Fraude bancario 2.0: hackeos en aumento con ingeniosas y complejas tácticas
Expertos en seguridad informática aseguran que para los bancos es más rentable reponer las pérdidas de sus clientes que contar con sistemas de seguridad de primera línea.
“Me siento vulnerada, como si hubieran entrado a mi casa, me hubieran dejado en ropa interior y usado todas mis cosas”, describe una mujer a la que le acaban de hackear la caja de ahorro. De los numerosos fraudes e intentos de fraude bancario que ocurren en todo el mundo todos los días, este caso es particular: una clienta atenta, despierta, que advierte algo extraño y lo detiene a tiempo. A veces los que lo frenan son expertos en seguridad informática. Otras, nadie.
A la mujer primero le llegó, a través del sitio pagomiscuentas, una factura que rondaba los tres mil pesos, correspondiente a un servicio que jamás había consumido. Después, otro día, su propio home banking le pidió, para loguearse, algunos datos adicionales con respecto a lo usual. Raro.
Avisó al banco y bloquearon todo. Pero los piratas informáticos ya habían cruzado la mitad del río: llegaron a irrumpir de manera virtual en su caja de ahorro en dólares y pasar unos cuántos billetes a la caja de ahorro en pesos. O sea, le pesificaron parte de su ahorro. Unos minutos más y ese dinero se hubiera esfumado en una transferencia con rumbo desconocido, por alguna de las arterias periféricas del sistema financiero local. El banco anuló la operación.
Esta es una historia, pero hay muchas. Los intentos ocurren todo el tiempo, muchos fraudes se concretan y los bancos no lo niegan. Es una rueda que no para nunca porque, de algún modo, se mueve simbióticamente con el irrefrenable desarrollo informático. Y se sabe: hecha la ley, hecha la trampa. Y así surgirá otra ley.
Pero existe una suerte de palacio de la justicia para las empresas –bancos incluidos-, que es la “seguridad informática”. Desde allí, los expertos intentan detectar y frenar cualquier ataque proveniente de hackers. Es una batalla: ambos son fuertes y sa- ben mucho. En diálogo con Clarín, en el departamento de Seguridad de la Información del Banco Nación señalaron una diferencia: no es lo mismo “un intento de hackeo que busca burlar medidas de seguridad de un sistema, más allá de si representará un beneficio económico” (lo que puede ser o no un acto delictivo), y el intento de fraude, que “sin dudas posee un objetivo económico y es un delito”.
En cualquier caso cuesta entender por qué la tecnología (todopoderosa) todavía carece de herramientas suficientes para enfrentar las escenas a continuación: 1) que un tercero haga compras con nuestras tarjetas de crédito (tan simple como copiar el número del plástico, el código de seguridad y el número del DNI); 2) que un pirata informático coloque dispositivos truchos en el posnet de la puer- ta del banco o del cajero automático (¡y nadie se dé cuenta!), que más tarde “clone” ( skimming) el plástico y use la tarjeta melliza a su gusto. 3) Que un virus se meta en nuestra computadora y se haga de nuestro mundo privado. Y 4) que nos llegue un mail spam (ver Phishing bancario…) igualito a los del banco, alentando a cliquear un link que nos redireccionará a un falso homebanking donde, como niños distraídos, escribiremos nuestra clave bancaria, el final ansiado por el hacker de turno.
Hace poco reinaba la desconfianza en las operaciones bancarias online. ¿Quién hubiera imaginado entonces que todo terminaría pasando por internet, al punto de surgirnos una extraña simpatía por ciertos rincones de la web sobre los que creemos tener soberanía? La ilusión se consolida a cada rato: mi casilla de mail, mi home banking, mi playlist… mi clave alfanumérica. ¿Quién podría entrar? ¿Quién copiaría mi llave?
Como apunta Emiliano Cuesta Murúa, experto en seguridad informática con amplia experiencia en entidades bancarias, “el problema es identificar el activo de lo que querés proteger. ¿Cuánto vale que tu sitio deje de funcionar unas horas por culpa de un hacker? ¿Y cuánto que un cliente pierda dinero por fraude? Las herramientas de seguridad informática son muy caras. Una buena puede costar 1 a 2 millones de dólares. Si no tenés cuantificado lo que protegés, no vas a sentir que el gasto vale la pena”.
Horacio Azzolin, fiscal de la Procuración General de la Nación, de la Unidad Fiscal Especializada en Ciberdelincuencia, coincide: “Es claro que, al menos hasta ahora, a las empresas les sale más barato devolver el dinero que pierden los clientes que incrementar las medidas de seguridad. Tal vez eso empiece a modificarse cuando las pérdidas sean mayores”.
¿Serán mayores? Desde el Banco Nación explican que, con más población digitalizada, “al aumentar las opciones sobre las que se puede efectuar un fraude, los delincuentes tienen más opciones”. Agregan que “los bancos analizan los riesgos en cada caso y se aplican en consecuencia medidas de seguridad”, pero, “no obstante, los intentos de fraude se mantienen estables, principalmente el robo de credenciales de homebanking con técnicas tradicionales de ‘ingeniería social’”. Volveremos sobre ese concepto: ingeniería social.
