La peligrosa estafa de moda: Duplicar tu número de móvil para vaciarte la cuenta del banco

Cuando se habla de robo, lo normal es imaginar a una persona llevándose algo que no le pertenece a la fuerza. Pero y si te decimos que podrían robar el dinero que tienes en el banco sin que te enteraras y sin emplear ni un ápice de fuerza, ¿te parecería posible?

La fechoría es tan sencilla de perpetrar como real. Se trata del fraude telefónico denominado SIM swapping, una técnica que consiste en la duplicación de la tarjeta SIM del teléfono móvil de la víctima. El fin es tener acceso al número telefónico para usurpar la identidad del perjudicado para acceder a su cuenta del banco y robarle el dinero.

Al tener un clonado de la tarjeta SIM, los delincuentes podrán recibir los SMS con el código de confirmación necesario para acceder a la cuenta bancaria de la víctima. Estos SMS son un método de seguridad común cuando se realizan distintas operaciones bancarias como transferencias, solicitudes de préstamos o simples consultas de saldo.

SEÑALES

Si estás en una llamada y se corta repentinamente, si observas que la cobertura desaparece de forma intermitente hasta irse del todo, al igual que el acceso a Internet desde el terminal, puede ser un problema técnico, pero también puedes estar siendo víctima de SIM swapping.

Por ejemplo, desde la propia web de BBVA recomiendan que si observas estas señales o tras sufrir el robo directo del terminal “es importante hacer de inmediato la denuncia correspondiente”.

HISTORIA DE TERROR

En las redes sociales son muchos los usuarios que cuentan su experiencia personal después de haber sufrido este fraude telefónico. La propia redactora de estas líneas fue víctima de una duplicación de tarjeta SIM que pudo ser cancelada a través de la compañía telefónica antes de que se realizara ninguna gestión bancaria fraudulenta, aunque no todos los casos tienen un final feliz.

Como mencionábamos anteriormente una de las señales más claras es la de la pérdida súbita de cobertura. A veces los delincuentes, conscientes de la importancia de trabajar a contrarreloj, tardan muy poco tiempo en acceder a la cuenta bancaria y vaciar lo que pueden e incluso, pedir un préstamo para llevarse ese dinero de más.

CIBERATAQUES PREVIOS

En muchas ocasiones, los delincuentes conocen varios datos personales de las víctimas antes de realizar el SIM swapping, que sería el paso final para llevarse el dinero. Por ejemplo, pueden conocer las contraseñas por phishing, un fraude informático con el que se consigue todo tipo de información.

Para conseguir estos datos existen principalmente dos técnicas, a través de spam, mandando correos, WhatsApp o SMS de forma masiva haciéndose pasar por distintos servicios o entidades para pedirnos directamente los datos. A veces estos mensajes pueden contener un link que si se pulsa, el terminal puede quedar comprometido por un programa oculto que rastree toda la información y la envíe a los delincuentes.

Otra de las técnicas consiste en una recreación bastante exacta de las webs reales de bancos. Solo que en estas réplicas, tras introducir los datos personales, en vez de mostrar el saldo lo roban.

PODER ANTES QUE DINERO

Esta técnica no sólo es utilizada para robar dinero. Duplicando la SIM se pueden recuperar los contactos y así acceder, por ejemplo, al WhatsApp de la víctima. Esto también es aplicable a las redes sociales como fue el caso de Jack Dorsey, cofundador de Twitter, que paradójicamente sufrió un hackeo en su cuenta de Twitter.

A finales del verano pasado, la cuenta de Dorsey empezó a publicar una serie de mensajes racistas mencionando un servidor en Discord, donde se pedía a la gente que se uniera y dejara comentarios. La clave para saber cómo habían conseguido acceder a la cuenta estaba en los propios tweets que revelaban desde que servicio se estaban escribiendo.

Se trataba de Cloudhopper, una compañía, aprobada como fuente con permisos para publicar en la red social, que permite publicar tweets a través de SMS y de la que es dueña Twitter. Para lograr tal hazaña delictiva, los autores habían duplicado la SIM de Dorsey y si fueron capaces de usurpar la identidad del cofundador de Twitter, hacerlo con la tuya les será pan comido.

CÓMO EVITARLO

Pedir un duplicado de la SIM es un procedimiento relativamente sencillo. Además, la autenticación o verificación en dos pasos es vulnerable a los ataques, como es el caso. Hay un porcentaje de responsabilidad que recae sobre las propias operadoras, al no ser más exigentes o escrupulosos a la hora de proporcionar duplicados de SIM. Pero como usuarios, también hay una serie de recomendaciones a tener en cuenta para evitar ser víctimas de este fraude.

En primer lugar, si se detecta una pérdida de cobertura en el terminal, consulta a tu operadora para saber el estado de la SIM y conocer si se solicitó un duplicado. Por supuesto no facilitar datos personales a través de SMS, llamadas telefónicas o correos electrónicos. Hay que desconfiar de cualquier persona o entidad que pregunte por los datos o las claves personales y también tener precaución con la información que puede aparecer en recibos o comprobantes. Lo mejor es destruirlos antes de desecharlos.

