Llega el verano y los ciberdelincuentes no descansan: están a la caza de nuevos métodos de ataque. Con el auge del turismo, los objetivos predilectos son las tarjetas de crédito. ¿Por qué crece la venta de números de tarjetas en la Dark Web?
En un contexto de crecimiento de los viajes por las vacaciones de verano, las tarjetas de crédito, de débito y prepagas son altamente empleadas para incentivar el consumo, lo que hace que su seguridad este más en peligro. Tocar, deslizar e ingresar los PIN en persona es más seguro que hacer clic y comprar online.
Gran parte de esto se debe al marco de seguridad de chip EMV que es muy eficaz. Pero cuando las compras se realizan cuando ni el titular de la tarjeta ni la tarjeta están físicamente presente, representan en el 83% de los casos, intentos de fraude.
Con el inicio de la temporada de verano, las compras con tarjeta crecen, así como su vulnerabilidad
"Incluso mientras el mundo se recupera de la pandemia, todavía esperamos más y más transacciones de este tipo. Las compañías deben poner un enfoque especial en prevención, detección y mitigación del fraude para detener esta tendencia creciente", comentó Miguel Rodriguez, Director de Seguridad Informática en Megatech, empresa argentina de ciberseguridad que brinda servicios en varios países de la región.
El principal inconveniente sigue siendo el robo de datos personales y su oferta en la Dark Web por montos bajos en dólares.
"Desde Megatech trabajamos en alianza con nuestro socio CyberInt para monitorear en tiempo real miles de fuentes de amenazas en la Dark Web. Damos alerta a las compañías financieras de los "lotes de datos" robados de tarjetas para que puedan tomar acciones preventivas, como el bloqueo de las tarjetas y posterior recambio", explicó Rodriguez.
Así, con el foco en la prevención, desde Megatech compartieron consejos para redoblar los cuidados antes y durante los viajes:
- Asegurarse de que los dispositivos estén protegidos con un PIN, una frase de contraseña o una contraseña
- Habilitar la autenticación multifactor siempre que esté disponible, para ayudar a prevenir los actores de amenazas y para que no se apoderen de sus cuentas y accedan a sus datos
- Asegurarse de tener antivirus y antimalware actualizados, inclusive en los teléfonos
-
Desactivar la conexión Wi-Fi cuando no esté usando el dispositivo para conectarse a Internet
- Siempre que se conecte a una red Wi-fi asegurarse que sea conocida y confiable, como puede ser la red de donde uno trabaja o la red hogareña
-
Nunca conectar un dispositivo desconocido a su tableta o computadora portátil. Cualquier dispositivo desconocido que se conecta a un puerto USB (unidad flash, reproductores MP3, teléfonos inteligentes, discos duros externos, etc.) puede robar datos y contener software malintencionado
Cuento del tío
Los pagos online no paran de crecer. Y si bien constituyen una solución para una gran mayoría, también presentan un atractivo cada vez mayor para los atacantes. Los datos provistos a iProUP sobre el avance de las estafas bancarias son más que elocuentes:
El envío de mensajes de email, WhatsApp o redes sociales simulando ser un banco, modalidad conocida como phishing, es el ataque más frecuente.
Cecilia Pastorino, Investigadora de Seguridad Informática de ESET Latinoamérica, asegura a iProUP que "el sector más afectado sigue siendo el financiero, con 25% de los intentos".
Por su parte, el ingeniero Pablo Rodríguez Romeo, perito informático forense y socio del Estudio CySI, enumera a iProUP las causas de este avance:
- El crecimiento exponencial del uso de la tecnología durante la pandemia
- Los usuarios hacen más trámites en línea
- El desconocimiento de las personas sobre los riesgos a los que se exponen al usar Internet y los dispositivos tecnológicos
- La poca importancia que se les da a las campañas de concientización de bancos y plataformas de ecommerce
"Un ejemplo de ello es el tema de las contraseñas. El 80% de los usuarios sigue usando claves inseguras, por ejemplo, una fecha de cumpleaños. Si bien son fáciles de recordar, también lo son de descifrar", señala el experto.
Desde Ualá confirman a iProUP que "las ventajas que trajo la pandemia en términos de una mayor digitalización tuvo como correlato el aumento de ciberataques, estafas, campañas de phishing y robo de identidad".
En el mismo sentido, Maximiliano Bona, CBO de Aon Argentina, remarca a iProUP que esta digitalización de los pagos, las compras y hasta la educación que "antes sucedía en un ambiente seguro", con la llegada del home office "ahora se lleva a cabo en tablets, teléfonos e incluso computadoras con escasa o ninguna medida de seguridad".
¿Cómo actúan los atacantes?
Según Rodríguez Romeo, en estos fraudes se utiliza la "ingeniería social": los cibercriminales se aprovechan de la información que se vuelca en Internet (por ejemplo, redes sociales) para hallar a la víctima y luego utilizar esos datos para ejecutar el robo.
"Mientras haya usuarios que no sean conscientes de los riesgos a los que se exponen ante un uso poco responsable de la web y los dispositivos, estos ataques seguirán ocurriendo y, peor aún, profundizándose", pronostica.
Entre las estafas más comunes, remarca que lo que él mismo denomina "el cuento del tío de la era digital". Es decir, "se contactan con la víctima haciéndose pasar por una persona o empresa que les resulta familiar y solicitan claves de acceso a homebanking o billeteras virtuales, contraseñas de mails, DNI y sus números de trámite".
De acuerdo con la vocera de ESET, el phishing es el engaño más utilizado. Consiste en algo tan sencillo como crear una cuenta falsa que imite el logo y el aspecto de la original, y contactarse con la víctima, que muchas veces se "pesca" por las quejas que hace en redes sociales.
Hay que tener cuidado con las quejas en redes sociales: los delincuentes pueden contactarse haciéndose pasar por la empresa
"Esto se ha visto mucho en Twitter con perfiles que suplantaban la identidad de los bancos y les solicitaban a usuarios sus datos de acceso a homebanking. Esta misma técnica fue utilizada en Instagram para suplantar la identidad de la propia red social y hacerle creer a usuarios que querían verificar su cuenta y que debían enviar su contraseña en un mensaje privado", añade.
Otra técnica muy utilizada para robar cuentas de WhatsApp es clonar el chip con el número de teléfono y usar diferentes engaños para obtener el PIN enviado por SMS para validar la cuenta y acceder a los mensajes de la víctima.
En 2020 se detectó, también, un fraude telefónico que comenzaba por WhatsApp: se comunicaban en nombre de la ANSES para hacer entrega de una supuesta ayuda económica.