fraude Electrónico

fraude Electrónico

Problemática

No es novedad afirmar que en el último tiempo los casos de estafas o fraudes relacionados a las entidades bancarias han crecido de forma exponencial. Si bien no existen estadísticas centralizadas a nivel nacional que permitan saber el verdadero estado de situación, de acuerdo a nuestros reportes y a los índices informados por distintas organizaciones, los casos se han duplicado y en algunos casos hasta triplicado. En un contexto de la pandemia, donde muchas personas fueron obligadas a sumarse a los canales electrónicos, los delincuentes aprovechan para captar cada vez más víctimas.

Estas estafas utilizan en su mayoría técnicas de Ingeniería Social (el "Cuento del Tío" en el mundo virtual) para engañar a las víctimas, ya sea a través de la excusa de haber ganado algún premio de un programa de televisión, órdenes de compra para supermercados conocidos, hasta casos de la compra falsa de productos en Internet, entre otras tantas posibilidades que son aprovechadas por los ciberdelincuentes.

En relación a los medios o canales a través de los que se están llevando adelante estos delitos, normalmente se utiliza:

  • el correo electrónico, las redes sociales o los mensajeros como Whatsapp (Phishing);
  • los mensajes de texto via SMS/MMS (Smishing)
  • llamadas telefónicas mediante voz (Vishing) y;
  • en algunos casos, presencia física de alguna persona que participa del acto delictivo.

Propuesta

En este escenario, y como profesionales de la Seguridad de la Información, queremos expresar a través de la presente campaña, una serie de recomendaciones y medidas de seguridad que podrían implementarse por parte de las entidades bancarias y financieras, a fin de dificultar las maniobras engañosas de los delincuentes y, en consecuencia, sumar seguridad para los ciudadanos.



Consideramos que las medidas sugeridas son razonables y perfectamente realizables, por lo que invitamos al Banco Central de la República Argentina (BCRA) o cualquier Organismo Público que tenga interés en cooperar, a tomar en consideración y regular a través de la norma jurídica que corresponda (por ejemplo con una actualización a la COMUNICACIÓN "A" 6894 de fecha 07/02/2020 y/o modificación de la COMUNICACIÓN "A" 4609 -y relacionadas- ) la inclusión de las mismas. Así se busca generan la obligación legal de adoptar algunas de estas medidas por parte de resto de las entidades bancarias y financieras.

Además, las entidades interesadas en mejorar el nivel de detección de estos delitos, podrían adoptar voluntariamente algunas de las medidas, demostrando un real interés en cuidar a sus clientes y cooperar en la disminución de delitos relacionados a sus propias organizaciones.

Si bien el BCRA ha publicado una serie de recomendaciones para prevenir estafas virtuales, las mismas no dejan de ser una formalidad con expresiones de deseo, que distan de la comprensión de un usuario normal. Si existiera una verdadera búsqueda de prevención, deberían realizase a través de la generación de campañas de concientización a nivel masivo. Por eso buscamos la capacitación de los usuarios finales y hacemos foco en la responsabilidad de las propias entidades bancarias, al momento de la implementación y control de medidas de seguridad.

EL FRAUDE ELECTRÓNICO
ES UN PROBLEMA DE TODOS

Medidas de Seguridad de la Información sugeridas para las Entidades Bancarias

Detección de accesos sospechosos

Esta medida consiste en que, al momento del acceso (login) por parte del usuario en el Home Banking, detectar si los registros utilizados (IPs, tipo de dispositivo, ubicación, horario, entre otros) pertenece a conexiones frecuentes del usuario. En el caso de una detección positiva, recomendamos permitir su acceso al Home Banking, pero restringir la realización de acciones que afecten gravemente el patrimonio del usuario (por ejemplo, transferencias inmediatas y préstamos pre-aprobados). Para el caso de ser una operación legítima, podría aplicarse cualquier mecanismo de validación extra de identidad e comucación al usuario.

En caso de que la entidad bancaria ya tenga implementado este tipo de medidas de seguridad, sugerimos avanzar sobre la transparencia acerca de la existencia de consecuencias negativas, que tengan por finalidad la protección del patrimonio del cliente. En muchos casos, existen sistemas de detección de accesos sospechosos, pero no son correctamente monitoreados o controlados por parte del responsable de dicho sistema. Podría estar sucediendo que las entidades ya posean implementados dichos controles, pero que sus alertas sean ignoradas o aceptadas -asumiendo el riesgo inherente a dicha operación-, en detrimento de la seguridad del cliente.

