Compras navideñas: ¿Cómo proteger tus cuentas bancarias de los cibercriminales?

Como Internet y las plataformas digitales se han convertido en los nuevos canales para realizar compras y movilizar dinero, los piratas informáticos recurren a diversos métodos para hacer que sus víctimas muerdan el anzuelo. Y qué mejor mes que diciembre para que puedan cometer sus fechorías.

MIRA: Ciberseguridad: estos son los riesgos para la privacidad online en 2023

El Comercio consultó a dos especialistas en ciberseguridad cuáles son las amenazas latentes y qué acciones podemos tomar para cuidar nuestros activos bancarios cuando navegamos por la web.

El siempre peligroso phishing

Aunque el desarrollo de softwares maliciosos se ha perfeccionado abrumadoramente en los últimos años, la mayoría de ataques que se utilizan masivamente en la actualidad siguen siendo los mismos desde hace décadas, fórmulas muy sencillas, pero que aún resultan muy efectivas.

Y si bien estas fórmulas han sido afinadas y adaptadas de acuerdo al público al que se dirigen, en el fondo mantienen siempre al mismo ingrediente: el engaño. Así vemos, por ejemplo, que los ataques de phishing se han quintuplicado en nuestro país el último año.

Jhonatan Luján, líder de la auditoría de ciberseguridad del BCP y experto en temas seguridad de la información, explica sobre el phishing: “Es un tipo de ataque de ingeniería social con el fin de robar datos como números de tarjetas de crédito o contraseñas en el cual el ciberdelincuente se hace pasar por una persona o entidad de confianza”.

MIRA: ChatGPT, la IA que te permite hablar con ella, podría ser utilizada por ciberdelincuentes para robar datos

Para lograr su objetivo los malhechores utilizan canales de comunicación como el correo electrónico, los mensajes de texto (SMS), aplicaciones de mensajería e, incluso, redes sociales. ¿Cómo logran que sus víctimas caigan? Ahí entra a tallar la ingeniería social.

Con ingeniería social nos referimos a un contenido que apela al miedo o, por el contrario, a la ilusión para convencer a los usuarios de que es legítimo y que muerdan el anzuelo. Así, tenemos como ejemplos los correos que alertan sobre actividad sospechosa en nuestras cuentas bancarias y que nos piden que cambiemos de contraseña o, por otro lado, superofertas que buscan que brindemos información sensible.

Para denotar credibilidad estos correos suelen replicar los colores corporativos de la entidad a la que suplantan, así como sus logotipos.

“El phishing corresponde a mensajes o correos mediante el cual se ofrecen ‘promociones increíbles’ o ‘notificaciones bancarias’ que en realidad son enviadas por inescrupulosos para robar información personal. A menudo este ataque está acompañado por páginas web falsas, que son una réplica casi exacta a la de bancos o de sitios web conocidos”, señala al respecto Julio Seminario, experto en ciberseguridad de Bitdefender.

El usuario ingresa sus datos a los sitios web falsos pensando que se los está brindando a una entidad financiera verídica, cuando realmente están llegando a manos de cibercriminales.

Y como si esto no fuera poco, Luján señala que los ataques de phishing pueden conllevar a la instalación de malwares, que permitirá la exfiltración de información o la instalación de un agente que progresivamente la extraerá.

Ataques por malware

La web puede llegar a ser un lugar peligroso si no se navega con cautela y protección. Conseguir un programa malicioso hoy en día es sumamente sencillo, por lo que no es de extrañar que Internet esté plagada de amenazas.

Existen programa maliciosos o malwares de todo típico, desde los más básicos –que están hecho para molestar a los usuarios– hasta los más avanzados –que pueden espiar por todos los ficheros de los equipos y tomar el control de los mismos de manera remota y sin ser detectados–.

MIRA: Black Hat SEO, la modalidad que usan los cibercriminales para que caigas en páginas falsas

“El malware se inserta en un sistema informático (PC, dispositivo móvil, servidor, tablet, etc.) generalmente de forma encubierta. Un virus, un gusano, un troyano, el spyware, algunos tipos de adware, y los robots (Bots) que se instalan y luego se conectan a computadores externos para ataques de denegación de servicios (DDOS), son algunos ejemplos”, explica el experto del BCP.

“Algunos de los datos confidenciales que buscan este tipo de software en los equipos incluyen: credenciales, capturas de pantalla, cookies, trafico web y certificados almacenados por los navegadores”, agrega.

