Tecnología

Epidemia de ciberestafas se ensaña con los clientes bancarios

Denuncias ante el OIJ aumentaron 125º% en cuatro años y mientras los bancos elevan el nivel tecnológico para blindar sus sistemas, el usuario sigue siendo uno de los eslabones más débiles

La frecuencia y cantidad de ciberestafas viene en aumento en Costa Rica, un fenómeno asociado a la alta penetración de la tecnología en la cotidianidad así como a la digitalización de la población que la pandemia ayudó a reforzar.

Datos respaldan esta tendencia creciente, pues el Organismo de Investigación Judicial (OIJ) recibió 17.457 denuncias de este tipo, en 2020, un crecimiento del 24% respecto a los datos del 2019.

Las modalidades de estafas y robos son cada vez más variadas y se aprovechan del desconocimiento o ingenuidad de los usuarios, principalmente clientes bancarios, que parecen ser el eslabón más débil en la cadena.

Si bien los bancos nacionales son reacios a revelar las pérdidas que les generan las oleadas de ciberestafas, se muestran mucho más abiertos a discutir las medidas que toman para reforzar la seguridad de sus sistemas, especialmente mediante tecnología de punta como la inteligencia artificial.

En crecimiento

El crecimiento de este tipo de delitos cibernéticos, cuya denominación legal es “estafa informática”, vienen tomando fuerza desde hace años.

En el 2018, el Instituto Nacional de Estadística y Censos (INEC) informó que los fraudes y estafas de dinero por Internet fueron los delitos que más aumentaron en Costa Rica, en el periodo 2014-2018, tanto en cifras absolutas como relativas.

Dichos datos se desprenden de la Encuesta Nacional de Hogares (Enaho), la cual incluye un apartado sobre victimización de delitos cada cuatro años.

La incidencia de este tipo de ataques más que se duplicó en ese cuatrienio y la cantidad de hogares que dijeron haberse visto afectados superó los 34.000, en el 2018 (14.000, en el 2014).

Se conoce como ingeniería social al conjunto de técnicas que usan los criminales para engañar y manipular a los usuarios para que, de forma voluntaria, entreguen información personal.

Los datos del Organismo de Investigación Judicial también dejan ver una tendencia hacia el alza de este tipo de delitos en Costa Rica, en el último lustro.

El OIJ agrupa a estos delitos bajo la denominación de “estafas informáticas”, las cuales abarcan la suplantación de identidad y el fraude, entre otros.

El número de estafas informáticas registradas en el OIJ pasó de 7.763, en el 2016, a 17.457, en el 2020, un incremento del 125%. La cifra al cierre del primer semestre del 2021 alcanzó casi 9.000 casos, por lo que, de mantenerse la tendencia en la segunda mitad del año, se llegaría a un nuevo récord anual.

Esta realidad no es exclusiva de Costa Rica. A nivel latinoamericano, la incidencia de las ciberestafas también se ha vuelto más frecuente.

La empresa de seguridad Eset, en su informe del 2020, asegura que la ingeniería social fue el incidente con mayor incremento en los últimos meses del 2019.

Se conoce como ingeniería social al conjunto de técnicas que usan los criminales para engañar y manipular a los usuarios para que, de forma voluntaria, entreguen información personal.

Según Eset, casi el 45% de los usuarios recibió intentos de estafa relacionados a la pandemia bajo la modalidad de phishing (envío de correos electrónicos que tienen la apariencia de proceder de fuentes de confianza).

“Es posible que el incremento en el número de incidentes asociados a la ingeniería social esté ligado a la amplia variedad de campañas que vimos durante 2018. Diversas marcas reconocidas fueron utilizadas como anzuelo y nuevos vectores de ataque se sumaron a la lista”, indica el estudio.

Precisamente, la pandemia de COVID-19 podría ser una de las causas principales que expliquen el aumento de delitos informáticos en el último año. La emergencia sanitaria dio un nuevo empuje a la digitalización en los procesos de trabajo, estudio y en la cotidianidad.

Para Isaac Rodríguez, miembro de la comisión de ciberseguridad del Colegio de Profesionales en Informática y Computación (CPIC), el teletrabajo también ha implicado riesgos.

“Las bases de datos de información de clientes poseen muchos riesgos. Este efecto es una tendencia creciente: la pandemia, el trabajo remoto, el acceso a sistemas internos fuera de la oficina, el engaño a los usuarios, el robo de información o la venta de datos de forma ilegal son algunos de los riesgos que ha hecho este tema de más interés para las personas”, aseguró Rodríguez.

El último Informe Global de Inteligencia sobre Amenazas Cibernéticas de HP Security también muestra un aumento significativo en la frecuencia y sofisticación del ciberdelito.

Por ejemplo, apunta un alza del 65% en el uso de herramientas de piratería informática que se descargan de foros clandestinos y sitios web de intercambio de archivos, desde el segundo semestre de 2020 hasta el primer semestre de 2021.