Detección de operaciones sospechosas

Otro comportamiento que podría detectarse a nivel de sistemas y considerarse "sospechoso", es la maniobra técnica clásica que suele ocurrir en las estafas que nos ocupan y preocupan. Esto es, la existencia de un acceso electrónico o por cajero, seguido de un pedido de un crédito pre-aprobado y la posterior realización de una transferencia en un plazo de tiempo acotado (por ejemplo, dentro de las 24 hs) a una cuenta de destino a la que nunca se realizó transferencia antes. Ante la detección positiva de esta serie de comportamientos, sugerimos dejar dicha transacción sujeta a revisión manual por parte de operaciones de la entidad o bien, que su acreditación definitiva quede sujeta a confirmación del cliente con algún tipo de verificación positiva de identidad y de confirmación de la voluntad de haber solicitado el crédito de forma fehaciente.

En caso de que la entidad bancaria ya tenga implementado este tipo de medidas de seguridad, al igual que el caso anterior, sugerimos avanzar sobre la transparencia acerca de la existencia de controles.

Generación de un centro de atención de incidentes

Conscientes que, aún tomando mayores medidas de seguridad y restricciones, las estafas continuarán ocurriendo y afectando miles de víctimas, entendemos la necesidad de la existencia de la generación de un "Centro de Atención de Incidentes", que permita que una vez ocurrido el hecho, que la víctima pueda comunicarse de forma inmediata con su entidad bancaria a fin de denunciar el hecho sucedido. Sugerimos que dicho Centro de Atención de Incidentes pueda estar gestionado por el propio BCRA o bien, por otra entidad pública o privada que permita garantizar la transparencia de las denuncias recibidas.

En estos centros de atención, las víctimas deberían poder acudir personal o virtualmente, a fin de realizar la denuncia correspondiente, aportando las pruebas que tengan, y obteniendo algún comprobante del descargo realizado sobre los hechos acontecidos. En dicha recepción, deberían arbitrarse los medios adecuados para congelar rápidamente la cuenta destinataria de los fondos que fueron retirados ilícitamente por los delincuentes, por lo que debería contarse con cierto nivel de celeridad y agilidad que permita que ante la denuncia concreta de la víctima se disparen dichas acciones tendientes a proteger el patrimonio de la víctima.

Asimismo, consideramos que las entidades bancarias comprenden el riesgo que asumen al brindar sus propios servicios, por lo que creemos como adecuada que en principio se disponga la restitución del dinero extraído ilícitamente al cliente afectado, sujeto a la posterior existencia de investigaciones internas que comprueben los hechos relatados por la víctima al momento de la denuncia.

Finalmente, sabemos y comprendemos la existencia actual de CSIRT privados y gubernamentales, pero lejos están los mismos de brindar el servicio con la inmediatez requerida en este tipo de acciones. El delito ocurre de forma "inmediata" y así debería ser la respuesta.

.

Cooperación con el cliente afectado

Ante el reclamo concreto y formal de la víctima, y en concordancia con lo dispuesto por la normativa en materia de Protección de Datos Personales (en particular, el derecho de acceso a la información propia -Hábeas Data-), las entidades bancarias deberían colaborar y suministrar toda la información técnica existente en sus sistemas, en relación con accesos indebidos a la cuenta del cliente, informando los dispositivos utilizados, direcciones IP de conexión, CBU/Titular de las cuentas destinatarias, entre otros datos que sean considerados de utilidad, para que la justicia pueda avanzar con sus propias investigaciones del delito. También consideramos que deberían llevar adelante las diligencias investigativas internas pertinentes a fin de apoyar a sus clientes.

Consejos

Atendiendo que la regularización de las medidas de seguridad escapa a nuestras posibilidades, toda vez que no somos más que un grupo de profesionales de la seguridad de la información que es consciente de la problemática social actual, y atentos a que su efectiva regularización e implementación podría llevar un tiempo, queremos finalizar dejando una serie de recomendaciones de seguridad de la información a tener en cuenta para la población en general.

Nunca brindar información sobre nuestras cuentas telefónicamente, ni a través de Whastapp o redes sociales.

Nunca ir a un cajero automático por indicación de una persona que nos promete algún premio o beneficio.

En caso de sufrir algún tipo de engaño, no borrar las conversaciones, llamadas o cualquier elemento que podría ser de interés para la investigación.

Anotar de forma cronológica todo lo sucedido, para poder identificar el Modus Operandi y las acciones realizadas.

