Cada año, América Latina pierde 90 millones de dólares para afrontar los daños causados por los ciberdelitos. De acuerdo con datos brindados por el Registro de Direcciones de Internet de América Latina y Caribe, los países más afectados son Brasil y México, seguidos por Colombia, Argentina, Perú y Ecuador. ¿Y el sector más afectado? El financiero.
En México, el 31 % de los usuarios de la banca digital fueron víctimas de ciberdelitos durante el 2021 y el 2022. Mientras que, en Colombia, solo durante el 2021, se registraron 1362 millones de delitos digitales.
Esto se relaciona con el hecho de que, durante el periodo 2020-2022, las transacciones bancarias aumentaron a un ritmo impensado una década atrás. Según datos del Banco Mundial, actualmente el 42 % de los adultos en América Latina utiliza medios de pagos digitales y se espera que en 2023 los pagos digitales aumenten un 20 %. Así, con un nicho de consumidores cada vez más grande, los ciberdelitos se convirtieron en la peor pesadilla del sector bancario en Latinoamérica.
A partir de un monitoreo de la superficie de ataque extendida enfocado en la mitigación de estafas y fraudes digitales, Axur detectó cuáles son las estafas digitales más frecuentes en el sector bancario de Latinoamérica durante este 2023. En las siguientes líneas, le contamos cómo funcionan y cómo pueden afectar a las entidades bancarias.
Un malware es un software malicioso que se infiltra en cualquier dispositivo sin que el usuario esté al tanto de ello. Hay diversos tipos de malware, pero en cualquier caso el patrón de funcionamiento es el mismo: el usuario descarga o instala involuntariamente un software malicioso en su dispositivo —entiéndase por dispositivo no solo computadoras o notebooks, sino también dispositivos móviles—. De acuerdo con datos publicados por la Organización de los Estados Americanos, en 2020, el malware representó el 21,5 % de las amenazas informáticas en Latinoamérica. Los países de América Latina con el mayor número de ataques informáticos fueron Brasil, México, Argentina y Colombia. Estos cuatro países representaron el 82,1 % de todas las amenazas.
Pero ¿cómo es que alguien puede descargar «por error» un software? ¿Y cómo los usuarios de la banca digital pueden verse afectados? Veamos un ejemplo.
Un usuario ingresa a una página web y descarga un archivo, pero lo que no sabe es que en realidad está descargando un malware, es decir, un software malicioso que está «camuflado» en ese enlace de descarga. Ese modus operandi es muy habitual, ya que los ciberdelincuentes aprovechan los links de descarga populares para incrustar el malware. Ahora bien, desde su computadora, este usuario realizó compras con sus tarjetas de crédito y débito, por lo tanto, el dispositivo guarda información sobre sus datos bancarios. Este malware que descargó el usuario puede ser un spyware —uno de los tantos tipos de malware— que infecta su dispositivo y recopila información confidencial sobre su navegación en internet y, entre otros datos, los nombres de usuario, contraseñas y números de tarjetas. Así, un ciberdelincuente obtiene los datos bancarios confidenciales del usuario y puede proceder a realizar una estafa.
Con el auge de la digitalización bancaria de los últimos 3 años, los usuarios comenzaron a contactarse con los bancos por otros canales alternativos, como las redes sociales. En este contexto, era de esperar que los ciberdelincuentes aterrizaran en las plataformas sociales. De hecho, las estadísticas de los últimos años muestran que el uso de perfiles falsos en redes sociales es un problema creciente en toda Latinoamérica; se estima que el 15 % de los perfiles no son auténticos.
Ahora bien, ¿cómo es que un ciberdelincuente puede ponerse en contacto con la víctima? Generalmente, cuando un usuario comienza a seguir una cuenta empresa en redes sociales, es para realizar una consulta y, como los ciberdelincuentes conocen este dato, allí centran sus esfuerzos. Imagine que un usuario comienza a seguir a la cuenta de un banco en Instagram para hacerle una consulta; unos minutos después de realizar la consulta, otra cuenta empresa con el nombre y el logo del banco, pero llamada «Nombre del banco. Atención al cliente», le responde y solicita sus datos. Esta última cuenta es falsa, pertenece a un ciberdelincuente que, por medio de un script de scraping —una técnica para extraer información de sitios web de forma masiva y automática— obtiene la lista de los seguidores de las cuentas oficiales. Haciendo correr este script una y otra vez, los ciberdelincuentes pueden detectar quiénes son los nuevos seguidores y le escriben un mensaje privado al usuario con el objetivo de obtener sus datos.
La deep & dark web es el «lado oscuro» de internet; una parte de la World Wide Web no indexada por los motores de búsqueda tradicionales. Esto significa que los contenidos y las páginas web de la deep web son invisibles para los motores de búsqueda generalizados (por ejemplo, Google). En los últimos años, a partir de diversas investigaciones, se registraron filtraciones de datos bancarios de usuarios que se vendían en la deep & dark web. Estos bancos de datos son vendidos a ciberdelincuentes de forma masiva para realizar estafas.
Pero, además de la preocupante situación por la filtración de datos de tarjetas, las entidades bancarias en Latinoamérica son víctima de la filtración de credenciales corporativas en la deep & dark web. En Axur detectamos que, en 2022, 4 billones de credenciales estaban expuestas en la deep y dark web (puede leer el informe Actividad Delictiva Online en América Latina durante el 2022 para conocer más sobre esta investigación).
La respuesta es que las credenciales corporativas son la puerta de ingreso a los datos confidenciales de cualquier organización, por lo tanto, configuran el nexo entre la empresa y los clientes. Si un delincuente accede a las credenciales, por ejemplo, de un ejecutivo de cuentas de un banco, no solo puede ponerse en contacto con los clientes para obtener información confidencial, sino que puede comprometer todo el sistema de seguridad del banco, ya que podría acceder a una gran base de datos. Tal es la importancia de este delito, que el 81 % de los ataques comienzan con credenciales de funcionarios robadas.
En general, toman medidas de ciberseguridad internas, como firewalls o parches de seguridad en los sistemas, además de solicitarles a los usuarios incluir contraseñas seguras. También brindan información a los usuarios sobre cómo detectar un malware y consejos sobre cómo mantener sus datos seguros. Pero esto no es suficiente; como pudimos ver, las estafas digitales son cada vez más sofisticadas. Por esto, es necesario que los bancos fortalezcan sus sistemas de seguridad por medio de un monitoreo extendido. Ocurre que, dado el crecimiento y la diversificación de las técnicas de estafa digital, hacer este monitoreo de forma manual requiere de mucho tiempo (y el tiempo es oro si de delitos digitales se trata).
Por ello, desde Axur brindamos un servicio integral de monitoreo automatizado de fraudes digitales, que incluye diferentes servicios, como Hashcast® (monitoreo de filtración de mails, contraseñas, incluso en la Deep & Dark web), fuga de datos, detección de perfiles en redes sociales y apps falsas. De manera automática, en pocos minutos y con alta efectividad, recolectamos evidencias y detectamos la exposición indebida o fraudulenta de los datos de la organización y sus usuarios..
Puede ponerse en contacto con nuestros expertos para comenzar a proteger la entidad bancaria hoy mismo..