Las estafas telefónicas son una práctica que, desafortunadamente, ha tenido un crecimiento a gran escala, a partir de la crisis por el COVID-19.
De acuerdo con la Comisión Federal de Comercio de Estados Unidos, el teléfono es la principal fuente de fraudes y estafas. La institución indicó que en 2020, hubo un aumento de reportes en los que se señalaba que, los estafadores los contactaban por mensajes de texto, mismos que estaban relacionados con el tema de la pandemia.
Una de las formas en que lograban que la gente diera clic a ciertos enlaces, era con mensajes que prometían ayuda, ya fuera de tipo emocional o económica.
Forma de operar de los estafadores de llamada telefónicas:
BBVA indica que antes de realizar las llamadas, los estafadores buscan información de los usuarios de diversas maneras. Por ejemplo, creando perfiles falsos en redes sociales para hacerse pasar por alguna organización o bien, enviando correos electrónicos para que se abran enlaces fraudulentos, los cuales tienen el objetivo de hacerse de datos privados.
Una vez que cuentan con este material, las llamadas parecen ser legítimas; de hecho, hay ocasiones en las que se escuchan efectos de sonido, emulando el trabajo de oficina, dándole mayor realismo.
Otra forma en la que los delincuentes han encontrado una vía para robar información valiosa, es hacerse pasar por empresas proveedoras de servicios tecnológicos para avisarles a los usuarios que fueron vulnerados por algún tipo de virus.
A pesar de contar con algunos recursos que buscan proteger a los clientes, los atacantes utilizan una serie de herramientas para eludir la mayoría de los métodos tradicionales de autenticación de dos factores (2FA), desde OTP (One Time Password) a través de SMS, hasta las notificaciones push cifradas para una aplicación móvil.
Estos ataques suelen ser muy eficaces contra la mayoría de los tipos de 2FA que se utilizan hoy en día, como la autenticación fuera de banda.
¿Cómo evitar y protegerse de estafas telefónicas?
A continuación se describen consejos prácticos otorgados por OneSpan:
El enlace dinámico brinda una buena primera capa de defensa contra una gran variedad de ataques. El enlace dinámico consta de una autenticación de dos factores que se realiza en el momento de la transacción y que incorpora los detalles en el proceso de firma.
A este proceso suele llamársele “Lo que ves es lo que firmas”, porque al usuario final se le deben presentar los detalles de la transacción antes de completar el proceso de firma.
Una vez que se realiza esta acción, dicha firma sólo será válida para esa operación en particular, lo que hace más difícil que el atacante pueda eludirla. Generalmente, el enlace dinámico se implementa a través de tokens de hardware, tokens de software o se integra en una aplicación bancaria.
En resumen, lo anterior queda listado de la siguiente forma:
- El usuario crea una transacción en la banca en línea.
- El usuario envía la transacción.
- El banco envía los detalles de la transacción al teléfono móvil del usuario.
- El usuario comprueba los detalles de la transferencia y autoriza el pago con un sistema biométrico (u otro segundo factor).
- La aplicación móvil genera una contraseña de un sólo uso con los detalles de la transacción y la clave token de la misma aplicación móvil.
O bien:
- El usuario intenta crear un pago en la banca en línea.
- El atacante modifica el pago de modo que tenga otra cuenta de beneficiario u otro monto.
- El banco envía los detalles de la transacción al teléfono móvil del usuario.
- Al usuario se le presenta la información de pago modificada y rechaza el pago
Lo anterior demuestra la importancia de utilizar el cifrado de extremo a extremo al aplicar el enlace dinámico. Igualmente, evidencia que la aplicación móvil debe estar protegida, ya que el atacante, quizá, intente atacarla para ocultar al usuario los datos de pago modificados.
Implementar un monitoreo continuo en las plataformas digitales. Al monitorear la sesión desde el momento de su inicio hasta el final, se pueden contextualizar más las acciones de los usuarios y los dispositivos o cuentas con los que se asocian.
Esta práctica combina muy bien con otras capas como la 2FA o el enlace dinámico, ya que permite, por ejemplo, a los bancos obtener también el contexto de dichos dispositivos de autenticación. De esta forma, la institución financiera puede monitorear los indicadores habituales de ataques conocidos, como nuevos dispositivos, ubicaciones, presencia de proxy u otros.
Esta información puede correlacionarse a través de su base de usuarios para comprender mejor el riesgo de dichos elementos. Adicionalmente, se pueden tener en cuenta las operaciones que el usuario está realizando durante la sesión y compararlas con su comportamiento habitual. Este enfoque establece un perfil de riesgo continuo para la sesión que puede cambiar con cada acción que realice el usuario final.
Lo anterior, les permite a los bancos a tomar medidas automatizadas en tiempo real cuando se detectan anomalías, así como disminuir la cantidad de autenticaciones necesarias para iniciar las sesiones y reducir los problemas en las funciones que sí son legítimas.
Fuentes de Consulta:
Balthazar, B. Febrero 4, 2020. Cómo los atacantes evitan la autenticación de dos factores moderna y cómo proteger a sus usuarios. Estados Unidos. OneSpan. Recuperado de: https://www.onespan.com/es/blog/como-los-atacantes-evitan-la-autenticacion-de-dos-factores-moderna-y-como-proteger-sus
Redacción BBVA. Septiembre 10, 2020. Cómo detectar y protegerse de los ciberdelincuentes y las estafas telefónicas. Argentina. BBVA. Recuperado de: https://www.bbva.com/es/ar/como-detectar-y-protegerse-de-los-ciberdelincuentes-y-las-estafas-telefonicas/
Vaca, M. Febrero 4, 2021. The Top Frauds of 2021. Estados Unidos. Fedearl Trade Comission Consumer Information. Recuperado de: https://www.consumer.ftc.gov/blog/2021/02/top-frauds-2020