Banca electrónica más segura: las amenazas / Por: Samuel Hourdin, Director de la División en Latinoamérica de eBanking, Gemalto
Por: Samuel Hourdin, Director de la División en Latinoamérica de eBanking, Gemalto |
Cuando una persona utiliza la banca electrónica juega un rol muy importante en mantenerse seguro mientras está en línea. La razón es que los hackers que buscan robar la identidad bancaria en línea atacan la PC, no los sistemas de banca electrónica.
Es posible trabajar con el banco para hacer que la experiencia de banca electrónica sea más segura si se comprende cómo funcionan los ataques, se siguen las buenas prácticas básicas de seguridad y se utilizan opciones avanzadas de seguridad.
Los sistemas bancarios tienen una seguridad excelente, por lo tanto, los criminales cibernéticos no atacan los sistemas bancarios sino la PC. Los hackers usan la suplantación de identidad o las aplicaciones de software financiero maliciosas (software malicioso) que instalan en una PC para robar datos como nombres de usuarios, contraseñas e incluso secretos compartidos que el usuario le facilita al banco y que confirman respuestas a preguntas como “¿Cuál fue su primer auto?”
La suplantación de identidad es un ataque que se da en dos partes. Primero, el usuario recibe un mail que parece legítimo y que cree que lo ha recibido de su banco, pero cuando hace click en un link lo direcciona a la página de un hacker que está tan bien hecha que parece ser la página del banco. Al intentar iniciar sesión en el sitio falso de un hacker, se le da la contraseña bancaria a un ladrón.
Por otra parte, las aplicaciones de software maliciosas se tratan de programas que, mediante un engaño, la persona accede a instalar. El usuario cree que está instalando algo inofensivo y útil, como por ejemplo un codificador de audio, música gratuita o un juego. El problema es que también recibe el software malicioso sin darse cuenta.
Hay muchos tipos de software maliciosos. Los Keyloggers (registrador de teclas) monitorean lo que se escribe en busca de claves de banca electrónica, después capturan las pulsaciones de teclas y las envían al hacker. Los llamados Scareware pueden abrir una ventana emergente que se parece a un aviso del banco intentando que la persona llene un formulario. Los software maliciosos pueden redireccionar el buscador a una página de un hacker al ingresar la dirección de la página del banco. El riesgo está en que, sin saberlo, el usuario le está dando información confidencial a un criminal cibernético.
Otros programas pueden apropiarse de la computadora y manejarla remotamente o, incluso, invadir sesiones de banca en línea y robarle dinero al usuario sin que se dé cuenta. Este ataque, llamado Man in the browser, generalmente está reservado para adquisiciones de cuentas corporativas de alta rentabilidad.
La existencia de aplicaciones de software financiero malicioso es un problema generalizado. Las investigaciones de Anti-Phishing Working Group (APWG) (grupo de trabajo contra la suplantación de identidad) muestran que en el mundo el 25 por ciento de todas las PC tienen algún tipo de aplicación de software o descargador malicioso. Incluso INTERPOL es una víctima de intentos de apropiación de marca a través de la suplantación de identidad. En su página web, advierte a la gente que tenga cuidado con los correos electrónicos de suplantación de identidad que aparentan venir de ellos.
Hay operaciones multinacionales de aplicación de la ley que disuelven de forma rutinaria bandas de criminales cibernéticos. Esto demuestra lo generalizado que es este problema. Recientemente, en los Estados Unidos, el FBI ha descubierto una red de ataques fraudulentos de banca en línea que dejó como resultado el robo de $20 millones que estaban siendo transferidos a China. El año pasado, en Operation Trident Breach, agencias de orden público de los Países Bajos, Ucrania, Estados Unidos y Reino Unido arrestaron a 150 personas que pertenecían a un grupo de criminales cibernéticos de banca en línea que había intentado robar $220 millones. La pérdida real fue de $70 millones.
Por último, el estudio realizado en 2011 por el Instituto Ponemon sobre la confianza en los negocios bancarios dio como resultado que el 42 por ciento de los pequeños negocios en los Estados Unidos ha sido víctima de algún tipo de fraude de banca en línea el año pasado.
¿Cómo puedo protegerme mientras utilizo la banca en línea?
Lo más importante para protegerse cuando se está en línea es asegurarse de que nadie robe su nombre de usuario y contraseña. Las contraseñas robadas son la raíz del problema de la seguridad en la banca en línea y de Internet en su totalidad. Cualquier persona que tenga su contraseña puede acceder a sus cuentas. Es por eso que un segundo factor de autenticación a través de algo que posea el usuario es una medida de seguridad muy fuerte, ya que el delincuente deberá robar algo físico además de la contraseña para cometer un fraude en línea.
En caso de que el banco no cuente con sistemas de autenticación de dos factores, a continuación se detallan las ocho reglas más importantes para la seguridad:
1. Siempre asegúrese de que se encuentra en la página de Internet que usted quiere.
2. No haga click en un enlace de un mail.
3. Trate de utilizar una barra de seguridad en su navegador.
4. Protéjase contra la suplantación de identidad.
5. Protéjase contra el registro de teclas.
6. No guarde contraseñas en la PC si otras personas tienen acceso a ella.
7. No guarde las contraseñas en un archivo en su PC.
8. No escriba las contraseñas, si puede evitarlo, o escóndalas muy bien.