A medida que los servicios bancarios online se hacen más populares, también lo hace el fraude bancario en línea. De hecho, las estafas de phishing bancario se han convertido en uno de los tipos de actividades delictivas más comunes en Internet.
Además de robar credenciales de inicio de sesión en cuentas bancarias, los ciberdelincuentes también roban información de tarjetas de crédito y débito para su propio beneficio económico.
Pero, ¿cómo funcionan exactamente estos ciberdelitos y qué implicaciones tienen para el individuo?
¿Qué es el fraude bancario en línea?
El fraude bancario en línea se produce esencialmente cuando un ciberdelincuente es capaz de robar los datos bancarios digitales de una persona, o empresa, y acceder a las cuentas bancarias o tarjetas de crédito asociadas, ya sea mediante phishing o cualquier otro tipo de ciberataque.
Luego lo utilizan en su beneficio, ya sea desviando dinero de su cuenta directamente o perpetrando otros tipos de fraude financiero.
Desde el punto de vista legal, este tipo de fraude abarca todo tipo de actividades delictivas realizadas a través de la aplicación o el sitio web de un banco. Esto incluye acceder ilegalmente a las cuentas de otra persona para gestionar o transferir su dinero.
La naturaleza altamente digitalizada de la banca moderna ofrece a los atacantes muchas oportunidades diferentes para ejecutar estos delitos.
A pesar de que los bancos toman cada vez más medidas para asegurar sus servicios digitales y proteger las cuentas de sus clientes, la creciente sofisticación de estos ataques hace que sea extremadamente difícil identificar cuándo se están llevando a cabo estos ataques y prevenirlos.
¿Cómo funcionan las estafas bancarias?
Los ciberdelincuentes utilizan medios cada vez más sofisticados para engañar a víctimas desprevenidas y hacer que compartan inadvertidamente sus datos bancarios y lleven a cabo fraudes bancarios en línea.
A menudo, estos ataques son multidimensionales e incorporan diversas técnicas, por lo que resulta difícil identificarlos.
Por ello, es esencial que todos los usuarios de servicios bancarios en línea conozcan estos ataques para poder estar preparado para afrontarlos. Existen dos tipos principales de fraude bancario en línea: La apropiación de cuentas (ATO) y los sistemas de transferencia automática (ATS).
Apropiación de cuentas
Las apropiaciones de cuentas (ATO) son estafas bancarias digitales en las que el ciberdelincuente se apodera de una cuenta bancaria a través de información robada.
Estos ataques suelen implicar técnicas de ingeniería social o malware, y los más avanzados utilizan ambos.
A continuación se describen algunos de los métodos más comunes con los que los ciberdelincuentes llevan a cabo estafas bancarias en línea y ATO:
Phishing
En las estafas de phishing bancario, el phisher se hace pasar por la entidad bancaria legítima de la víctima y le envía un correo electrónico pidiéndole que confirme sus credenciales de inicio de sesión.
Normalmente, el correo electrónico contiene un vínculo a un sitio web fraudulento que imita el sitio real del banco; cuando se ingresan los datos de inicio de sesión, el phisher puede robarlos.
Por eso los bancos recuerdan periódicamente a sus clientes que nunca les pedirán información confidencial, como contraseñas o números de identificación personal (PIN).
Para aumentar las posibilidades de éxito, el correo electrónico de phishing suele indicar que la cuenta bancaria será suspendida o bloqueada si el cliente no hace clic en confirmar sus datos.
Vishing
Estos ataques son similares al phishing, pero se realizan por teléfono en lugar de por correo electrónico. El atacante se hace pasar por el banco de la víctima en una llamada telefónica y la engaña para que comparta los datos de su cuenta y sus inicios de sesión por teléfono.
Esto le da al atacante acceso y control total sobre la cuenta. En algunos casos, el atacante intenta obtener ciertos datos personales que luego puede utilizar en sus esquemas de fraude bancario en línea o consigue que la víctima le transfiera dinero directamente.
Keyloggers
Se trata de un tipo particular de software malicioso —troyanos— que controla el uso del teclado de una computadora.
Cuando detecta que el usuario está accediendo a un sitio web bancario que se encuentra en una lista preestablecida, registra las teclas que presionas y roba las credenciales de inicio de sesión de la cuenta bancaria para que el atacante pueda acceder posteriormente a esta cuenta y robar fondos de ella.