Siempre realizar la denuncia en la fiscalía más cercana, aportando toda la información posible que sume a iniciar la investigación penal.

Siempre comunicarse con la entidad bancaria, reportando el caso y aportando toda la información posible que sume a iniciar una investigación interna.

Desde ODILA, recibimos reportes de casos reales para intentar reflejar mejor esta realidad. Si fuiste víctima de una estafa o fraude Electrónico (ya sea por correo, teléfono, redes sociales o SMS), te invitamos a reportarlo aquí.

Las entidades financieras nunca solicitan datos personales por ningún medio de comunicación.

Si ya fuiste víctima de una estafa o fraude Electrónico inicia el reclamo en el BCRA y COMUNICATE CON EL RESPONSABLE DE TU BANCO.

Ante un fraude virtual, comunicarse con la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI):

  • Dirección: Sarmiento 663, 6° Piso, CABA
  • Teléfono: (🇦🇷+54 11) 5071-0040 / 0041
  • Correo electrónico: denunciasufeci@mpf.gov.ar

 FUENTE: https://www.odila.org/cortemosconelfraude





Comentarios

Publicar un comentario

Entradas populares de este blog

PROCESO PASO A PASO PARA HACKEAR CAJEROS AUTOMÁTICOS USANDO BLACK BOX. JACKPOTTING DE CAJEROS AUTOMÁTICOS

Imagen
  PROCESO PASO A PASO PARA HACKEAR CAJEROS AUTOMÁTICOS USANDO BLACK BOX. JACKPOTTING DE CAJEROS AUTOMÁTICOS Los ataques contra cajeros automáticos en la calle han evolucionado a grandes pasos, dejando atrás los métodos de compromiso físico de estas máquinas para llegar a los ataques empleando tecnología y avanzadas capacidades de hacking. Los análisis más recientes sugieren que el método más sofisticado actualmente es conocido como “Black Box”, basado en el uso de una microcomputadora con una placa única. En esta ocasión, los especialistas en  concientización de ciberseguridad  del Instituto Internacional de Seguridad Cibernética  (IICS)  le mostrarán las características más importantes de estos ataques, que podrían generar pérdidas millonarias a las instituciones bancarias. Como de costumbre, le recordamos que este artículo fue elaborado con fines exclusivamente informativos, por lo que IICS no se hace responsable del mal uso que pueda darse a la información aq...
Leer más

Dictaminan que Facebook Argentina es sujeto obligado por la ley de datos personales en el marco de una acción de habeas data

Imagen
  El procurador fiscal ante la Corte Suprema de Justicia de la Nación Víctor Abramovich dictaminó en un caso en que se había condenado a Facebook Argentina SRL a develar datos del usuario que había creado la publicación bajo análisis. En su dictamen, Abramovich opinó que correspondía hacer lugar parcialmente al recurso extraordinario presentado por la demandada y que se debía revocar la sentencia apelada. En la causa, se hace foco en la aplicación de la ley de datos personales, la legitimación pasiva de la filial local de la empresa en el marco de una acción de habeas data y las reglas constitucionales que rigen el anonimato como forma de participación en asuntos de interés público. La Sala II de la Cámara Federal de Apelaciones de La Plata modificó, en el marco del caso “Quinteros, Héctor Andrés c/ Facebook Argentina SRL s/ amparo ley 16986”, la sentencia de la instancia anterior y revocó la condena a Facebook Argentina SRL, en donde se había ordenado la eliminación de la ima...
Leer más

Suplantación de identidad: condenaron al Banco Provincia

Imagen
  Suplantación de identidad: condenaron al Banco Provincia a pagar más de $1.000.000 por daño material y punitivo Fue a raíz de que un cliente desconociera una serie de operaciones realizadas desde su cuenta. El juez Carlos Catoggio, a cargo del Juzgado Civil y Comercial N°25 de La Plata, consideró que hubo una desatención por parte de la entidad bancaria porque no desplegó medidas de seguridad adecuadas a fin de evitarlo. El juez  Carlos José Catoggio , a cargo del   Juzgado Civil y Comercial Nº 25 de La Plata , hizo lugar a una demanda por  nulidad de contrato y daños y perjuicios , promovida contra el  Banco Provincia , y le ordenó a la entidad a abonarle a un cliente una suma de  $92.717,25 por daño material  y de  $1.000.000 por daño punitivo .  En el caso, la parte actora detalló una serie de  operaciones de crédito y transferencias  realizadas desde su  cuenta bancaria de las que nunca participó . En su presentación...
Leer más