En el último tiempo mucho se ha escuchado sobre estafas bancarias vinculadas a la emisión de créditos preaprobados debido a que los clientes brindan a desconocidos sus credenciales de acceso a los canales digitales o incluso su segundo factor de autenticación o token. A raíz de esto, el Banco Central de la República Argentina (BCRA) emitió recientemente una medida para que los bancos corroboren la identidad de sus clientes al momento de solicitarlos por los canales electrónicos disponibles.
La misma establece que “la verificación deberá hacerse mediante técnicas de identificación positiva. Recién después de la verificación, la entidad deberá comunicarle –a través de todos los puntos de contacto disponibles– que el crédito se encuentra aprobado y que, de no mediar objeciones, el monto será acreditado en su cuenta a partir de las 48 horas hábiles siguientes. El citado plazo de acreditación podrá ser reducido en el caso de recibirse la conformidad del usuario de servicios financieros de manera fehaciente”.
Pero ¿de qué modo estas entidades deberán confirmar la identidad de sus clientes? ¿Cuáles son las herramientas más seguras? Muchos hablan del reconocimiento facial, el token, un llamado telefónico, un mensaje por SMS o servicio de mensajería. La realidad es que la gran mayoría de los bancos ya viene aplicando estas medidas, y las estafas siguen creciendo.
En este sentido, datos arrojados por la Unidad Fiscal Especializada en Ciberdelincuencia, indican que entre 2019 y 2020 crecieron un 3000% las denuncias asociadas a phishing y delitos de contenido económico. Y, sin dudas, el phishing bancario ha sido uno de los más extendidos.
Las estafas bajo modalidad e-mail con réplicas casi idénticas a los de las entidades bancarias, los engaños a través de redes sociales, entre otros, no hacen más que aplicar la “ingeniería social” para obtener las credenciales de acceso al homebanking, robar datos personales, etc. Lo que yo llamo el “cuento del tío de la era digital”. Hoy la tecnología, usada a favor del delito, permite que una persona desde su casa y con algunos conocimientos de informática pueda efectuar miles de robos por minuto.
Por eso, ha cobrado tanto valor el trabajo de concientización que vienen haciendo las entidades en el último tiempo. Para citar un ejemplo, si producto de un engaño una persona brinda a desconocidos sus credenciales de acceso al homebanking y el token, es muy difícil que ellas puedan detectar que detrás de esa operación hay un ciberdelincuente.
Cuando se realiza una operación por un canal electrónico la única manera que tiene el banco de corroborar la identidad del cliente es mediante usuario, contraseña y segundo factor de autenticación. Si estas credenciales se brindan a un tercero no hay manera de saber quién la está ejecutando. Estos datos funcionan como una firma electrónica ante un canal digital, por eso no se debe entregar a nadie y mucho menos por teléfono. En línea con esto, los bancos informan habitualmente que no solicitan a sus clientes sus credenciales de acceso.
Para finalizar, la educación y concientización sobre el uso que se hace de la tecnología, internet y los dispositivos se vuelve fundamental para prevenir y anticipar esta ola de engaños. Hoy por hoy, es una de las herramientas más eficaces para combatirla. Actuar en este sentido siempre será, a la larga, más efectivo que establecer una discusión sobre la seguridad o vulnerabilidad de las plataformas que se usan.
Los operadores de sistemas de las prestadoras de servicios de telefonía móvil e internet tienen demasiado poder de acceso a la información. Hasta que no se empiece a sancionar a las empresas prestadoras de servicio, ya que son parte primordial de robo de identidad, van a seguir diciendo que es ingeniería social y no MITM. Con pishing te podés robar una red social, pero no sé si pasa los filtros del home banking.