La compañía de ciberseguridad NordVPN ha alertado sobre la existencia de datos sobre más de 4 millones de tarjetas bancarias a la venta en la Dark Web o Internet Oscura.
NordVPN ha publicado los resultados de una investigación en la que ha analizado datos estadísticos recopilados por investigadores independientes especializados en incidentes de ciberseguridad de los mercados donde se venden números de tarjetas de pago.
En total, la investigación de la compañía especializada ha descubierto la existencia de 4.478.908 tarjetas bancarias a la venta en la Dark Web de manera ilícita en todo el mundo, incluida la Argentina.
El precio medio para hacerse con los datos de una tarjeta de crédito o de débito en la Dark Web en la actualidad es de menos de 10 dólares, con diferencias notables entre países. Por ejemplo, de España se pagan 12,57 dólares de media, frente a los 16,82 dólares por tarjeta de Francia y los 5,81 dólares de Estados Unidos.
Estados Unidos es precisamente el país con más tarjetas a la venta, con 1,56 millones, pero con riesgo medio. Turquía es uno de los países que tienen un riesgo más alto, según NordVPN, por tener un mayor uso de tarjetas no reembolsables.
A nivel global, las tarjetas bancarias de Visa son las que más se ponen a la venta de forma clandestina en Internet, seguidas de Mastercard y American Express.
La investigación ha alertado de que estas tarjetas bancarias han podido obtenerse no solo a través de brechas de datos de pagos, sino también mediante ataques de fuerza bruta, en los que se usan combinaciones aleatorias hasta encontrar tarjetas reales y sus claves mediante mecanismos automatizados.
Cuento del tío
Los pagos online no paran de crecer. Y si bien constituyen una solución para una gran mayoría, también presentan un atractivo cada vez mayor para los atacantes. Los datos provistos a iProUP sobre el avance de las estafas bancarias son más que elocuentes:
El envío de mensajes de email, WhatsApp o redes sociales simulando ser un banco, modalidad conocida como phishing, es el ataque más frecuente. Cecilia Pastorino, Investigadora de Seguridad Informática de ESET Latinoamérica, asegura a iProUP que "el sector más afectado sigue siendo el financiero, con el 25% de los intentos".
Por su parte, el ingeniero Pablo Rodríguez Romeo, perito informático forense y socio del Estudio CySI, enumera a iProUP las causas de este avance:
- El crecimiento exponencial del uso de la tecnología durante la pandemia
- Los usuarios hacen más trámites en línea
- El desconocimiento de las personas sobre los riesgos a los que se exponen al usar Internet y los dispositivos tecnológicos
- La poca importancia que se les da a las campañas de concientización de bancos y plataformas de ecommerce
"Un ejemplo de ello es el tema de las contraseñas. El 80% de los usuarios sigue usando claves inseguras, por ejemplo, una fecha de cumpleaños. Si bien son fáciles de recordar, también lo son de descifrar", señala el experto.
Desde Ualá confirman a iProUP que "las ventajas que trajo la pandemia en términos de una mayor digitalización tuvo como correlato el aumento de ciberataques, estafas, campañas de phishing y robo de identidad".
En el mismo sentido, Maximiliano Bona, CBO de Aon Argentina, remarca a iProUP que esta digitalización de los pagos, las compras y hasta la educación que "antes sucedía en un ambiente seguro", con la llegada del home office "ahora se lleva a cabo en tablets, teléfonos e incluso computadoras con escasa o ninguna medida de seguridad".
¿Cómo actúan los atacantes?
Según Rodríguez Romeo, en estos fraudes se utiliza la "ingeniería social": los cibercriminales se aprovechan de la información que se vuelca en Internet (por ejemplo, redes sociales) para hallar a la víctima y luego utilizar esos datos para ejecutar el robo.
"Mientras haya usuarios que no sean conscientes de los riesgos a los que se exponen ante un uso poco responsable de la web y los dispositivos, estos ataques seguirán ocurriendo y, peor aún, profundizándose", pronostica.
Entre las estafas más comunes, remarca que lo que él mismo denomina "el cuento del tío de la era digital". Es decir, "se contactan con la víctima haciéndose pasar por una persona o empresa que les resulta familiar y solicitan claves de acceso a homebanking o billeteras virtuales, contraseñas de mails, DNI y sus números de trámite".
De acuerdo con la vocera de ESET, el phishing es el engaño más utilizado. Consiste en algo tan sencillo como crear una cuenta falsa que imite el logo y el aspecto de la original, y contactarse con la víctima, que muchas veces se "pesca" por las quejas que hace en redes sociales.
Hay que tener cuidado con las quejas en redes sociales: los delincuentes pueden contactarse haciéndose pasar por la empresa
"Esto se ha visto mucho en Twitter con perfiles que suplantaban la identidad de los bancos y les solicitaban a usuarios sus datos de acceso a homebanking. Esta misma técnica ha sido utilizada en Instagram para suplantar la identidad de la propia red social y hacerle creer a usuarios que querían verificar su cuenta y que debían enviar su contraseña en un mensaje privado", añade.
Otra técnica muy utilizada para robar cuentas de WhatsApp es clonar el chip con el número de teléfono y usar diferentes engaños para obtener el PIN enviado por SMS para validar la cuenta y acceder a los mensajes de la víctima.
En 2020 se detectó, también, un fraude telefónico que comenzaba por WhatsApp: se comunicaban en nombre de la ANSES para hacer entrega de una supuesta ayuda económica.
¿Nada alcanza?
