Los ciberdelincuentes han incrementado sus ataques a nivel mundial y desde hace unos meses están acechando a los hondureños.
Correos electrónicos que invitan a confirmar datos personales como un mecanismo para “evitar el fraude bancario” están siendo usados con el fin de hacer exactamente lo contrario a lo que ofrecen.
Aunque estos ciberataques no son recientes en Honduras, en los últimos meses los delincuentes cibernéticos han incrementado su actividad, alertando a las autoridades bancarias a reforzar sus mecanismos de defensa para evitar que sus clientes sean víctimas de estas redes delincuenciales que operan a nivel mundial.
Ya en octubre del año pasado el “hacker” ruso conocido bajo el seudónimo de vorVzakone había advertido que el 2013 se registraría el crecimiento del uso del software malicioso para el espionaje comercial. Esa advertencia se hizo real para varios países y Honduras no es la excepción.
Con ciberataques como los perpetrados contra los bancos más grandes de Estados Unidos, como JPMorgan Chase Co. y Wells Fargo Co., han dejado al descubierto la vulnerabilidad de la infraestructura de un país con una de las defensas informáticas más avanzadas.
Sitios fraudulentos
A nivel nacional los reportes de correos electrónicos fraudulentos son comunes.
“Debido al drástico aumento de los fraudes por Internet, le pedimos que confirme sus datos personales para poder tener un seguimiento estricto de sus operaciones y a la vez verificar que estamos tratando con usted”, reza uno de estos correos conocidos en inglés como “phishing”, que son una forma fraudulenta de robo de información.
“Debido a un mantenimiento de rutina nuestro sistema detectó que usted no ha confirmado sus datos con nuestra base de datos, por lo que se le pide ingrese al siguiente enlace para llevar a cabo el proceso de encriptación en 128 bits que requiere banco... (se omite el nombre)”, agrega la solicitud.
Tras agradecer por utilizar los servicios de las terminales electrónicas, los ciberdelincuentes piden mediante un correo, plagado de mala ortografía, que confirme datos ingresando a un enlace que redirecciona a una página web que en apariencia es la oficial de la institución bancaria en cuestión.
Simulaciones
Ariel Pavón, gerente de operaciones de Banco Atlántida, informó que esta entidad detectó un caso de ciberataque gracias al monitoreo que realizan como parte de la política de protección.
“Son simulaciones de páginas web mediante la cual pretenden engañar a los clientes usando el sistema bancario”, como una forma de acceder a números de cuentas y contraseñas para después vaciar las cuentas.
Detalló que estos delincuentes buscar engañar a una posible víctima suplantando la imagen de un banco o de una empresa para que las personas crean que quienes están pidiendo sus datos personales son las entidades.
Para hacer que los clientes caigan en el engaño, “ponen excusas para solicitar la proporción de datos como por motivos de seguridad, mantenimiento de la entidad, mejoras de servicios, encuestas, confirmación de su identidad”, detalló al hacer un llamado a la población a estar atentos para evitar ser víctimas de este tipo de delincuentes.
“Nosotros como banco Atlántida nunca solicitamos su contraseña de seguridad, números de tarjetas de crédito, de identidad ni por teléfono, correo electrónico o redes sociales u cualquier otro medio”, puntualizó.
Refuerzan protección
Isabella Rivera, coordinadora de Comunicaciones de Bac-Credomatic, destaca que ninguna institución bancaria solicita datos mediante correos electrónicos, por lo que esta es la primera señal de que se trata de un ciberfraude. “El banco nunca manda ningún tipo de solicitud al cliente actualizar datos ni mediante correos, ni mensajitos, ni cualquier otro tipo de medio electrónico. El cliente lo hace directamente con la agencia”, indicó Rivera.
En ese sentido, coincide con Pavón, quien aseguró que “los bancos cada día están implementando medidas de seguridad, de vías de monitoreo para evitar que el cliente sea sorprendido por este tipo de delincuentes”.
