Los ataques de ciberdelincuentes a entidades bancarias y sus clientes han sido un tema recurrente desde antes de la pandemia, y dadas las condiciones de aislamiento lo han sido aún más durante este periodo, pues el uso de los canales digitales también ha aumentado.
En términos generales se podría decir que todas las entidades hacen su mejor esfuerzo para mantener seguros los bienes de sus clientes, pero tampoco sería errado afirmar que todos los usuarios tenemos algún nivel de vulnerabilidad. Tal vez por eso mismo muchos casos pasan inadvertidos, a menos que los afectados sean personajes reconocidos, como la famosa presentadora Jéssica de la Peña o el DJ de la emisora La FM Carlos Sarria, clientes de Davivienda.
Hoy por hoy, plataformas como Nequi o Daviplata se han convertido en una opción real para realizar pagos, no solo en compras en línea sino también necesidades del día a día. Y también lo son las plataformas digitales de otras entidades y servicios finacieros, no solo de Davivienda. Esta expansión ha significado un aumento importante en la digitalización, pero también en el número de amenazas que hacen sus rondas.
Ataques que se expanden
Los ciberataques han existido por tanto tiempo como Internet mismo, y el aumento en el número de conexiones en las últimas 2 décadas ha provocado también un aumento considerable en el número de ataques. Antes de la pandemia, el blanco por excelencia para los atacantes era una empresa, principalmente porque tiene mucho más recursos que un usuario, lo que hace que la recompensa potencial sea mayor.
Así lo explica Antonio Romero, gerente de Operaciones de seguridad para el norte de América Latina en Logicalis: “Cuando empezó la pandemia, los usuarios se convirtieron en un blanco, y un blanco fácil”. Aunque para muchas empresas la ciberseguridad es un tema fundamental, la pandemia ha convertido a los usuarios en blancos fáciles, que carecen no solamente de la tecnología, sino en ocasiones también del conocimiento para evitar ataques. “Los usuarios han sido víctimas de ataques de phishing, de malware. Hemos visto un incremento de 2 a 1, casi se doblaron los ataques de malware”, dice Romero.
Con los usuarios ahora bajo la mira de los atacantes, es poco sorpresivo también pensar que los fraudes bancarios han tendido a subir, especialmente en un ambiente altamente digitalizado. En el caso de Davivienda, la entidad optó por resolverlos uno a uno. Esto, según Romero, se debe a que la mayoría de las entidades bancarias manejan una alta privacidad y evitan exponer más información de la absolutamente necesaria.
De hecho, Impacto TIC intentó hablar con Davivienda, pero no obtuvo respuesta. En su comunicado oficial la entidad aseguró: “Para los recientes casos de fraude que se han presentado, Davivienda ya se contactó con los clientes afectados para darles acompañamiento mientras se adelanta la investigación respectiva”. Pero más allá de responsabilizar al banco o a los afectados, es cierto que estamos frente a una pandemia de fraudes en línea, con el phishing liderando la carga, según Romero.
“Nosotros particularmente, los sensores de nuestra plataforma de análisis de correo, vemos intentos de phishing. Vemos desde las 7:00 o 7:30 los picos de esos correos que se extienden hasta medio día, a veces 2.000 o 3.000 correos”.
Antonio Romero, Logicalis
Responsabilidad de ambos lados
Cuando tratamos de temas tan delicados como cuentas bancarias, no sorprende saber que muchos usuarios están preocupados por ser víctimas de ataques. Según el último Índice de Seguridad de Unisys, el 88 % de los consumidores colombianos encuestados se preocupa por los fraudes con tarjetas bancarias, seguido por un 86 % que se preocupa por el fraude de identidad. De los 11 países incluidos, Colombia es el segundo con el nivel más alto de preocupación.
Aunque el estudio recalca que el 63 % de los encuestados suele desconfiar de enlaces externos, también muestra que existe desconocimiento en algunos temas vitales. Uno de ellos es el cuidado que les damos a los datos. “La gente debe ser consciente de que la privacidad de los datos es más crítica que nunca. Con los ataques cibernéticos constantemente en los titulares, todavía podemos acostumbrarnos de alguna manera. Sin embargo, una vez que lo golpean, o a su empresa, el riesgo puede ser inconmensurable”, explica Alexis Aguirre, director de Ciberseguridad de Unisys para América Latina.