Los bancos y fintech cuentan con métodos de seguridad para prevenir los fraudes digitales. Sin embargo, los cibercriminales renuevan sus técnicas.
"Si bien los mecanismos tecnológicos son útiles, lo más importante es concientizar a las personas para que detecten un engaño. Las instituciones pueden colaborar con campañas de educación, recordatorios de buenas prácticas, políticas claras de comunicación y, sobre todo, una buena atención", señala Pastorino.
Sin embargo, la experta remarca que siempre hay que estar alertas: "Chequear siempre que estemos recibiendo mensajes de la cuenta verificada del banco (tilde azul). Aun así, no brindar datos confidenciales, como claves, tokens o códigos de seguridad de tarjetas. Nunca ir a cajeros automáticos a realizar operaciones que se solicitan por teléfono ni brindar datos sensibles", completa.
Federico Varela, gerente de Ciberseguridad de Santander Argentina, asegura a iProUP que "el punto débil de las estafas siempre termina siendo el comportamiento de las personas y no las medidas de seguridad de las empresas".
"Por esto, durante la pandemia el banco realizó diversas campañas de concientización por todos los canales disponibles: redes sociales, cajeros automáticos, vía pública, mails, monitores de sucursal y medios. Adicionalmente, para quienes sufrieron este tipo de estafas se creó una línea exclusiva de atención 24 horas para asistirlos y contenerlos", remarca.
Desde el Comafi advierten a iProUP que están alertando a los clientes: "Les recordamos continuamente que el banco nunca pide las claves de manera telefónica. Mantenemos tres factores de seguridad para las operaciones en home banking (usuario, clave y token relacionado al celular del cliente), etcétera".
Nunca compartir datos bancarios por mail o Whatsapp: los atacantes se hacen pasar por una entidad para hacerse de las credenciales
Las billeteras virtuales también están en la mira de ciberatacantes: copiar la banda magnética de los plásticos o sacarle una foto a los números de las tarjetas ya es suficiente para asociarla a una app de pago virtual y consumar el delito. Es imprescindible implementar políticas de seguridad para verificar pagos virtuales, como sucede con las tarjetas de crédito, pero no con las de débito.
En esa línea, el Banco Central lanzó una normativa en la que establece que las billeteras deben cumplir con una serie de requisitos: verificar la identidad de quienes abren una cuenta; asociar sólo aquellos instrumentos de pago o cuentas a nombre del titular de la app y utilizar mecanismos "fuertes" de identificación y autenticación del usuario.
"Hemos conformado un equipo de Prevención de Fraudes que implementa las mejores prácticas. Es clave contar con un proceso de onboarding robusto, mitigando el riesgo de usurpación de identidad, y poseer un monitoreo transaccional y de perfil de clientes para detectar y alertar amenazas y poder actuar", asegura a iProUP Gustavo Tokashiki, VP of Risk & Legal de ank, la fintech de Itaú.
En el mismo sentido, Francisco Chaves del Valle, Gerente de Relaciones Institucionales de la billetera BKR, afirma a iProUP que "el crecimiento de fraudes se relaciona por exceso de confianza de un usuario que no es cuidadoso con las claves o los mails que recibe, o intenta usar la identidad de otra persona".
El experto revela que en el diseño de la app "se identificaron los distintos puntos donde hay que hacer foco para establecer parámetros de seguridad: alta, chequeo de identidad para cambio de clave o desbloqueo y recomendaciones de buenas prácticas".
Desde agosto de 2020, Ualá redujo 92% los intentos de estafas en su plataforma. Según la firma, esto se logró con "la implementación de herramientas tecnológicas de monitoreo proactivo para frenar operaciones sospechosas y la cooperación con entidades financieras". Y remarcan que promueven "un acuerdo entre bancos y fintech para fortalecer este proceso en todo el ecosistema".
Prevención
Educar y concientizar es uno de los grandes desafíos del sector, lo que conlleva superar las barreras de uso para realizar operaciones virtuales evitando riesgos, al igual que potenciar los niveles de seguridad de los proveedores del servicio. En este sentido, la experta de Eset recomienda los siguientes tips que deben tener en cuenta los usuarios:
- "El primer y mejor consejo es utilizar siempre el sentido común. Pensar y no apresurarse es una de las mejores prácticas en Internet y esto aplica a cualquier actividad. Muchas veces, el usuario hace clic o completa información sin pensar y eso es justamente lo que buscan los atacantes"
- "Utilizar contraseñas fuertes y cambiarlas periódicamente. La mejor forma de proteger una cuenta es configurando el segundo factor de autenticación"
- "Realizar siempre las operaciones a través de sitios de confianza (muestran un "candadito" en la barra de direcciones del navegador) y visitarlos escribiendo la URL. A su vez, evitar ingresar información y realizar compras a través de servicios que no conocemos".
- "Utilizar tarjetas de crédito para las compras online. Además de no revelar información bancaria las mismas están aseguradas frente a cargos fraudulentos"
- "Evitar el uso de software "pirata" o ilegítimo, ya que en la mayoría de los casos contienen aplicaciones maliciosas que buscan robar información o dañar el equipo.
- "No guardar en el navegador o en el equipo los datos de la tarjeta, usuarios o contraseñas; y operar en un entorno confiable. "Esto incluye el uso de un dispositivo protegido con alguna herramienta de seguridad, todas las actualizaciones instaladas y desde una red confiable, como la del hogar o la oficina".
El mayor uso de herramientas digitales brinda comodidad y agilidad, pero también exige alta responsabilidad. Por eso, el usuario siempre debe estar alerta porque el crimen digital nunca descansa.