Las herramientas de hacking se hacen cada vez más especializadas. El informe menciona la existencia de una herramienta que puede resolver los captcha usando técnicas de visión artificial para realizar ataques de relleno de credenciales contra sitios web.

“La proliferación de herramientas de piratería informática y foros clandestinos están permitiendo a los actores, que anteriormente se consideraban de bajo nivel, plantear serios riesgos para la seguridad”, comentó Ian Pratt, jefe de seguridad global de sistemas personales de HP Inc.

Desde la Asociación Bancaria Costarricense (ABC) confirmaron que los bancos también vienen percibiendo una mayor incidencia de estafas informáticas.

La ABC indicó que, en promedio, el 42% de los bancos de América Latina y el Caribe experimentó un ataque exitoso, de acuerdo con los datos del estudio Estado de la Ciberseguridad, elaborado por la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID).

“Esto ha sido una constante en crecimiento en los años subsiguientes, siendo el secuestro y robo de datos una de las principales amenazas observables”, afirmó Raúl Rivera, presidente del Comité de Ciberseguridad de la ABC.

Estos delitos significan pérdidas para los usuarios y las instituciones bancarias. No obstante, hay pocos datos para estimar la magnitud económica del impacto de las estafas informáticas.

El OIJ comunicó, a finales del 2020, que los costarricenses perdieron ese año más de ¢7.000 millones debido a estafas o fraudes cometidos principalmente por medios electrónicos o por llamadas telefónicas.

La ABC aseguró que todas las instituciones bancarias contabilizan las pérdidas relacionadas con el cibercrimen. Pero a nivel país, y latinoamericano, no hay datos del todo desagregados, según dijo Rivera.

El representante omitió dar estimaciones para Costa Rica, pero mencionó que, a nivel de América Latina y el Caribe, las pérdidas que enfrenta la industria bancaria debido al cibercrimen rondan los $87.000 millones.

Por otra parte, el promedio del costo de la respuesta y la recuperación de esos incidentes ronda los $2 millones.

Se consultó a los tres bancos más grandes del país sobre el costo del cibercrimen en sus finanzas. El BAC y el Banco Nacional evitaron dar una cifra, mientras que del Banco de Costa Rica no se obtuvo respuesta al cierre de esta información.

Modalidades se diversifican

Los ciberdelincuentes son cada vez más sofisticados en las modalidades que usan para engañar a los usuarios y saltar las barreras de seguridad de los bancos.

Según Rivera, los principales riesgos de ciberseguridad actualmente son el engaño mediante ingeniería social para cometer estafas o fraude, la suplantación electrónica de identidad, los ataques a infraestructuras tecnológicas empresariales, así como el robo o secuestro de datos.

“En el caso de la banca, las dos primeras están muy enfocadas en atacar directamente a las personas, mientras que las siguientes dos a la infraestructura tecnológica de las instituciones”, comentó el representante de la ABC.

El phishing sigue siendo una de las modalidades más comunes. Se trata de un ataque dirigido a robar datos del usuario a través de enlaces e informaciones enviadas por correo electrónico, principalmente, aunque se han sumado otras plataformas.

Según Eset, el correo electrónico dejó de ser la única vía para lanzar mensajes de phishing y han aparecido otras herramientas para esos fines como WhatsApp y los mensajes SMS.

“Los ciberdelincuentes se han especializado para evitar ser detectados, utilizando elementos reales como correos, teléfonos, imágenes, documentos, etc. La mezcla de técnicas es algo que se ha estado utilizando más, lo cual confunde a los usuarios”, explicó Rodríguez.

El informe de HP Security encontró que las trampas más comunes de phishing vía email fueron las facturas y las transacciones de negocios con 49%. También se presentan respuestas a hilos de correo electrónico que habían sido interceptados.

Los señuelos de phishing que incluyeron la mención de COVID-19 siguen usándose pero representaron menos del 1% del total.

En Costa Rica también se han hecho comunes las llamadas telefónicas haciéndose pasar por funcionarios de diferentes instituciones públicas y bancarias, así como el timo de la firma digital.

En abril de este año, el diario La Nación publicó que el Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) reportó, en el 2020, 316 sitios falsificados de firma digital, que le pedían al usuario datos personales con la promesa de obtener dicho certificado.

Rivera también agregó que para las organizaciones han aparecido otros frentes de ataque como el ransomware y ataques a las cadenas de suministro. Sin embargo, afirmó que los bancos costarricenses cuentan con mecanismos y procesos para detectar, responder y contener dichas modalidades.

La protección de usuarios y bancos

La preocupación principal que surge ante el incremento de ciberestafas es la protección de los bancos, pero también la de los usuarios.

La relación entre usuarios y bancos, en el caso de una estafa informática, se rige bajo el principio de “responsabilidad objetiva”.

