El smartphone ha potenciado el uso de la banca móvil, pero a la par se ha convertido en el eslabón más débil por el que los ciberdelincuentes entran a robar.
forbes.com.mx
El smartphone se ha convertido en la nueva billetera digital. Bastan unas cuantas aplicaciones para hacer compras y transferencias, cubrir tus créditos, recargar el saldo o pagar el plan del teléfono celular, pedir y pagar comida o transporte, domiciliar los pagos mensuales del servicio de internet, servicios públicos o plataformas de entretenimiento, comprar boletos de avión, llevar la licencia de conducir o pagar el transporte público (en el caso de la Ciudad de México), hasta invertir tus ahorros ahora es posible desde una aplicación móvil.
Sin embargo, los beneficios de usar el smartphone como billetera digital pueden quedar eclipsados si un tercero sin autorización accede a tu teléfono celular. Tus cuentas bancarias, por ejemplo, quedarían vulnerables, lo mismo que tus datos personales, correos electrónicos y cualquier tipo de información confidencial que lleves en tu móvil. Y hay malas noticias al respecto: los ciberdelincuentes se han dado cuenta de que la banca móvil tiene más auge en el smartphone que en las computadoras, por lo que están cambiando su forma de atacar.
En el marco de la 86 Convención Bancaria de la Asociación de Bancos de México, que este año se celebra por primera vez en Mérida, Yucatán, el director de Análisis e Investigación para América Latina de Kaspersky, Fabio Assolini, conversó con Forbes México sobre los riesgos que representa la ciberdelincuencia para la banca. Por un lado, están los ataques a la infraestructura de los bancos, pero por el otro está el eslabón más débil para los ciberdelincuentes: los usuarios comunes y corrientes de la banca digital.
“Hay dos tipos de ataques contra el sector bancario. El primero va contra los clientes de la banca, que son el eslabón más débil. El otro va directamente contra la infraestructura del banco. Son ataques muy distintos porque los direccionados a los clientes comunes son masivos, mientras que los ataques a la infraestructura de la banca no son masivos, son más concretos, por ejemplo el ataque al sistema SPEI en México en 2018, son ataques mucho más planeados, mucho más avanzados”, explicó Fabio Assolini en una videollamada.
Entre los ataques más practicados por los ciberdelincuentes destaca el phishing. Se trata de una estafa con el objetivo de obtener datos privados de los usuarios para acceder a sus cuentas bancarias. Estos engaños llegan principalmente a través de correos electrónicos y mensajes por WhatsApp y SMS apócrifos que se hacen pasar por mensajes de bancos con el objetivo de robar datos a usuarios desprevenidos. Kaspersky bloqueó en 2021, solo en México, 4.1 millones de intentos de ataques y en 2022 más de 13 millones.
Esto representó un crecimiento de 225% de un año a otro. “Hay muchas razones para este crecimiento. Hoy la gran mayoría de los ataques de phishing se distribuye a los smartphones, y la gran mayoría de los smartphones no tiene software de seguridad instalado. Entonces para una banda criminal es más fácil distribuir un phishing diseñado y diseminado para que se abra solo en dispositivos móviles”, explicó Assolini. Incluso si la víctima abre la estafa en una computadora, recibe un mensaje para ser redireccionado al eslabón más débil: el celular.
“Si el usuario hace clic en computadora de escritorio, el ataque no se concluye, el usuario recibe un mensaje como: ‘para acceder a la página y confirmar sus datos haga el acceso desde su teléfono móvil’, porque los criminales no quieren que la gente acceda por la computadora de escritorio, quieren que usen el móvil porque la probabilidad de que no haya un software de seguridad instalado es gigante”, alertó el experto de Kaspersky.
Pero existe otra razón por la cual los ciberdelincuentes se están concentrando en atacar los smartphones más que las computadoras: la bancarización. “Es decir, la cantidad de gente que está haciendo uso de la banca móvil está creciendo todos los años. No solo en México, sino también en todos los países de Latinoamérica, especialmente por la pandemia, porque con la banca cerrada la gente se vio orillada a acceder a la banca por su móvil, entonces por estas razones son estos números de ciberataques”.