Azzolin sí ve un aumento en el fraude, pero ¿y las cifras? “No hay datos unificados a nivel país de la cantidad de casos (aclara), pero al menos en la ciudad de Buenos Aires, las cifras crecen cada año. Además, hay que considerar que no todo el mundo hace la denuncia y se conforma con hacer el reclamo ante el banco”.
Juan Pablo López Yacubián es ex-
El hacker envía un mail bancario fraudulento a miles de personas. Del 3% al 10% cae en la trampa.
perto en seguridad informática en una empresa de telefonía y trabajó años en entidades bancarias y en una reconocida emisora de tarjetas de crédito. Según explica, el mayor problema (“y ocurre todo el tiempo”, asegura) es el phishing, la captura de datos mediante la manipulación verbal (por teléfono o mail), lo que los expertos llaman “ingeniería social”.
Básicamente es una charla amena con un falso empleado bancario, llena de afirmaciones, preguntas y repreguntas o, alternativamente, un mail serio que con toda certeza parece provenir del banco. Todo lleva a la persona a revelar datos privados: primero su dirección de e-mail, después sus claves del banco. Popularmente se diría: “Le hicieron la psicológica”.
“Los tipos de ataque varían y se actualizan todo el tiempo, pero ellos siempre encuentran dónde entrar. Es igual que en la calle, cuando te roban el celular. Porque los hackers apuntan a lo masivo, y entonces por estadística algunos caerán”, aclara López Yacubián. Cuesta Murúa coincide: “Los mails no van orientados a clientes de una sola entidad. Por ejemplo, ven que tal banco lanzó una promoción; entonces confunden mandando una publicidad fraudulenta asociada a esa campaña. Por ahí envían un millón de correos y cae en el engaño del 3% al 10% de los destinatarios”.
Una vez aceitado el mecanismo de robo, podría ser invisible para el cliente. Como explica Cuesta Murúa, “la gente de más de 60 años padece estos problemas todo el tiempo. Qui- zás no están cancheros con el home anking y cuando cobran la jubilación tienen la costumbre de sacar, no sé, $ 12.000 pesos por cajero. Pero todos los meses les están robando online $ 500 y no se dan cuenta. Se manejan cifras chicas, al menos al principio, para que sea imperceptible”.
Una vez que metieron las narices en un home banking ajeno, el mayor problema del hacker es cómo sacar el dinero, materializarlo en efectivo. Los expertos coinciden en que el perfil de los hackers es muy bajo y que no se expondrían yendo al banco.
“Mandan mulas”, asegura Cuesta Murúa. ¿A quién no le llegaron por las redes sociales o vía mail esas extrañas publicidades, entusiastas ofertas de trabajo, más bien: “¡Trabajá desde tu casa y ganá xxx dólares por día!”
Mucha gente cae, describe Cuesta Murúa: “La persona necesita trabajar. Le dicen que es una tarea administrativa, tal vez, para una entidad en el exterior. Incluso le hacen un contrato de trabajo real. Le abren una cuenta en el banco y le indican que sólo tiene que sacar un dinero de esa cuenta -que ellos le van a transferir- y luego enviarlo por alguna de las compañías internacionales de transferen- cia de efectivo. Un porcentaje menor es para él. El dinero, así, sale del sistema financiero argentino y se vuelve difícil de rastrear”.
Según López Yacubián, “estos ataques nunca apuntan a, por ejemplo, un millonario puntual, sino a cualquiera, y por eso termina cayendo el que menos sabe, el menos digitalizado está; quizás el que menos tiene. Además se sabe que de 10 personas, 2 no se preocupan por la seguridad”.
Por eso el fiscal Azzolin apunta a un tema central: “No hubo suficiente generación de conciencia en los usuarios. Se fueron solucionando problemas de seguridad sobre la marcha, a veces de manera eficiente, pero no hubo grandes campañas para evitar, por ejemplo, el phishing. La mayoría de los bancos hacen tímidas recomendaciones de seguridad. En otros países, el nivel de concientización es mayor. Es un tema cultural”. Todos coinciden en la necesidad de
aggiornar la ley. Para Azzolin, “regulaciones más eficientes podrían elevar los niveles de seguridad, evitando que las organizaciones criminales sigan aumentando sus ingresos, que, asumimos, son reinvertidos en otras actividades delictivas. Los sistemas de seguridad son caros, pero hay que dejar de pensar en la seguridad como un gasto. Es una inversión”.
Por ahora queda la esperanza, dice el fiscal: “Nuestra ley de protección de datos personales está en plena reforma. Ojalá el proceso culmine con un sistema de protección de datos a la altura de las circunstancias”.
Una herramienta de seguridad informática avanzada puede costar de 1 a 2 millones de dólares.