Data Leakage, Threat Intelligence, Global Threat Informers

Estafas a consumidores: la peor pesadilla del sector bancario de LATAM

Por Equipo de Axur Latinoamérica en
COMPARTIR

Desde hace 10 años, pero particularmente en los tiempos de pospandemia, la digitalización en el sector financiero crece aceleradamente. Cada vez hay más usuarios de la banca que realizan transacciones mediante internet. Según datos del Banco Mundial, el 42 % de los adultos en Latinoamérica utiliza medios de pagos digitales, y el 11 % de estas personas adoptó la costumbre durante el 2020.

Pero esta aceleración vertiginosa no terminó con la pandemia, por el contrario, las estimaciones indican que las transacciones bancarias digitales en América Latina crecerán más del 40 % durante el 2023, mientras que los pagos digitales lo harán en un 20 %. Incluso en algunos países las expectativas de crecimiento son mayores. Por ejemplo, todo indica que el sector financiero digital en Colombia crecerá un 60 % en el 2023, y que en México — según datos de Statista— habrá más de 78 millones de usuarios de pagos digitales en 2025.

Frente a este panorama, los bancos deben adaptar sus modelos de negocios para aprovechar las oportunidades que cada vez más ofrece la tecnología. Sin embargo, como contrapartida, el sector bancario y sus usuarios están expuestos a nuevos riesgos que se relacionan con los posibles fraudes digitales. De hecho, en América Latina, el 75,29 % de los delitos digitales afectan al sector financiero, según datos de Registro de Direcciones de Internet de América Latina y Caribe.

Teniendo en cuenta este contexto y que los usuarios son cada vez más exigentes (no solo quieren acceder a los servicios digitales del banco de forma rápida, sino que esperan que estos brinden seguridad), a la par del crecimiento de la banca digital, es fundamental fortalecer la seguridad de las transacciones

 

¿Cuáles son los fraudes digitales que afectan al sector bancario en Latinoamérica?

A partir de un monitoreo extendido enfocado en la mitigación de estafas y fraudes digitales en Brubank —el mayor banco digital de Argentina—, Axur detectó casos de ataques de phishings dirigidos al customer service, ataques de malware, ransonware, apps y perfiles de redes sociales falsos. Pero, además de estos ataques, los nombres de dominio similar y las filtraciones de datos en la deep y dark web también son una preocupación para el sector bancario.

Respecto al phishing, las modalidades son diversas. Así lo demuestra un estudio de la Organización de los Estados Americanos, que da cuenta de que los incidentes de seguridad digital experimentados por los usuarios del sistema bancario en América Latina son el phishing por correo electrónico (49,7 %), el phishing por mensaje de texto (24, 2 %) y el phishing por llamada de voz (24,8 %). Como se puede observar, el correo electrónico es el vector clave para obtener información sobre las credenciales de los usuarios y cometer un delito.

 

¿Cómo pone en marcha el phishing por correo electrónico el ciberdelincuente?

Una de las técnicas más sofisticadas se conoce como spear phishing y es muy utilizada si de fraudes bancarios se trata. Básicamente, por medio de estrategias de ingeniería social, el delincuente busca información para personalizar el ataque. Por ejemplo, a usted le puede llegar un mail que, aparentemente, es del CEO del banco donde tiene sus cuentas. En el correo, incluso, se mencionan datos específicos de conversaciones que anteriormente usted mantuvo con esta persona. El aparente CEO de la entidad le pide que ingrese a un link para modificar los datos de su cuenta y, de este modo, el ciberdelincuente roba sus datos.

Ahora bien, ¿recuerda que mencionamos que durante la pandemia las transacciones bancarias crecieron abruptamente? Teniendo en cuenta este dato, no sorprende que los ataques de malware y ransonware al sector bancario hayan aumentado considerablemente durante el mismo periodo. Respecto al año anterior, en octubre de 2020, los ataques de ransomware aumentaron un 67 %, mientras que los de malware, un 71 %, tal como revela un estudio realizado por la CEPAL. Si bien hay muchos tipos de malware, el patrón siempre es el mismo: el usuario descarga involuntariamente el malware —o software maligno—, infectando el dispositivo. Una vez instalado, este software comienza a robar a información del usuario.

Asimismo, con el auge de la banca digital, los usuarios comenzaron a contactarse con las entidades a través de las redes sociales. Atento a esto, los ciberdelincuentes no tardaron en crear perfiles fake para engañar a los usuarios. Pero como los usuarios están cada vez están «más entrenados» para detectar perfiles falsos, las técnicas de estafa se volvieron más sofisticadas. No solo se crean perfiles de redes sociales, sino que también se customizan estos perfiles para que cada vez parezcan más reales. ¿Qué quiere decir esto? Básicamente, un ciberdelincuente crea una o varias cuentas falsas —en muchos casos, las cuentas son creadas de forma automatizada por bots— y, con el objetivo de que parezcan reales, incluye post, información, noticias y seguidores. Así, buscan aumentar la credibilidad del perfil.

Pero no solo los perfiles de redes sociales pueden ser falsos, sino que los ciberdelincuentes van un paso más allá: crean apps falsas. Muchas veces, un usuario quiere descargar una aplicación, por ejemplo, homebaking, y por algún motivo no está disponible en las tiendas oficiales (Google Play o App Store); entonces, obtiene la app desde otro sitio de internet. Ocurre que, en estos sitios, las apps suelen no estar verificadas y, por ende, al descargarla, el usuario pone en riesgos sus datos.

Por último, la filtración de los datos en la deep y dark web es una de las peores amenazas para las entidades bancarias. En la dark web (redes que se superponen al internet público y que requieren de autorización y configuraciones para ingresar) no solo se venden datos de tarjetas de crédito o débito, sino también credenciales corporativas. En Axur detectamos que, en 2022, 4 billones de credenciales estaban expuestas en la deep y dark web. Así lo demostró el informe de Actividad Delictiva Online en América Latina durante el 2022.

Claro que el panorama no parece nada alentador, ya que todo tipo de estafa digital afecta en mayor o menor medida la reputación de cualquier empresa y genera pérdidas económicas inmensas, sobre todo si del sector bancario se trata.

 

Entonces, ¿cómo proteger a una entidad bancaria de los delitos digitales?, ¿es posible cubrir todos los frentes?

La respuesta es sí. Solo que hacerlo de forma manual requiere mucho tiempo y esfuerzo. Por ello, el monitoreo automatizado resulta la opción más eficaz. Además, a través del servicio de Takedown, en Axur recolectamos evidencias y detectamos la exposición indebida de datos de tarjetas de crédito, eliminamos perfiles falsos de ejecutivos, eliminamos páginas que violan los derechos de la entidad, detectamos perfiles y apps falsas. Todo ello en pocos minutos y con una tasa de 99% de éxito. 

Conozca el servicio de Takedown y comience a garantizar la seguridad de los datos de la entidad bancaria y sus usuarios.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Equipo de Axur Latinoamérica

Especialistas en investigación y redacción de contenidos vinculados a las tendencias de ciberseguridad de Latinoamérica.