A medida que los servicios bancarios online se hacen más populares, también lo hace el fraude bancario en línea. De hecho, las estafas de phishing bancario se han convertido en uno de los tipos de actividades delictivas más comunes en Internet.
Además de robar credenciales de inicio de sesión en cuentas bancarias, los ciberdelincuentes también roban información de tarjetas de crédito y débito para su propio beneficio económico.
Pero, ¿cómo funcionan exactamente estos ciberdelitos y qué implicaciones tienen para el individuo?
El fraude bancario en línea se produce esencialmente cuando un ciberdelincuente es capaz de robar los datos bancarios digitales de una persona, o empresa, y acceder a las cuentas bancarias o tarjetas de crédito asociadas, ya sea mediante phishing o cualquier otro tipo de ciberataque.
Luego lo utilizan en su beneficio, ya sea desviando dinero de su cuenta directamente o perpetrando otros tipos de fraude financiero.
Desde el punto de vista legal, este tipo de fraude abarca todo tipo de actividades delictivas realizadas a través de la aplicación o el sitio web de un banco. Esto incluye acceder ilegalmente a las cuentas de otra persona para gestionar o transferir su dinero.
La naturaleza altamente digitalizada de la banca moderna ofrece a los atacantes muchas oportunidades diferentes para ejecutar estos delitos.
A pesar de que los bancos toman cada vez más medidas para asegurar sus servicios digitales y proteger las cuentas de sus clientes, la creciente sofisticación de estos ataques hace que sea extremadamente difícil identificar cuándo se están llevando a cabo estos ataques y prevenirlos.
Los ciberdelincuentes utilizan medios cada vez más sofisticados para engañar a víctimas desprevenidas y hacer que compartan inadvertidamente sus datos bancarios y lleven a cabo fraudes bancarios en línea.
A menudo, estos ataques son multidimensionales e incorporan diversas técnicas, por lo que resulta difícil identificarlos.
Por ello, es esencial que todos los usuarios de servicios bancarios en línea conozcan estos ataques para poder estar preparado para afrontarlos. Existen dos tipos principales de fraude bancario en línea: La apropiación de cuentas (ATO) y los sistemas de transferencia automática (ATS).
Las apropiaciones de cuentas (ATO) son estafas bancarias digitales en las que el ciberdelincuente se apodera de una cuenta bancaria a través de información robada.
Estos ataques suelen implicar técnicas de ingeniería social o malware, y los más avanzados utilizan ambos.
A continuación se describen algunos de los métodos más comunes con los que los ciberdelincuentes llevan a cabo estafas bancarias en línea y ATO:
En las estafas de phishing bancario, el phisher se hace pasar por la entidad bancaria legítima de la víctima y le envía un correo electrónico pidiéndole que confirme sus credenciales de inicio de sesión.
Normalmente, el correo electrónico contiene un vínculo a un sitio web fraudulento que imita el sitio real del banco; cuando se ingresan los datos de inicio de sesión, el phisher puede robarlos.
Por eso los bancos recuerdan periódicamente a sus clientes que nunca les pedirán información confidencial, como contraseñas o números de identificación personal (PIN).
Para aumentar las posibilidades de éxito, el correo electrónico de phishing suele indicar que la cuenta bancaria será suspendida o bloqueada si el cliente no hace clic en confirmar sus datos.
Estos ataques son similares al phishing, pero se realizan por teléfono en lugar de por correo electrónico. El atacante se hace pasar por el banco de la víctima en una llamada telefónica y la engaña para que comparta los datos de su cuenta y sus inicios de sesión por teléfono.
Esto le da al atacante acceso y control total sobre la cuenta. En algunos casos, el atacante intenta obtener ciertos datos personales que luego puede utilizar en sus esquemas de fraude bancario en línea o consigue que la víctima le transfiera dinero directamente.
Se trata de un tipo particular de software malicioso —troyanos— que controla el uso del teclado de una computadora.
Cuando detecta que el usuario está accediendo a un sitio web bancario que se encuentra en una lista preestablecida, registra las teclas que presionas y roba las credenciales de inicio de sesión de la cuenta bancaria para que el atacante pueda acceder posteriormente a esta cuenta y robar fondos de ella.
Los ciberdelincuentes utilizan una variedad de software malicioso para robar la información que necesitan. Suelen comenzar como estafas bancarias por correo electrónico que obligan a la víctima a descargar en sus dispositivos archivos adjuntos plagados de virus, a menudo sin su conocimiento.
Luego, el malware imita sesiones bancarias auténticas y consigue que la víctima ingrese sus datos, que luego son robados por el atacante para perpetrar sus estafas.
Algunos de los malware más usados en las estafas bancarias en línea son:
En algunos casos, las estafas de inicio de sesión bancaria pueden llevarse a cabo mediante ataques de fuerza bruta o de diccionario. Estos adivinan aleatoriamente las contraseñas hasta dar con la correcta, que el atacante puede utilizar para acceder a la cuenta bancaria vinculada.