“Se parte del hecho de que la actividad bancaria genera un riesgo que debe ser administrado con medidas de seguridad proporcionales. Por ende, corresponde a quien crea ese riesgo asumir las consecuencias de un eventual daño. Es decir, el banco será responsable de las pérdidas generadas al consumidor en virtud de una estafa, aún y cuando no haya mediado culpa o negligencia de su parte”, explicó Daniel Rodríguez, abogado especialista en privacidad y tecnología de Ecija.

La excepción a esa regla se da cuando el usuario haya contribuido a la estafa, por no haber sido lo suficientemente diligente en la protección de su información bancaria.

Ante un hecho de ciberestafa, el usuario tiene varios derechos. El banco debe proveer los instrumentos de seguridad aptos para administrar y gestionar las cuentas bancarias, además de informar sobre cómo utilizarlos y los riesgos de acceder a los servicios y plataformas ofrecidas.

Además, el usuario puede plantear un proceso judicial civil (si es un banco privado) o un proceso contencioso-administrativo (si es estatal) para recuperar lo perdido.

Asimismo, para facilitar el proceso de recuperación del dinero perdido por ciberestafas, la Oficina del Consumidor Financiero (OCF) creó un mecanismo que pretende agilizar el proceso establecido para que las entidades financieras reintegren dinero que fue bloqueado por sospecha de anomalías.

El protocolo permite a la persona afectada presentar la denuncia correspondiente ante el OIJ y recibir un oficio de la Fiscalía para activar el procedimiento.

De esta forma, el proceso para recuperar el dinero pasa de años a meses, aseguró Danilo Montero, director de la OCF, en la conferencia de prensa de presentación.

No obstante, el mecanismo tiene dos restricciones. Por un lado, aplica solo si los fondos están bloqueados en la entidad destino. Si los estafadores trasladaron los fondos y los sacaron inmediatamente de un cajero ya no es posible aplicarlo.

Además, el uso de este protocolo por parte de las entidades financieras es voluntario. Según publicó el diario La Nación, solo el BAC Credomatic y Davivienda indicaron que adoptarán este procedimiento de la OCF, mientras que los estatales Banco Nacional y Banco de Costa Rica utilizan sus propios procesos.

Pero, ¿qué más están haciendo los bancos?

El BAC Credomatic comentó que cuenta con un protocolo en caso de que un cliente sea víctima de fraude digital.

La institución financiera aseguró que han logrado reducir a la mitad los fraudes con un equipo de trabajo especializado en este tema y con herramientas como el uso de inteligencia artificial para monitorear en tiempo real las transacciones de sus clientes e identificar movimientos inusuales.

Además, el banco ofrece un seguro contra fraudes digitales, el cual protege a los usuarios en caso de ser víctimas de una estafa y les da acceso a licencias de protección de software para sus dispositivos de uso frecuente, detalló Alejandro Rubinstein, vicepresidente de Experiencia al Cliente y Canales de Servicio del BAC.

Por su parte, el Banco Nacional afirmó que mantiene una actualización y mejora constante de sus esquemas de seguridad, no solo en materia de software, sino también, de dispositivos de seguridad física para sus dependencias.

No obstante, David Hernández, director de Seguridad e Investigaciones de la entidad, puntualizó que las instituciones financieras “no pueden asumir una responsabilidad por el uso indebido o resguardo inapropiado de los elementos de seguridad que posee y administra el cliente de forma personal”.

Para ayudar a los usuarios víctima fraudes informáticos, la Oficina del Consumidor Financiero (OCF) creó un nuevo protocolo que busca agilizar el proceso para que las entidades financieras reintegren dinero que fue bloqueado por sospecha de anomalías.

Con solo una denuncia ante el OIJ y un oficio de la Fiscalía correspondiente, el afectado puede activar el procedimiento para recuperar esos fondos, siempre y cuando la entidad financiera haya suscrito dicho protocolo, que es de acatamiento voluntario.

Por lo pronto, el especialista del CPIC brindó algunos consejos. Para las empresas se recomienda crear una estrategia de ciberseguridad con herramientas de detección de fraude y protección de datos, sistemas y equipos. Mientras que a los usuarios se les pide revisar sus transacciones de forma regular, activar notificaciones de transacciones, proteger la información de acceso y validación (tokens) y no dar información sensible por vías no autorizadas por los bancos.

Además, Rodríguez comentó que el reconocimiento facial o táctil para entrar a las aplicaciones es un elemento mayor de protección, pero aconsejó el uso o activación del doble factor de autenticación para que el acceso requiera de validaciones adicionales.

Francisco Ruiz León

Francisco Ruiz León

Periodista de la sección de Economía y Política de El Financiero. Bachiller en Comunicación Colectiva con énfasis en Periodismo por la Universidad de Costa Rica.