Aprende a proteger tus cuentas bancarias: estos son los 5 métodos más utilizados por los 'hackers'

El incesante desarrollo tecnológico ofrece multitud de posibilidades de progreso. Para lo bueno y también para lo malo. Mientras la mayoría de personas piensa en utilizar la transformación para mejorar, pero sin hacer daño a nadie, los hay que quieren aprovecharse de los demás. Entre ellos están los ciberdelincuentes que se especializan en hackear cuentas bancarias.

Y por mucho que se lean o escuchen consejos acerca de cómo proteger tu dinero, los malos también mejoran y perfeccionan sus sistemas, y siempre habrá alguno que todavía no haya sido detectado. 

Los que se mostrarán a continuación son, probablemente, los 5 métodos más utilizados por los hackers para entrar en las cuentas bancarias. Algunos son de sobra conocidos, como el phishing, otros son más modernos. 

'Phishing'

El phishing, explican en el Instituto Nacional de Ciberseguridad (Incibe), es una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo. 

Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico.

A través de un ejemplo, en la web mencionada enseñan a protegerse de este ataque de los ciberdelincuentes:

La madre de la familia Cibernauta, la protagonista de esta historia, suele utilizar su teléfono móvil inteligente para llamar y recibir llamadas, escribirse con su familia y amigos, utilizar algunas apps para ver vídeos y escuchar música y, desde hace poco, revisar también su correo electrónico.

Generalmente, su bandeja de entrada sólo contiene algunos correos con ofertas de las aplicaciones que utiliza, algunas facturas y mensajes de su banco y correos personales que intercambia con su círculo de amistades.

Sin embargo, esta mañana recibió un correo que ha llamado su atención. El correo pertenecía a una tienda online muy conocida donde ella tenía una cuenta creada y había realizado compras en varias ocasiones.

Bajo el titular: "Cuidado, actividad sospechosa en su cuenta", podía leer en el cuerpo del mensaje cómo la empresa propietaria de la web le advertía sobre algunos inicios de sesión localizados en otro país y que, por seguridad, lo más recomendable era que actualizase su contraseña lo antes posible y revisase las últimas transacciones en busca de alguna irregularidad. El mensaje, además, incluía un enlace que la redirigiría supuestamente a la web en cuestión.

Así es el día a día de los 'hackers' que se dedican a cazar recompensas

La madre, preocupada por el estado de su cuenta, pulso sobre el link, que la llevó a una ventana de inicio de sesión con los logos y textos habituales de la web. Introdujo su usuario y contraseña, pero tras un breve instante, volvió a una ventana muy similar a la anterior, aunque con algunas diferencias.

Volvió a introducir sus datos de acceso y entonces sí logró entrar a su cuenta, donde pudo comprobar que no había ninguna compra previa.

Las semanas pasaron, cuando otro mensaje llegó a su bandeja de entrada, que llamó su atención. En este caso, era de su banco, informándola de una serie de cargos realizados desde su cuenta bancaria. Sin embargo, ella no había realizado ninguno de ellos.

'SIM swapping'

También en Incibe, hablan del SIM swapping como otro de los sistemas más habituales utilizados por los ciberdelincuentes para hackear tu cuenta bancaria. 

Este tipo de ataque de suplantación de identidad, detallan, se basa en la duplicación de la tarjeta SIM, y para ello, los atacantes necesitan algunos datos personales, como nombre y apellidos, DNI, fecha de nacimiento, los 4 últimos dígitos de la cuenta bancaria, etc., que han podido obtener por otras vías, como el phishing o comprando en tiendas online fraudulentas.

Con estos datos, los atacantes solicitan un duplicado de la SIM, suplantando tu identidad con los datos anteriores ante la operadora. Mientras, lo único que notas es que tu dispositivo se queda sin cobertura móvil, y cuando te conectas a una red wifi, comienzas a recibir notificaciones de movimientos realizados desde tu móvil sin tu consentimiento, como transferencias bancarias o compras online, entre otras.

¿Qué hacer para protegerte del SIM 'swapping'?

• Contactar con tu compañía telefónica si te quedas permanentemente sin cobertura en sitios donde habitualmente tenías.
• Utilizar sólo servicios de confianza y protegiendo tus cuentas con credenciales robustas y la verificación en 2 pasos.
• Conocer las distintas técnicas de ingeniería social que utilizan los ciberdelincuentes para hacerse con nuestros datos.

'Vishing'

El vishing, comentan en Incibe, como otros muchos ataques de ingeniería social, se basa en una serie de técnicas con las que ganarse la confianza del usuario, generalmente, haciéndose pasar por una persona o entidad reconocida por los usuarios.

Por ejemplo, imagina que recibes un mensaje de un desconocido diciéndote que has ganado un premio. Para obtenerlo, sólo debes hacer clic y rellenar un formulario con tu nombre, apellidos, correo electrónico y datos bancarios. Muy pocos serían los que acabarían cayendo en la trampa, ¿verdad?