Muchas conexiones a Internet son susceptibles de ser hackeadas por ciberdelincuentes. Esto es especialmente cierto en el caso de redes Wi-Fi públicas no seguras que cuentan con poca protección. Al hackear estas redes, los atacantes pueden robar cualquier información que se transmita, incluyendo datos bancarios.
Este ciberdelito en particular consiste en utilizar técnicas de ingeniería social para robar el número de teléfono de la víctima y transferirlo a una tarjeta SIM en posesión del atacante. Esto les da acceso a todo lo relacionado con el número de teléfono en cuestión y, a menudo, les permite acceder a cuentas bancarias al recibir contraseñas de un solo uso como parte del proceso de autenticación multifactor auténtico de un banco.
Las mejoras en tecnología y ciberseguridad hacen que las ATO sean mucho más difíciles de ejecutar. Para sortear esta situación y seguir perpetrando fraudes bancarios en línea, los ciberdelincuentes desarrollaron nuevas técnicas automatizadas para ejecutar los ataques de forma eficaz y con un menor riesgo de detección de la usurpación de identidad.
Se denominan sistemas de transferencia automática (ATM) y no requieren que el atacante recurra a estafas de inicio de sesión bancaria. En su lugar, estos sistemas automatizados supervisan la actividad de la computadora de un usuario.
Cuando el usuario inicia sesión en su cuenta bancaria, este malware inyecta un script en el sitio legítimo e inicia transferencias de dinero de las que el usuario no se percata hasta que es demasiado tarde.
Esto elimina la necesidad de que el atacante recopile información del usuario y supere los protocolos de autenticación multifactor.
Aunque los dos tipos de estafas bancarias en línea son diferentes, ambas tienen el mismo objetivo (robar fondos y perpetrar fraudes financieros), pero funcionan de forma bastante diferente.
El robo de identidad bancaria consiste en que el ciberdelincuente roba la identidad de un individuo para perpetrar un fraude financiero.
Al obtener detalles personales como nombres, cumpleaños y números de seguridad social, los atacantes pueden iniciar una amplia gama de acciones.
El robo de identidad de cuentas bancarias, y el robo de identidad a mayor escala, puede tener repercusiones graves y duraderas en las víctimas de estos ataques. Algunas de ellas pueden ser:
Lamentablemente, el robo de identidad de cuentas bancarias puede tener repercusiones importantes para el individuo o la empresa objeto de estos ataques. Por supuesto, el impacto financiero es una preocupación seria, pero también hay otras implicaciones que es importante tener en cuenta.
Las estafas bancarias pueden tener importantes consecuencias financieras, que pueden ser devastadoras tanto para las personas como para las organizaciones.
Dependiendo de la información robada, el atacante puede vaciar cuentas bancarias, cerrar y abrir cuentas nuevas, arruinar el puntaje crediticio, cometer fraude fiscal, robar fondos de jubilación y afectar a las hipotecas.
A la hora de hacer frente a las consecuencias de estos ataques, las víctimas pueden verse obligadas a incurrir en pérdidas financieras aún mayores, por ejemplo, en concepto de honorarios de abogados.
El robo de identidad bancaria puede afectar a la salud mental de quienes son víctimas de estas estafas. Cuando una persona se da cuenta de que fue víctima de un fraude bancario en línea, pueden entrar en juego toda una serie de emociones, desde la conmoción y la ira hasta el miedo y la impotencia.
Pueden sufrir un estrés considerable al intentar recomponer las cosas y, a menudo, sienten la necesidad de culpar a alguien por permitir que esto ocurra.
En realidad, nunca es del todo posible evitar el phishing bancario y otras estafas en línea. Por supuesto, hay ciertas medidas que pueden tomarse para disminuir la probabilidad de que tengan éxito o mitigar sus impactos.
Estos son algunos consejos a tener en cuenta:
Los robos bancarios online son cada vez más sofisticados y difíciles de detectar. Sin embargo, estos ataques pueden tener importantes repercusiones financieras, sociales y emocionales para las personas y empresas que son objeto de ellos.
Entender cómo son las estafas bancarias en línea e implantar funciones de seguridad digital y protección de sentido común puede reducir al mínimo la posibilidad de que los ciberdelincuentes se apoderen de cuentas o infecten dispositivos con programas malware de ATS.
Consigue Kaspersky Premium + 1 AÑO GRATIS de Kaspersky Safe Kids. Kaspersky Premium recibió cinco premios AV-TEST a la mejor protección, el mejor rendimiento, la VPN más rápida, el control parental aprobado para Windows y la mejor calificación para el control parental en Android.
¿Son seguros los monederos digitales?