“Me siento vulnerada, como si hubieran entrado a mi casa, me hubieran dejado en ropa interior y usado todas mis cosas”, describe una mujer a la que le acaban de hackear la caja de ahorro.

De los numerosos fraudes e intentos de fraude bancarioque ocurren en todo el mundo todos los días, este caso es particular: una clienta atenta, despierta, que advierte algo extraño y lo detiene a tiempo. A veces los que lo frenan son expertos en seguridad informática. Otras, nadie.

A la mujer primero le llegó, a través del sitio pagomiscuentas, una factura que rondaba los tres mil pesos, correspondiente a un servicio que jamás había consumido. Después, otro día, su propio homebanking le pidió, para loguearse, algunos datos adicionales con respecto a lo usual. Raro.
Avisó al banco y bloquearon todo. Pero los piratas informáticos ya habían cruzado la mitad del río: llegaron a irrumpir de manera virtual en su caja de ahorro en dólares y pasar unos cuántos billetes a la caja de ahorro en pesos. O sea, le pesificaron parte de su ahorro. Unos minutos más y ese dinero se hubiera esfumado en una transferencia con rumbo desconocido, por alguna de las arterias periféricas del sistema financiero local. 
 
Esta es una historia, pero hay muchas. Los intentos ocurren todo el tiempo, muchos fraudes se concretan y los bancos no lo niegan. Es una rueda que no para nunca porque, de algún modo, se mueve simbióticamente con el irrefrenable desarrollo informático. Y se sabe: hecha la ley, hecha la trampa. Y así surgirá otra ley.
 
No hay datos unificados a nivel país, pero al menos en la ciudad de Buenos Aires, las cifras de intentos de fraude bancario crecen anualmente. Además, hay que tener en cuenta que no todo el mundo hace la denuncia.
 
Pero existe una suerte de palacio de la justicia para las empresas –bancos incluidos-, que es la seguridad informática.
Desde allí, los expertos intentan detectar y frenar cualquier ataque proveniente de hackers. Es una batalla: ambos son fuertes y saben mucho.

En diálogo con Clarín, en el departamento de Seguridad de la Información del Banco Nación señalaron una diferencia: no es lo mismo “un intento de hackeo que busca burlar medidas de seguridad de un sistema, más allá de si representará un beneficio económico” (lo que puede ser o no un acto delictivo), y el intento de fraude, que “sin dudas posee un objetivo económico y es un delito”.

Fraude bancario 2.0: hackeos en aumento con ingeniosas y complejas tácticas
En especial en países como Brasil, la clonación de tarjetas es muy común.
 
En cualquier caso cuesta entender por qué la tecnología (todopoderosa) todavía carece de herramientas suficientespara enfrentar las escenas a continuación:
1. Que un tercero haga compras con nuestras tarjetas de crédito (tan simple como copiar el número del plástico, el código de seguridad y el número del DNI);
2. Que un pirata informático coloque dispositivos truchos en el posnet de la puerta del banco o del cajero automático (¡y nadie se dé cuenta!), que más tarde clone (skimming) el plástico y use la tarjeta melliza a su gusto.
3. Que un virus se meta en nuestra computadora y se haga de nuestro mundo privado.
4. Que nos llegue un mail spam igualito a los del banco, alentando a cliquear un link que redireccionará a un falso homebanking donde, como niños distraídos, escribiremos nuestra clave bancaria, el final ansiado por el hacker de turno.
El BCRA estipula las medidas de seguridad que se deben implementar. Los bancos analizan los riesgos en cada caso y aplican, en consecuencia, medidas de seguridad... no obstante, los intentos de fraude se mantienen estables, principalmente el robo de credenciales de homebanking con técnicas tradicionales de ‘ingeniería social’.
 