Malware
Los ciberdelincuentes utilizan una variedad de software malicioso para robar la información que necesitan. Suelen comenzar como estafas bancarias por correo electrónico que obligan a la víctima a descargar en sus dispositivos archivos adjuntos plagados de virus, a menudo sin su conocimiento.
Luego, el malware imita sesiones bancarias auténticas y consigue que la víctima ingrese sus datos, que luego son robados por el atacante para perpetrar sus estafas.
Algunos de los malware más usados en las estafas bancarias en línea son:
- Troyanos de acceso remoto (RAT), que permiten a los atacantes controlar a distancia un dispositivo;
- Ataques de hombre en el navegador (MitB), que interceptan datos entre un navegador y una aplicación bancaria;
- Superposiciones, que también roban información confidencial a través de un sitio web o una aplicación;
- Rastreadores de SMS, que vigilan los mensajes SMS en busca de contraseñas de un solo uso.
Robo de contraseñas
En algunos casos, las estafas de inicio de sesión bancaria pueden llevarse a cabo mediante ataques de fuerza bruta o de diccionario. Estos adivinan aleatoriamente las contraseñas hasta dar con la correcta, que el atacante puede utilizar para acceder a la cuenta bancaria vinculada.
Hackeo de redes Wi-Fi
Muchas conexiones a Internet son susceptibles de ser hackeadas por ciberdelincuentes. Esto es especialmente cierto en el caso de redes Wi-Fi públicas no seguras que cuentan con poca protección. Al hackear estas redes, los atacantes pueden robar cualquier información que se transmita, incluyendo datos bancarios.
Duplicación de SIM
Este ciberdelito en particular consiste en utilizar técnicas de ingeniería social para robar el número de teléfono de la víctima y transferirlo a una tarjeta SIM en posesión del atacante. Esto les da acceso a todo lo relacionado con el número de teléfono en cuestión y, a menudo, les permite acceder a cuentas bancarias al recibir contraseñas de un solo uso como parte del proceso de autenticación multifactor auténtico de un banco.
Sistemas de transferencia automática
Las mejoras en tecnología y ciberseguridad hacen que las ATO sean mucho más difíciles de ejecutar. Para sortear esta situación y seguir perpetrando fraudes bancarios en línea, los ciberdelincuentes desarrollaron nuevas técnicas automatizadas para ejecutar los ataques de forma eficaz y con un menor riesgo de detección de la usurpación de identidad.
Se denominan sistemas de transferencia automática (ATM) y no requieren que el atacante recurra a estafas de inicio de sesión bancaria. En su lugar, estos sistemas automatizados supervisan la actividad de la computadora de un usuario.
Cuando el usuario inicia sesión en su cuenta bancaria, este malware inyecta un script en el sitio legítimo e inicia transferencias de dinero de las que el usuario no se percata hasta que es demasiado tarde.
Esto elimina la necesidad de que el atacante recopile información del usuario y supere los protocolos de autenticación multifactor.
ATO y ATS
Aunque los dos tipos de estafas bancarias en línea son diferentes, ambas tienen el mismo objetivo (robar fondos y perpetrar fraudes financieros), pero funcionan de forma bastante diferente.
- Los ataques ATS se ejecutan automáticamente a través de malware. Las estafas ATO requieren cierto trabajo manual para el ciberdelincuente, ya que utilizan la ingeniería social.
- El malware ATS requiere una calibración cuidadosa y debe adaptarse a la aplicación bancaria concreta. Esto hace que estos ataques sean mucho más complicados, pero también más difíciles de detectar.
- Dado que funcionan dentro de aplicaciones y sitios web bancarios legítimos, los ataques ATS simplemente esperan a que los usuarios proporcionen sus credenciales de inicio de sesión, lo que significa que los ataques no necesitan robar esta información ni preocuparse de pasar autenticaciones multifactor.
Explicación del robo de identidad
El robo de identidad bancaria consiste en que el ciberdelincuente roba la identidad de un individuo para perpetrar un fraude financiero.
Al obtener detalles personales como nombres, cumpleaños y números de seguridad social, los atacantes pueden iniciar una amplia gama de acciones.
El robo de identidad de cuentas bancarias, y el robo de identidad a mayor escala, puede tener repercusiones graves y duraderas en las víctimas de estos ataques. Algunas de ellas pueden ser:
- Robar fondos de cuentas bancarias existentes.
- Abrir nuevas cuentas bancarias, obtener nuevas tarjetas de crédito o pedir nuevos préstamos a nombre de la víctima.
- Acceder a prestaciones sociales vinculadas a números de la Seguridad Social, como asistencia sanitaria, pagos a la Seguridad Social y desempleo.