Otro tipo de ataques a los smartphones son los troyanos bancarios móviles. Solo en 2022 en México se bloquearon 316,000 intentos de ataques de este tipo a teléfonos celulares, un promedio de 866 por día, un número más alto que los ataques de troyanos bancarios en computadoras. Assolini detalló que esto tiene una explicación: “la gente hoy prefiere la banca móvil desde el celular que en computadora, entonces es natural que los criminales sigan esta tendencia de disminuir ataques para Windows y aumentar los troyanos para Android”.
El riesgo de no actualizar el sistema operativo de tu smartphone
¿Cuántas veces has postergado la actualización del sistema operativo de tu smartphone? Seguro que por lo menos una vez lo habrás hecho, por las razones que sea, y ahora debes saber que esto, además de no usar software de protección en tu móvil, podría vulnerar la seguridad de tus cuentas bancarias. “Esto es algo que me da mucha pena, porque mucha gente en Latinoamérica no tiene software de protección instalado en sus teléfonos y hoy en día nuestros teléfonos son nuestra billetera y los criminales lo saben”, advirtió Fabio.
El director de Análisis e Investigación para América Latina de Kaspersky subrayó que “las amenazas para los teléfonos ya son mucho más avanzadas que en computadora. El año pasado anunciamos un ataque que nombramos la mano fantasma porque los criminales instalan una aplicación maliciosa y de forma silenciosa acceden remotamente al aparato y abrir la aplicación del banco. Esto ya es bastante avanzado en Latinoamérica, y una vez más, ocurre porque los usuarios no tienen esta conciencia de que también hay que proteger el celular”.
Y a veces podemos dejar vulnerables nuestras cuentas bancarias por decisiones que creemos inocentes, como no actualizar el sistema operativo del smartphone. “Esto parece fácil, pero en Latinoamérica no lo es tanto porque muchos usuarios no instalan las versiones más recientes de los sistemas operativos de sus teléfonos porque los teléfonos son caros y ellos saben que al instalar una actualización el teléfono se pondrá lento, eso es una realidad en los iPhones, mucha gente lo sabe y prefiere no instalar las versiones más recientes que seguramente traerán parches de seguridad, prefieren mantenerlo inseguro”.
“En Android es aún peor, porque llega un punto en el que incluso ya no se distribuyen las actualizaciones. Ese es un gran problema en Latinoamérica porque en Estados Unidos y otras regiones el teléfono es barato, se puede comprar uno nuevo todos los años y mantener el sistema operativo siempre actualizado, pero en Latinoamérica no”, comentó Fabio y refiere que ante ello un segundo perímetro de seguridad es contar con un software antivirus en el celular, pero uno que sea provisto por empresas reconocidas, porque hay aplicaciones que se hacen pasar por productos seguros, cuando no lo son.
“Hoy en día el teléfono celular es el eslabón más débil de la ciberseguridad, no tengo duda, porque hay más gente usando, muchos dispositivos no tienen protección, los criminales ya se dieron cuenta de que no vale la pena el número de gente que accede a la banca por la computadora de escritorio, es el móvil el blanco de los ataques. Además algunas plataformas muy populares que son vectores de envío de phishing, por ejemplo, en su gran mayoría son usadas en los móviles, como el WhatsApp y el Telegram”.
Las computadoras no se salvan
Los directivos de cualquier nivel y de cualquier área de un banco no están exentos de ser vulnerados, ya sea en su smartphone o computadora. Pero en su caso los ciberdelincuentes utilizan técnicas más sofisticadas y dañinas para la institución bancaria. Un ejemplo es EMOTET, una puerta trasera que infecta computadoras Windows y lo preocupante de esto es que los autores originales del ataque que tienen éxito, pueden vender accesos a otras bandas criminales para que instalen lo que quieren, principalmente ransomware.