Hace poco reinaba la desconfianza en las operaciones bancarias online. ¿Quién hubiera imaginado entonces que todo terminaría pasando por internet, al punto de surgirnos una extraña simpatía por ciertos rincones de la web sobre los que creemos tener soberanía? La ilusión se consolida a cada rato: mi casilla de mail, mi homebanking, mi playlist… mi clave alfanumérica¿Quién podría entrar? ¿Quién copiaría mi llave?
Fraude bancario 2.0: hackeos en aumento con ingeniosas y complejas tácticas
Dos posnet, uno trucho y otro no, en el cajero automático.
Como apunta Emiliano Cuesta Murúa, experto en seguridad informática con amplia experiencia en entidades bancarias, “el problema es identificar el activo de lo que querés proteger. ¿Cuánto vale que tu sitio deje de funcionar unas horas por culpa de un hacker? ¿Y cuánto que un cliente pierda dinero por fraude? Las herramientas de seguridad informática son muy caras. Una buena puede costar 1 a 2 millones de dólares. Si no tenés cuantificado lo que protegés, no vas a sentir que el gasto vale la pena”.
Seguí leyendo
 
Horacio Azzolin, fiscal de la Procuración General de la Nación, de la Unidad Fiscal Especializada en Ciberdelincuencia, coincide: “Es claro que, al menos hasta ahora, a las empresas les sale más barato devolver el dinero que pierden los clientes que incrementar las medidas de seguridad. Tal vez eso empiece a modificarse cuando las pérdidas sean mayores”.
¿Serán mayores? Desde el Banco Nación explican que, con más población digitalizada, “al aumentar las opciones sobre las que se puede efectuar un fraude, los delincuentes tienen más opciones”.
 
Al menos hasta ahora, a las empresas les sale más barato devolver el dinero que pierden los clientes que incrementar las medidas de seguridad. Tal vez eso empiece a modificarse cuando las pérdidas sean mayores.
 
Agregan que “el Banco Central de la República Argentina estipula claramente las medidas de seguridad que, como mínimo, se deben implementar. Los bancos analizan los riesgos en cada caso y se aplican en consecuencia medidas de seguridad”.
Fraude bancario 2.0: hackeos en aumento con ingeniosas y complejas tácticas
Aunque la seguridad informática mejore, los piratas digitales se las ingenian para entrar en los sistemas (Juan Manuel Foglia).
 
Pero, agregan en el Nación, “los intentos de fraude se mantienen estables, principalmente el robo de credenciales de homebanking con técnicas tradicionales de ‘ingeniería social’”. Volveremos sobre ese concepto: ingeniería social.
 
Azzolin sí ve un aumento en el fraude, pero las cifras... “No hay datos unificados a nivel país de la cantidad de casos (explica), pero al menos en la ciudad de Buenos Aires, las cifras crecen anualmente. Además, hay que tener en cuenta que no todo el mundo hace la denuncia y se conforma con hacer el reclamo ante el banco”.
 
Juan Pablo López Yacubián es experto en seguridad informática en una empresa de telefonía y trabajó años en entidades bancarias y en una reconocida emisora de tarjetas de crédito. Según comenta, el mayor problema (“y ocurre todo el tiempo”, asegura) es el phishing, la captura de datos mediante la manipulación verbal (por teléfono o mail), lo que los expertos llaman “ingeniería social”.
 
Básicamente es una charla amena con un falso empleado bancario, llena de afirmaciones, preguntas y repreguntas o, alternativamente, un mail serio que con toda certeza parece provenir del banco. Todo lleva a la persona a revelar datos privados: primero su dirección de e-mail, después sus claves del banco. Popularmente se diría: “Le hicieron la psicológica”.
 
El problema es identificar el activo de lo que querés proteger. ¿Cuánto vale que tu sitio deje de funcionar por culpa de un hacker? ¿Y cuánto que un cliente pierda dinero por fraude?
 
