En este juego del gato y el ratón en temas de ciberseguridad, los atacantes innovan para poder obtener beneficios económicos inmediatos -es por ello por lo que el sector financiero es muy atractivo para ellos- ya sea afectando directamente al banco o a los usuarios del banco.
Los bancos han estado implementando cada vez más controles para poder protegerse, pero no podemos decir lo mismo de nuestro lado (los usuarios) de estas aplicaciones en los teléfonos celulares o por medio de un navegador de internet.
Quizá lo que más se ha comentado últimamente tiene que ver con aplicaciones móviles de “empresas del sector financiero” que ofrecen créditos sin tener que ir a alguna sucursal u oficina. Estas aplicaciones, principalmente en dispositivos con sistema operativo Android, logran tener acceso a los contactos y más información. Una vez que se pide el crédito y se entrega toda la información necesaria, la “empresa” usa todo lo capturado para poder amenazar y extorsionar a quien entregó toda su información. La solución ante este problema recae directamente en concientizar sobre la descarga y validación de las aplicaciones y empresas detrás de las aplicaciones, es decir, recae ante el usuario. Sin embargo, creo que hace falta mucha concientización y que sean las mismas autoridades quienes den información de que esas empresas no están aprobadas y que están realizando estas acciones.
Síguenos en Google Noticias para mantenerte siempre informado
No solo en México, sino a nivel región, estamos viendo ataques hacia los usuarios haciendo uso de una técnica llamada Simswapping. Este ataque lo que busca es poder tener acceso a la línea telefónica para poder recibir los mensajes SMS que son de la doble autenticación o autenticación de dos pasos para poder acceder no solo a la banca de un usuario, sino a redes sociales y aplicaciones que lo requieren. Los atacantes entonces consiguen acceso a la empresa de telefonía celular para poder hacer el cambio de SIM o para mover el servicio de SIM durante un periodo de tiempo para hacer las operaciones. Cabe mencionar que deben tener información adicional como usuarios y contraseñas para poder acceder. Particularmente en el sector financiero cambian las aplicaciones bancarias a otro dispositivo para poder hacer las operaciones.
Para poder evitarlo, es recomendable mejor hacer uso de un aplicativo generador de códigos como Google Authenticator, Microsoft Authenticator o Authy en vez de recibir un SMS. El problema radica cuando nuestra banca usa únicamente SMS para la validación de la aplicación. En esos casos, no hay nada que hacer, aunque los bancos ya están empezando a trabajar en cambiar este modelo o complementarlo con un SMS y un correo.
Estos dos, ya se habían visto en otros países, pero estamos empezando a ver unos ataques más sofisticados y complejos en nuestro país:
Un usuario recibe una llamada en su teléfono, el identificador de llamadas aparece como el número telefónico de la entidad financiera. Suena como una llamada de un callcenter y que tiene parte de la información del cliente y buscan obtener información como la contraseña, el usuario o incluso piden el token que se encuentra en las aplicaciones. Esta llamada NO es de la entidad financiera.
¿Ya nos tienes en Facebook? Danos like y recibe la mejor información
Es posible, tecnológicamente hablando, cambiar el identificador por medio de algunos servicios ofrecidos por medio de internet. Estos se encuentran fuera del territorio mexicano, por lo que no es tan fácil el poder investigarlos o darlos de baja.
Para este tipo de ataque, no queda mas que no contestar información y llamar directamente al banco, para poder validar que la llamada que se recibió era de la institución o no. Al final, cuando alguien llega a casa diciendo que es de cierto proveedor, deberíamos hacer lo mismo: llamar al proveedor para validar que es un empleado y no abrirle la puerta a cualquiera.
El último caso que quiero compartir es el que más me preocupa, el que recae completamente en el usuario: Un grupo está obteniendo información de algún proveedor de servicios en el cual saben dos cosas: un correo electrónico y un número de teléfono. Pensemos quién tiene esta información: casi todos los proveedores que tenemos servicios: telefonía fija o móvil, televisión de paga, internet, etc.
Con esa información tienen un par de cosas clave para poder unirlo con todo lo que he comentado: con el correo electrónico buscan en bases de datos de vulneraciones la contraseña. Por ejemplo, en 2016 se encontró una base de datos de una vulneración de la red social LinkedIn que incluía correos y contraseñas; en 2012 se descubrió una base de datos con correos y contraseñas del servicio de almacenamiento virtual Dropbox.
Muchas personas no cambian su contraseña. Logran acceder al correo de la persona, tienen su teléfono donde por medio de una llamada obtienen más información y logran tener acceso a las aplicaciones bancarias para hacer operaciones.
Las recomendaciones en estos casos son las mismas de siempre: cambio de contraseñas de forma constante, activación de autenticación de dos pasos. Pero quisiera agregar algo que pocas veces he hablado: crear un correo electrónico únicamente para administrar la comunicación e información de las entidades financieras. Creo que eso puede ser un gran diferenciador.
En todos los ejemplos que comparto contigo en esta columna, quien se vio afectado fue el usuario, no la entidad financiera.
Las entidades del sector financiero tienen que seguir mejorando su ciberseguridad, pero también lo tiene que hacer el usuario. Necesitamos ser más conscientes de cómo hacer uso de la tecnología, entendiendo que hay otras personas que están buscando cómo atacar a la banca o a los usuarios de la banca. Al final los “malos”, quieren un beneficio económico.
Tienen una motivación, tienen los medios… no les demos la oportunidad.
Contacto:
Correo: [email protected]
Linked In: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