Los desafíos a la salud mental de ser 'hacker freelance' cazando recompensas: "Hay que cuidarse la cabeza, es lo mismo que le pasa a streamers"

Ahora, imagínate que tu teléfono empieza a sonar, lo coges y una persona muy amable te llama por tu nombre y se identifica como un representante de tu banco. Seguidamente, te informa de que ha habido una serie de cargos sospechosos en tu cuenta y quiere revisar los últimos movimientos contigo. 

Para ello, te pide una serie de datos, como tu número de tarjeta de crédito, CVV y clave de firma. Aunque tu banco jamás te pedirá este tipo de información, es posible que no seas consciente o no lo reflexiones porque te están apremiando y termines compartiéndola. Esto es lo que se conoce por vishing y el modus operandi del atacante puede variar mucho. 

¿Qué puedes hacer para protegerte del 'vishing'?

• Evitar compartir información personal.
• Desconfiar de llamadas de números desconocidos o una numeración sospechosa
• Comprobar la autenticidad de la llamada. 
• Utilizar apps de rastreo de llamadas. 
• Además, compañías como Google han comenzado a implantar en el sistema operativo Android una función para llamadas verificadas. 
• No obstante, permaneced atentos si estáis esperando una llamada de alguna entidad o servicio, ya que podrían hacerlo desde alguna centralita y, por tanto, aparecer el número como desconocido o sospechoso. 
• Contactar siempre con los teléfonos oficiales de las entidades. 
• Evitar las herramientas de acceso remoto. 

'Smishing'

Es, apuntan desde Incibe, una de las herramientas con las que cuentan los delincuentes más populares en los últimos años. Consiste en el envío de mensajes de texto fraudulentos a los dispositivos móviles. 

Basándose en técnicas de ingeniería social, detallan, consiguen suplantar la identidad de empresas de confianza, como bancos, empresas públicas de la Administración, tiendas o comercios, familiares o amigos. 

El objetivo, como siempre, es obtener toda la información personal (usuario y contraseñas, correos, número de teléfono, domicilio…) y bancaria para llevar a cabo nuevos fraudes o hacerse con el dinero.

¿Cómo comprobar si se ha sufrido 'smishing'?

• Por norma general, aunque en el mensaje digan que pertenecen a una entidad de confianza, siempre hay que comprobar el remitente del mismo. Si no aparece el nombre de la empresa y solo se ve un número de teléfono, lo más probable es que se trate de un fraude.
• Los enlaces también deben ser revisados. Una empresa de confianza nunca utilizará una URL no segura, es decir, que comience por "http", aunque las URL que comienzan por "https" pueden haber sido también manipuladas por un ciberdelincuente.
• También es importante leer detenidamente el mensaje en busca de errores ortográficos y gramaticales o fallos en la traducción.
• Por último, hay que recordar que este tipo de entidades ya disponen de toda la información que necesitan, por lo que si tratan de obtener algún dato personal, has de desconfiar de su autenticidad.

'E-Skimming'

El e-skimming o web skimming es una técnica utilizada por ciberdelincuentes para obtener información bancaria y personal de tiendas online legítimas, que posteriormente será vendida en el mercado negro, o utilizada directamente por los ciberdelincuentes en su propio beneficio, comentan desde Incibe.

El primer paso que deben llevar a cabo los ciberdelincuentes consiste en obtener acceso a la tienda online, para ello se suelen valer de vulnerabilidades no parcheadas en el gestor de contenidos o mediante campañas de phishing. 

Desde personas en paro desesperadas hasta multinacionales del crimen: los perfiles de ciberdelincuente más comunes, según el CEO de Buguroo

Una vez han conseguido acceso a la tienda, modifican parte de su código fuente para que, cuando el cliente introduce información personal o bancaria, sea enviada al banco y también robada. De esta forma, tanto el cliente como el comercio no son conscientes del robo, ya que el pago es correcto, sin embargo, toda esa información ya está en manos de los ciberdelincuentes.

Este tipo de técnica afecta, principalmente, a aquellos comercios online cuya pasarela de pago está integrada dentro de la propia tienda, ya que toda la información bancaria es gestionada internamente.

Las tiendas online que utilizan una pasarela de pago de un tercero tampoco están libres de riesgo, ya que, aunque los datos de la tarjeta no son gestionados por el comercio, la información personal de los clientes puede ser sustraída igualmente.

¿Cómo prevenir el 'e-skimming'?

Para reducir el riesgo de que la tienda se vea afectada por esta técnica maliciosa se deben seguir las recomendaciones de seguridad que se describen a continuación.

• Software actualizado.
• Credenciales de acceso robustas.
• Concienciación.
• Segmentar la red.