Los bancos existen con el propósito de dejar nuestro dinero y que lo guarden de manera segura. Pero no siempre es así. Los ciberdelincuentes tienen muchas formas de acceder a nuestros datos bancarios. Datos especialmente sensibles que son muy jugosos para los atacantes y una seria preocupación para los afectados.
La Ley de Servicios de Pago exige que los bancos implementen las medidas de seguridad necesarias para "comprobar la identidad del ordenante". Es decir, asegurarse de que la persona que está realizando un movimiento es el dueño de la cuenta y no otra sin permiso. Por otro lado, el usuario tiene la responsabilidad no actuar de forma negligente. Algo que no siempre se cumple. Y los ciberatacantes se aprovechan de ello.
Phishing: el engaño más común
Se conoce como 'phishing' el tipo de ataque en el que se envían mensajes fraudulentos a muchos usuarios con la esperanza de que alguien pueda picar y sea engañado. Un ejemplo es el clásico SMS haciéndose pasar por el banco. De base muchos usuarios que lo reciban simplemente pasarán de él, pero habrá quienes crean que es oficial y decidan acceder a la web que les dice.
El objetivo de estos SMS es que accedamos a una web similar a la de nuestro banco y les demos información confidencial, como contraseñas o información de la tarjeta de crédito, pensando que es el banco quien nos lo pide. Un engaño que puede ser más o menos creíble, porque en ocasiones estos SMS tienen alguna información concreta nuestra que facilita el engaño.
Aquí debemos recordar que el banco nunca nos pedirá información directamente por SMS o por correo. Si el banco necesita algo de nosotros o nos envía una carta certificada o sí nos pueden avisar digitalmente, pero la indicación será que contactemos nosotros o lo miremos. Pero nunca a través de un enlace.
Además de nuestro banco, los ataques por phishing también intentan hacerse pasar por otras instituciones públicas como Hacienda, Correos o la Policía, además de empresas con las que podamos haber contratado un servicio de pago, como Iberia, Microsoft o Amazon.
Los consejos de INCIBE para evitar el phishing son fijarse bien en las comunicaciones que nos hacen. Mirar que la dirección de correo electrónico de origen sea la correcta, que el asunto no sea sospechoso, que el código QR no nos lleve a una plataforma falsa, que la ortografía es perfecta, que no sea un mensaje genérico y sobre todo desconfiar cuando se pida información sensible.
En caso de que sea demasiado tarde y hayamos sido víctimas, lo más recomendable es contactar directamente con el banco, explicar lo sucedido y que procedan a cambiar las medidas de seguridad necesarias.
Malware: vigila con lo que instalas
Otra forma de que los ciberatacantes puedan entrar en nuestra bancaria es infectando el móvil con algún tipo de malware. Aquí hay que vigilar no instalar aplicaciones de origen desconocido o descargar archivos de procedencia dudosa.
Lo cierto es que los sistemas operativos móviles modernos ya aplican su propia capa antimalware, por lo que no es tan sencillo que se instalen estos programas. En el caso de que pasen estas protecciones, nuestro móvil podría quedar comprometido y por ejemplo, lo que se muestra en la pantalla del dispositivo podría estar siendo visto por los ciberdelincuentes.
El acceso que se consigue es casi total. Los ciberdelincuentes pueden tener acceso a los contactos, los mensajes, las fotos, la ubicación, grabar audio, sacar fotos o vídeos, acceso a archivos... incluso instalar otras aplicaciones sin que nos enteremos. Por un ejemplo un keylogger que registre las pulsaciones de teclado. Es decir, la introducción de contraseñas que colocamos en las webs del banco. Aunque estas a priori sean seguras, los ciberlindecuentes pueden ver cuando las estemos escribiendo si han logrado comprometer la seguridad de nuestro móvil.
Más sofisticado: el 'formjacking'
Este es un caso donde el usuario no tiene forma de comprobar que está siendo atacado. El 'formjacking' es un tipo de ataque que se conoce como 'Man-in-the-middle'. La técnica consiste en comprometer el sistema de pagos de una página web, introducir un código malicioso que pasa desapercibido y recaudar todos los datos que se introducen en él.
Es decir, el usuario paga en una web y todo funciona como debería. Sin embargo, esa operación ha sido comprometida y además de a la empresa, también los ciberdelincuentes se están apoderando de los datos bancarios, como la tarjeta de crédito introducida. CVV incluido, como ya vimos con el caso Air Europa.
Aquí el usuario no es que haya cometido una negligencia. De hecho, es la empresa la que ha sido hackeada. Pero en vez de apuntar hacia la empresa, el objetivo de ese hackeo es atacar a los usuarios de ella. Con este método se han llegado a filtrar miles de tarjetas de crédito, lo que ha derivado en sanciones de cientos de miles de euros.
Solo con el número de tu tarjeta pueden hacer mucho
Para acceder a nuestro cuenta bancaria no necesitan todos los datos de la tarjeta. A veces es suficiente con el número y algo de ingeniería social. Hablamos de la estafa conocida como 'Carding'. En ella los ciberdelincuentes primero obtienen los datos de nuestra tarjeta y después la usan de manera fraudulenta para que nosotros acabemos pagando sus compras.
El número lo obtienen de filtraciones a través de brechas de seguridad. Aquí os explicamos cómo saber si nuestras contraseñas o los datos personales se han filtrado en internet.
Afortunadamente, cada vez es más habitual que las tarjetas de crédito implementen medidas de seguridad adicionales para pagar por internet. Exigiendo que coloquemos un número o contraseña cuando se realiza una compra.
Los peligros del SIM Swapping
Uno de los mecanismos de seguridad de los bancos es ligarlo todo a nuestro teléfono móvil. Enviarnos un SMS para comprobar que somos nosotros. Sin embargo, otra de las técnicas de los ciberdelincuentes es el 'SIM swapping'. Básicamente consiste en engañar al empleado de la tienda de la operadora y hacer una copia de nuestra SIM, entregando un DNI falsificado.
Una vez obtiene la copia de la SIM, ya tiene acceso a la banca digital pudiendo restablecer la contraseña solicitándola por SMS. Un mensaje que llega precisamente al número de teléfono que hemos dado al banco, pero que con este método también está en su poder.
Aquí la responsabilidad recae del lado de las operadoras. En 2022, la AEPD multó a Movistar (900.000 euros), Orange (700.000 euros), MásMóvil (200.000 euros) y a Vodafone (3.940.000 euros) por no aplicar las medidas suficientes para proteger a sus clientes del SIM swapping.
Los bancos también tienen responsabilidad
Aunque el error en algunos casos es del usuario, lo cierto es que los bancos también tienen una gran parte de responsabilidad. Su posición es que casos como el phishing son una "grave negligencia" por nuestro lado y se niegan a asumir consecuencias. Sin embargo, la jurisprudencia actual defiende que debe ser el banco quien se haga responsable y devuelva el importe robado a los clientes en los casos de phishing.
Según la Audiencia Provincial, no existe esa negligencia grave porque existe un engaño premeditado de un tercero para ganarse su confianza. Y sí hubo un incumplimiento por parte del banco para evitar el fraude por phishing.
Imagen | FLY:D
En Xataka | Cómo saber si te han hackeado el móvil y en qué cosas fijarte para ello
Ver 18 comentarios