“Los tipos de ataque varían y se actualizan todo el tiempo, pero ellos siempre encuentran dónde entrar. Es igual que en la calle, cuando te roban el celular. Porque los hackers apuntan a lo masivo, y entonces por estadística algunos caerán”, aclara López Yacubián.
Fraude bancario 2.0: hackeos en aumento con ingeniosas y complejas tácticas
Cada vez más personas acceden al homebanking desde las aplicaciones del smartphone.
 
Cuesta Murúa coincide: “Los mails no van orientados a clientes de una sola entidad. Por ejemplo, ven que tal banco lanzó una promoción; entonces confunden mandando una publicidad fraudulenta asociada a esa campaña. Por ahí envían un millón de correos y cae en el engaño del 3% al 10% de los destinatarios”.
Una vez aceitado el mecanismo de robo, podría ser invisible para el cliente. Como explica Cuesta Murúa, “la gente de más de 60 años padece estos problemas todo el tiempo.
 
Quizás no están cancheros con el homebanking y cuando cobran la jubilación tienen la costumbre de sacar, no sé, $ 12.000 pesos por cajero. Pero todos los meses les están robando online $ 500 y no se dan cuenta. Se manejan cifras chicas, al menos al principio, para que sea imperceptible”.
 
Una vez que metieron las narices en un homebanking ajeno, el mayor problema del hacker es cómo sacar el dinero, materializarlo en efectivo. Los expertos coinciden en que el perfil de los hackers es muy bajo y que no se expondrían yendo al banco.
 
“Mandan mulas”, asegura Cuesta Murúa. ¿A quién no le llegaron por las redes sociales o vía mail esas extrañas publicidades, entusiastas ofertas de trabajo, más bien: “¡Trabajá desde tu casa y ganá xxx dólares por día!”
 
Mucha gente cae, describe Cuesta Murúa: “La persona necesita trabajar. Le dicen que es una tarea administrativa, tal vez, para una entidad en el exterior. Incluso le hacen un contrato de trabajo real. Le abren una cuenta en el banco y le indican que sólo tiene que sacar un dinero de esa cuenta que ellos le van a transferir y luego enviarlo por alguna de las compañías internacionales de transferencia de efectivo. Un porcentaje menor es para él.
 
El dinero, así, sale del sistema financiero argentino y es difícil de rastrear”.
 
Los ataques con mails phishing no apuntan a una persona millonaria sino a cualquiera. Son campañas masivas y por eso termina cayendo entre un 3% y un 10% de las personas.
 
Fraude bancario 2.0: hackeos en aumento con ingeniosas y complejas tácticas
Un ciberataque con ransomware encriptó la información de esta computadora y piden un "rescate" (Simon Dawson/Bloomberg).
 
Según López Yacubián, “estos ataques nunca apuntan a, por ejemplo, un millonario puntual, sino a cualquiera, y por eso termina cayendo el que menos sabe, el menos digitalizado está; quizás el que menos tiene. Además se sabe que de diez personas, dos no se preocupan por la seguridad”.
 
Por eso el fiscal Azzolin apunta a un tema central: “No hubo suficiente generación de conciencia en los usuarios. Se fueron solucionando problemas de seguridad sobre la marcha, a veces de manera eficiente, pero no hubo grandes campañas para evitar, por ejemplo, el phishing. La mayoría de los bancos hacen tímidas recomendaciones de seguridad. En otros países, el nivel de concientización es mayor. Es un tema cultural”.
 
Todos coinciden en la necesidad de aggiornar las leyes. Para Azzolin, “regulaciones más eficientes podrían elevar los niveles de seguridad, evitando que las organizaciones criminales sigan aumentando sus ingresos, que, asumimos, son reinvertidos en otras actividades delictivas. Los sistemas de seguridad son caros, pero hay que dejar de pensar en la seguridad como un gasto. Es una inversión”.
 
Por ahora queda la esperanza, señala el fiscal: “Nuestra ley de protección de datos personales está en plena reforma. Ojalá el proceso culmine con un sistema de protección de datos a la altura de las circunstancias”.
 
Clarin
 

 

21/01/2018