Algunos de estos malwares –como los troyanos bancarios– poseen tecnología keylogger, con la que un delincuente cibernético puede conocer de manera remota todas las pulsaciones que un usuario realiza en su teclado y con ello descubrir sus contraseñas bancarias.

¿Cómo nos infectamos con malwares? De varias formas. Por ejemplo –como mencionamos anteriormente–, descargando archivos contaminados que llegan por ataques de phishing. Insertar una unidad de memoria extraíble infectada también podría contaminar nuestros equipos. Otra manera muy usual de infectarse es descargando archivos y programas desde sitios web poco fiables. También sucede por instalar los tan populares software pirateados o crackeados, al haber sido manipulados, estos podrían haber sido modificados para albergar códigos maliciosos.

Vulnerabilidades

Los sistemas operativos y aplicaciones no dejan de ser códigos programados por seres humanos, por lo que no son perfectos. Muchas veces, por más que los diseñadores de software intenten poner la mayor atención y cautela al desarrollar un programa pueden dejar puertas abiertas a diferentes tipos de ataques. A esos puntos débiles se les conoce como vulnerabilidades. A través de ellas, los malhechores son capaces de acceder a aplicativos oficiales o sitios web y redirigir el tráfico hacia sitios maliciosos sin que el usuario lo note.

“Explotar las vulnerabilidades, como las inyecciones SQL y la presencia de fallas de seguridad en los sistemas operativos, permite a los ciberdelincuentes alterar el código fuente, redirigir las consultas y apoderarse de la información de los procesos de autenticación y operaciones”, advierte Luján.

MIRA: WhatsApp: ¿cómo saber si otra persona ha iniciado sesión con mi cuenta en otro dispositivo?

“El ‘Man in the browser’ es un ataque que permite el establecimiento de un puente (proxy) entre la víctima y la web de la entidad a la que accede, de manera que se intercepta la comunicación para alterarla, capturar el tráfico de red o simplemente redirigirla”, añade.

Consejos para proteger nuestras cuentas en época navideña

Ahora que ya conocemos los tipos de ataques más utilizados por los delincuentes cibernéticos en estas fechas, es importante saber cómo desenvolverse con cautela en el ciberespacio. Para ello, el experto de Bitdefender nos brinda una serie de sugerencias y recomendaciones.

• En caso de phishing, hay que tener cuidado con promociones y ofertas demasiado buenas como para ser verdad. Además, seamos consciente de que el banco nunca llamará ni contactará solicitando el envío de contraseña u otros datos confidenciales.
• El usuario no deberá dar clic a publicidad u ofertas en páginas web o aplicaciones. Si desea acceder a un producto u oferta, es mejor que lo busque directamente en el buscador.

Al hacer compras por internet…

• Asegurarse de que las cuentas registradas en plataformas de compra tengan contraseñas únicas y, de ser posible, habilitar la función de doble autenticación, asimismo, no guardar los datos en aquellas que se vean poco confiables por quejas.
• Abandonar sitios web similares en caso de notar errores tipográficos en el dominio y mala gramática. Además, solo acceder de preferencia a los que usen HTTPS.
• Utiliza una tarjeta de crédito para compras navideñas. Así se podrá disputar cualquier cargo fraudulento.
• Omitir las ofertas demasiado buenas para ser verdaderas.
• No utilizar un WiFi público para realizar transacciones digitales, en el caso de que sea indispensable, habrá que utilizar una VPN.
• Instalar una solución de ciberseguridad en el dispositivo favorito para realizar estas compras, de esta forma se protegerán datos e identificarán potenciales amenazas.
• Actualizar las aplicaciones y sistemas operativos cada vez que un parche esté disponible para corregir vulnerabilidades.

MIRA: ¡Cuidado! Esta app en Android es capaz de crear cuentas falsas con tu nombre

Al navegar desde un teléfono móvil…

• No guardar los datos de las tarjetas en ninguna app o sitio web de compras.
• Al momento de entrar a la banca web en un espacio público, cerciorarse de escribir las contraseñas con cautela.
• Cambiar la autenticación de dos factores en las cuentas que usan el número de teléfono comprometido. Se puede usar un número de teléfono seguro o una aplicación de autenticación. Cuando se realicen estos ajustes, no olvidar cambiar también las preguntas de seguridad.
• Ante el robo del teléfono celular, notificar a amigos, familiares y compañeros de trabajo para que no caigan en ninguna estafa perpetrada a nuestro nombre.
• Activar las notificaciones al celular sobre movimientos, pagos o transacciones que se realicen con tarjeta de crédito o débito.