Pese a que nosotros, como usuarios, confiamos en que los sistemas implementados por las entidades financieras son los apropiados, también es cierto que mucha de la responsabilidad de las cuentas cae sobre nosotros. Como siempre, la mejor seguridad es la preventiva. Para Aguirre, es fundamental que los usuarios también tomen conciencia de sus operaciones y de los sistemas que utilizan. Además de correos y mensajes en WhatsApp, el estudio de Unisys también destaca el aumento de ataques por medios como SMS, de los cuales el 66 % de los encuestados afirmó no conocer.
Similar a esto, Antonio Romero, de Logicalis, es enfático en destacar que la tarea de una ciberseguridad bancaria es tanta responsabilidad del banco como lo es de los usuarios. Acá la invitación es para ser menos ingenuos –dice Romero–, pensar dos veces antes de compartir información como direcciones, números de identificación y de teléfono para evitar fraudes no sólo de fuentes dudosas sino también de fuentes de confianza.
“Debemos ser un poquito más cautelosos como usuarios, pero eso no exime a las entidades financieras de tener los procedimientos y la tecnología para prevenir los ataques”, afirma. Esto también se extiende al mundo físico, en donde debemos ser cautelosos al desechar cajas o bolsas de envíos, facturas o consignaciones, ya que es información muy importante que facilita fraudes como el robo de identidad.
¿Conveniencia o seguridad?
Pero aunque como usuarios debemos hacer la tarea, esto no significa que los bancos no tengan la responsabilidad de mantener sus estándares de seguridad. En el caso de Davivienda, por ejemplo, sus plataformas no tienen un sistema de autenticación de doble factor para personas, sino que la entrada a los canales virtuales se basa únicamente en la contraseña o factores biométricos (huella, reconocimiento facial, etc).
Acá, tanto entidades financieras como usuarios se encuentran con una realidad incómoda: balancear conveniencia y facilidad de uso con seguridad no es una tarea fácil. Para un usuario, tal vez lo más conveniente es que una transacción se realice directamente y sin necesidad de confirmación. Después de todo, para casi nadie sería agradable tener que confirmar todas y cada una de las transacciones virtuales que realiza.
“Si yo te dijera que para asegurar tu casa tienes que cerrar todas las ventanas con ladrillos, tú vas a preferir el riesgo de que algún día te roben, porque prefieres eso a vivir en una casa sin la luz del sol”.
Antonio Romero, Logicalis
Los bancos están en una encrucijada importante, y según Aguirre, de Unisys, son blancos de alto perfil debido a su rol en la sociedad. “Una empresa tiene que darse cuenta de que su postura de seguridad no está adecuada o al nivel de disminuir los riesgos, tiene que repensar su arquitectura, repensar por dónde entran los atacantes, el estado de arte de ciberseguridad y arquitectura zero-trust”, recalca.
Al mismo tiempo, es cierto que estamos llegando a un punto en donde mucha de la seguridad es invisible para nosotros, los usuarios. Algoritmos de Inteligencia Artificial pueden, por ejemplo, analizar en tiempo real patrones de compra para permitir que las compras normales pasen sin problemas, pero que compras irregulares necesiten una confirmación de seguridad adicional para verificar la identidad del usuario. Pese al trabajo invisible de los bancos, su hermetismo crea una sensación en el usuario de que no se está haciendo trabajo real. Acá, Romero afirma que la clave está en capacitar e informar a los usuarios, que en muchos casos son el enlace más vulnerable de la cadena.
Así como casos de fraudes de alto perfil se viralizan en las redes sociales, es también el rol de los usuarios exigirles a sus bancos la implementación de sistemas más seguros, de preguntar cómo se puede aumentar la seguridad de su cuenta y de mantener un monitoreo constante en sus movimientos. De la misma forma, así como los usuarios tienen el derecho de reclamar por la seguridad de sus productos, también es clave empezar a aplicar ese estándar alto a nuestros hábitos cotidianos, pensando dos veces antes de compartir datos o abrir enlace dudosos.
No existe sistema de ciberseguridad perfecto, y el impacto mediático de los casos de Davivienda no quiere decir que los demás usuarios de las entidades bancarias seamos inmunes a los ataques. Pero entre entidades y usuarios se pueden empezar a crear mejores estándares que sepan balancear entre la conveniencia de las compras en línea y la seguridad de los productos. “Ese balance no es fácil de encontrar –dice Romero–. Hay que tomar el más delicado de los cuidados para que el balance sea el correcto”.
Imagen principal: Eduardo Soares en Unsplash