EMOTET, dice Assolini, no surgió en América Latina, pero en 2022 eligió a México como uno de sus principales objetivos. En 2021 Kaspersky bloqueó 45,000 intentos de ataque de EMOTET y en 2022 el número creció 18 veces, a 815,000 intentos de ataque. El país más atacado por ese grupo fue México. “El enfoque del EMOTET son las corporaciones, de todos los tamaños, y también directivos de alto perfil. No se usa para usuarios hogareños”.
Ante la pregunta de por qué México se convirtió en el blanco de ataque de este grupo, Assolini ofreció una respuesta: “hay muchas razones, pero especialmente yo diría que esto está relacionado con la seguridad que los blancos tienen. El EMOTET es un viejo conocido en la industria de seguridad, su blanco principal al inicio eran Estados Unidos y Europa, y la madurez de las corporaciones ahí es un poco mejor, por ejemplo las empresas saben que no se puede usar software pirateado, hay que tener software de protección bien instalado, la red configurada correctamente, esta madurez aún hace falta en Latinoamérica”.
El EMOTET, relató el experto de Kaspersky, usa muchos trucos para infiltrarse en los equipos. Uno de los más usados es a través de adjuntos maliciosos en correos electrónicos, y pueden ser desde archivos de Word o Excel, hasta PDF. Y claro, las bandas criminales no enviarán el correo malicioso al encargado de la ciberseguridad de las empresas, sino que lo intentarán a través de las áreas con menos conocimiento técnico de estos temas, como puede ser Recursos Humanos, Marketing u otras.
“El truco más usado es enviar archivos de Office, que es bastante popular, muchos habrán visto un aviso en amarillo arriba para activar el contenido. Mucha gente lo hace sin pensarlo, y al hacerlo en un archivo de Word, o Excel, al hacer clic en ese anuncio amarillo y activar esa ejecución, lo que ocurre es que se habilita un script de forma silenciosa que va a bajar e instalar el EMOTET en la computadora”. Así, sin mayor ruido, las bandas criminales pueden instalar una puerta trasera dentro de las instituciones bancarias (o de cualquier tipo) para luego robar datos o vender accesos a otros ciberdelincuentes para que hagan lo que quieran.
Un mensaje para los CEO de los bancos
Si tuvieras que estar ante los CEO de los principales bancos mexicanos durante la 86 Convención Bancaria en Mérida, cuál sería el mensaje que les darías, se le preguntó a Fabio, y éste resumió con prontitud: “hoy las bandas criminales se comunican bastante, comparten conocimiento, esto resulta en que muchas técnicas de ataques se desarrollan en un lado del mundo y los criminales venden estas herramientas de ataque a otros criminales. Entonces es bastante común que una técnica de ataque se desarrolle en Asia, tarde o temprano llegue a Latinoamérica”.
“La banca puede hacer inteligencia de amenazas. Hay proveedores de información de esta inteligencia, Kaspersky es uno porque tenemos actuación y monitoreo global, cuando encontramos una nueva técnica, un nuevo ataque desarrollado en cualquier parte del mundo y lo vemos como novedoso, lo analizamos a full, completo, y compartimos estos detalles con nuestros clientes. Tenemos bancos de todo el mundo como clientes.
“La idea es que al recibir esta información con antelación, la banca pueda entender este nuevo ataque y pueda desarrollar protecciones con antelación. La banca debe invertir no solo en protección, que es bastante importante, sino también en inteligencia de amenazas porque es información que vale mucho, que llega con mucha antelación a la mano de los directores antes de que se concrete un ciberataque”, detalló.
Y puso un ejemplo. Kaspersky monitorea a Lazarus desde 2016, un grupo de ciberdelincuentes que nació en Asia y ha robado 81 millones del banco central de Bangladesh, 10 millones de dólares del banco de Chile y también ha intentado atacar en México. Los directivos de los bancos de Europa, cuando escucharon de esta banda criminal, buscaron protegerse. La banca que lo hizo a tiempo, no fue atacada, a diferencia de la banca que no se protegió con anticipación. Es solo un ejemplo, hay un montón de otros casos, como troyanos bancarios desarrollados en Europa que llegaron a Latinoamérica y todavía no hay casos al revés, de técnicas desarrolladas en Latinoamérica que después se expanden globalmente”.
Cargando ...