Por su parte, Pavón recordó que cuando banco Atlántida detectó el caso de ciberataque inmediatamente procedió a revisar las medidas de seguridad internas.
A la fecha, esta institución no ha vuelto a recibir el reporte de ningún fraude en que haya tenido que asumir la pérdida, no obstante, aseguró Pavón, “en algunos casos, dependiendo de la forma y procedimiento como se ha dado, lo asumimos. Estos son fraudes bien orquestados”, subrayó.
Campañas
La banca nacional busca orientar a los usuarios sobre el uso adecuado de los servicios financieros y actualmente la Asociación Hondureña de Instituciones Bancarias (Ahiba) desarrolla un programa educativo sobre el buen uso de la tarjeta de crédito.
Por su parte, la Comisión Nacional de Bancos y Seguros (CNBS) también tiene una campaña de educación financiera dirigida al público en general, sin embargo, Pavón indicó que en caso de ciberataques se actúa a nivel interno.
La CNBS prepara a los clientes en el mejoramiento sobre el funcionamiento de los servicios y productos financieros, además para que comprendan sus derechos y obligaciones.
Bac también está actuando a nivel institucional y desde hace varios meses mantiene una campaña denominada “BAC-Credomatic te aconseja” para orientar al cliente sobre cómo actuar, entre otros temas, en caso de recibir correos fraudulentos.
Gobiernos no están preparados
América Latina no está preparada para ciberataques, concluye un informe de la Organización de Estados Americanos (OEA). A la fecha, solo Colombia cuenta con un plan nacional en caso de sufrir un ataque informático, indica el estudio realizado por Trend Micro.
El reporte indica que en 2012 se produjo un alza en los delitos cibernéticos en Latinoamérica y el Caribe entre un 8% y un 40%.
Pavón refirió que en Honduras los ataques cibernéticos usando la banca como fachada ocurrieron hace unos cinco años, y recordó que “en otros países como Venezuela, México, Perú y el resto de Centroamérica continúa”.
El estudio patrocinado por la OEA determinó también que no hay en América Latina una estrategia conjunta para combatir este fenómeno pese a que en la región ya se han experimentado ataques.
Lamentablemente las autoridades no han dado la importancia a este tipo de delitos, en gran medida, debido a la falta de recursos económicos, indica el reporte.
El informe precisa que no tiene a la mano cifras que permitan tener una panorámica regional debido a la falta de recursos para el fortalecimiento de la capacidad en seguridad cibernética y a la falta de personal especializado para implementar políticas en esta materia.
El mecanismo
El “phishing” es una modalidad de estafa con el objetivo de intentar obtener información como claves, cuentas bancarias, números de tarjeta de crédito e identidades, para luego ser usada de manera fraudulenta.
Plop up
Los usurpadores suplantan de manera visual la imagen de un banco para que se parezca a la dirección electrónica oficial. El objetivo principal es que el usuario facilite sus datos personales. La más utilizada es la “imitación” de páginas web de bancos.
Privados
Ninguna institución bancaria que opera en Honduras solicita datos a sus clientes mediante correos electrónicos, llamadas telefónicas o mensajes a través de celular, por lo que al recibir alguno de estos contactos no proporcione información.
Secreto
Las claves son personales y no deben revelarse a nadie, algo en lo que los agentes bancarios hacen énfasis. La única vía para dar estos datos es de manera personal.
Vía oficial
La única vía confiable para ingresar a los sitios web de la banca es la oficial, así que evite ingresar a estas mediante los link que redireccionan desde un correo electrónico o alguna página web.
Notifique
Al detectar uno de esos sitios fraudulentos, las entidades bancarias solicitan reportarlo ya sea al call center o al área de seguridad de los bancos.
Clonación
Este es otro tipo de atraco cometido a los clientes bancarios mediante las tarjetas de debito y crédito, ante lo cual las grandes instituciones bancarias están implementando los chips, un dispositivo que protege las tarjetas para evitar que sean duplicadas.