- Arruinar el puntaje de crédito.
- Instigar el fraude fiscal o robar devoluciones de impuestos.
- Provocar impagos de préstamos bancarios, como las hipotecas.
- Hacerse con el control de cualquier cuenta en línea, incluidos correos electrónicos y perfiles en redes sociales, y suplantar la identidad de la víctima con efectos perjudiciales.
- Obligar a la víctima a invertir grandes cantidades de tiempo y dinero para intentar recuperar su identidad y limpiar su nombre.
- Asegurarse de que la información personal de la víctima permanezca en la web oscura.
- Causar un importante estrés emocional y financiero.
¿Cuáles son las ramificaciones personales de las estafas bancarias en línea?
Lamentablemente, el robo de identidad de cuentas bancarias puede tener repercusiones importantes para el individuo o la empresa objeto de estos ataques. Por supuesto, el impacto financiero es una preocupación seria, pero también hay otras implicaciones que es importante tener en cuenta.
Las estafas bancarias pueden tener importantes consecuencias financieras, que pueden ser devastadoras tanto para las personas como para las organizaciones.
Dependiendo de la información robada, el atacante puede vaciar cuentas bancarias, cerrar y abrir cuentas nuevas, arruinar el puntaje crediticio, cometer fraude fiscal, robar fondos de jubilación y afectar a las hipotecas.
A la hora de hacer frente a las consecuencias de estos ataques, las víctimas pueden verse obligadas a incurrir en pérdidas financieras aún mayores, por ejemplo, en concepto de honorarios de abogados.
El robo de identidad bancaria puede afectar a la salud mental de quienes son víctimas de estas estafas. Cuando una persona se da cuenta de que fue víctima de un fraude bancario en línea, pueden entrar en juego toda una serie de emociones, desde la conmoción y la ira hasta el miedo y la impotencia.
Pueden sufrir un estrés considerable al intentar recomponer las cosas y, a menudo, sienten la necesidad de culpar a alguien por permitir que esto ocurra.
¿Es posible evitar el fraude bancario en línea?
En realidad, nunca es del todo posible evitar el phishing bancario y otras estafas en línea. Por supuesto, hay ciertas medidas que pueden tomarse para disminuir la probabilidad de que tengan éxito o mitigar sus impactos.
Estos son algunos consejos a tener en cuenta:
- Utiliza siempre credenciales de inicio de sesión únicas para diferentes cuentas bancarias.
- Habilita la autenticación multifactor o biométrica para una capa adicional de seguridad.
- Nunca hagas clic en los vínculos de los correos electrónicos: ve directamente al sitio web legítimo del banco escribiendo la dirección en el navegador.
- Asegúrate de que las aplicaciones bancarias de los dispositivos son auténticas: descárgalas del sitio web del banco o de tiendas de aplicaciones de confianza y mantenlas actualizadas.
- Familiarízate con los protocolos de seguridad y privacidad del banco; por ejemplo, la mayoría de los bancos indican claramente que nunca te pedirán el PIN.
- Accede a tus cuentas bancarias únicamente a través de conexiones seguras de Internet o Wi-Fi, como redes domésticas privadas protegidas con WEP, WPA o WPA2.
- Revisa periódicamente los extractos bancarios y de las tarjetas de crédito y comprueba inmediatamente las transacciones sospechosas con el banco.
- Usa redes privadas virtuales (VPN) para proteger las conexiones a Internet antes de iniciar sesión en sistemas bancarios digitales.
- Protege los dispositivos con software antivirus y asegúrate de que estén siempre actualizados y ejecuten los últimos parches de seguridad.
Evita el robo de identidad bancaria
Los robos bancarios online son cada vez más sofisticados y difíciles de detectar. Sin embargo, estos ataques pueden tener importantes repercusiones financieras, sociales y emocionales para las personas y empresas que son objeto de ellos.
Entender cómo son las estafas bancarias en línea e implantar funciones de seguridad digital y protección de sentido común puede reducir al mínimo la posibilidad de que los ciberdelincuentes se apoderen de cuentas o infecten dispositivos con programas malware de ATS.
Consigue Kaspersky Premium + 1 AÑO GRATIS de Kaspersky Safe Kids. Kaspersky Premium recibió cinco premios AV-TEST a la mejor protección, el mejor rendimiento, la VPN más rápida, el control parental aprobado para Windows y la mejor calificación para el control parental en Android.
Artículos relacionados:
¿Son seguros los monederos digitales?
