confianza, el criminal solicitará información bancaria, que utilizará para vaciar la cuenta.

Practicas recomendadas

ESET comparte prácticas recomendadas que pueden reducir significativamente el riesgo sufrir estafas:

• Verificar la dirección web visitada y confirmar que es la correcta.
• Comprobar que el dominio posea un certificado de seguridad válido, emitido por la compañía que dice ser.
• No proporcionar información personal o financiera si no se está seguro de que el sitio es legítimo.
• No divulgar ningún detalle por teléfono, incluso si la persona que llama suena convincente. Es importante consultar la identidad de la organización y luego volver a llamar utilizando los números de contacto proporcionados por esa organización.
• No hacer clic en enlaces ni descargar archivos de correos electrónicos, mensajes de redes sociales, mensajería instantánea (WhatsApp, Telegram) o de texto sospechosos o de remitentes desconocidos.
• Siempre utilizar software de seguridad para proteger el equipo contra el malware y otras amenazas, y mantenerlo actualizado.
• Descargar aplicaciones únicamente de tiendas oficiales, como la App Store o Google Play.

El primer paso en estas situaciones siempre es familiarizarse y mantenerse actualizado sobre las estrategias y técnicas empleadas por los cibercriminales para obtener información sensible.&;

Una medida importante para proteger estas claves es utilizar una programa que no solo resguarde las actividades en línea en general, sino especialmente las relacionadas con operaciones bancarias.&;

Las soluciones de seguridad han evolucionado con el tiempo y un ejemplo destacado de ello es la "Protección de banca y pagos en línea" ofrecida por ESET, que salvaguarda la integridad de cada transacción en un entorno confiable, brindando defensa contra el fraude en línea.&;

Además, el modo de navegador seguro proporciona una capa adicional de seguridad al encriptar automáticamente la comunicación entre el teclado y todos los navegadores compatibles, a fin de mantenerte a salvo de keyloggers, malware&;y otras amenazas digitales.

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica, hace estas observaciones. Para obtener más información sobre seguridad informática, visita el portal de noticias de ESET.

Además, ESET te invita a conocer Conexión Segura, su podcast que ofrece información sobre lo que está sucediendo en el mundo de la seguridad informática. ¡Escúchalo en Spotify!

Imagen de portada vía Pixabay