ALTERNATIVAS

Aunque muchas aplicaciones y servicios siguen utilizando el SMS como método de autenticación, existen algunas alternativas como Authy, Google Authenticator o Microsoft Authenticator. Estas aplicaciones se pueden instalar en el teléfono móvil y servir de alternativa a los mensajes de texto. Eso sí, la plataforma con la que queremos operar debe de ser compatible.

En un mundo cada vez más digital, es cuanto menos curioso que uno de los métodos más seguros sea una llave física. Las llaves U2F (Universal 2nd Factor keys), son una evolución de los sistemas de doble autenticación convencionales. Este sistema está basado en hardware por lo que a no ser que roben físicamente la llave, no podrán acceder a los servicios con los que esté configurada.

Funcionan conectándose al ordenador a través de un puerto USB. La primera vez que se utilice, el sistema creará un número aleatorio, a través del cual se generarán los distintos hashes (función criptográfica especial que es utilizada para generar identificadores únicos) que servirán para iniciar sesión en las plataformas con las se vincule la llave.

Gracias a este sistema, cada vez que se quiera iniciar sesión bastará con conectar la llave al ordenador. Ni SMS, ni correos electrónicos, ni contraseñas, nuestra seguridad a buen recaudo en el bolsillo.

Con información de DPL News

México, segundo país en el mundo en cantidad de ciberataques

En el foro Ciberdelitos y ciberseguridad en México, organizado por la Comisión de Seguridad Pública del Senado, especialistas, activistas y funcionarios exhortaron a que se elaborar un marco jurídico apropiado que permita hacer frente a los ilícitos digitales que por la pandemia aumentaron 600 por ciento.

Adolfo Arreola, especialista en ciberseguridad y académico de la UNAM, dijo que en el mundo ocurre un ataque informático cada 39 segundos de acuerdo con informes de la ONU. Refirió que por la pandemia de Covid-19 este tipo de embates aumentaron 600 por ciento, sobre todo contra de instituciones sanitarias, lo que puede generar nuevos delitos.

Durante su intervención en dicho foro, el especialista agregó que 12 países cuentan con estrategias nacionales en la materia y que México está ubicado en el segundo lugar que recibe más ciberataques.

Arreola consideró que es indispensable impulsar la ciberseguridad estratégica, a efecto de atender de manera precisa y preventiva los riesgos y amenazas que surgen en una sociedad interconectada, con estricto apego a derecho y de manera integral, multifactorial y multidisciplinaria.

Manifestó que es recomendable elaborar una ley que atienda la ciberseguridad y no la seguridad de la información, pues esta última se enfocará únicamente en los datos contenidos en algún dispositivo. En cambio, precisó, la ciberseguridad abarca más aspectos en todo el ciberespacio.

El director de Servicios y Ciberseguridad de la Secretaría de Seguridad y Protección Ciudadana, Alejandro Canales, reconoció que México es el segundo país que padece inseguridad en Internet, sólo después de Venezuela. Dijo que los ciberataques no únicamente van dirigidos a las grandes corporaciones, sino también a la ciudadanía.

Informó además que la mayoría de estos delitos están enfocados a los ciudadanos, quienes son víctimas de suplantación de identidad, extorsión, robo de tarjetas bancarias y compras fraudulentas.

Aclaró que muchos de estos ciberdelitos no siempre se desarrollan desde el país, sino que vienen de otras partes del mundo, de ahí que se necesita una ley alienada a marcos internacionales para lograr una cooperación global, porque sin ello no se podrán resolver estos problemas.

También aceptó que hay cifras espeluznantes respecto de la pornografía infantil, las cuales aumentaron en número durante la crisis provocada por la emergencia sanitaria.

Con información de La Jornada Víctor Ballinas

La Estrategia Nacional de Ciberseguridad de México debe trascender del papel: OEA y BID

La Estrategia Nacional de Ciberseguridad que publicó la administración de Enrique Peña Nieto al final de su sexenio debe trascender al papel, coincidieron expertos miembros de la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID), organizaciones que recientemente lanzaron, en colaboración con la Universidad de Oxford, el informe “Ciberseguridad 2020: riesgos, avances y el camino a seguir en América Latina y el Caribe” en el que analizan el avance que ha experimentado la región en materia de ciberseguridad desde la primera edición del documento, de 2016.

El informe asegura que México se ha integrado a un grupo de 12 países latinoamericanos que cuentan con una Estrategia Nacional de Ciberseguridad a la manera de naciones como Reino Unido, Israel o , aunque Allison Treppel, secretaria ejecutiva del Comité Interamericano contra el Terrorismo (Cicte) de la OEA, y Miguel Porrúa, coordinador del Clúster de Gobierno Digital en la División de Capacidad Institucional del Estado en el BID admiten que los países deben estar dispuestos a implementar las disposiciones de la estrategia.

“México seguramente tendría sus razones para implementar o no esta estrategia en 2017, pero es importante recalcar que una estrategia no está escrita en piedra, debe ser un documento vivo, flexible, ajustado a la realidad cambiante. Típicamente, una estrategia tiene una validez de entre tres y cinco años, entonces tampoco sería sorprendente si México decidiera revisar o estudiar nuevamente su estrategia, pero eso es decisión del gobierno mexicano”, dijo Allison Treppel en entrevista.

El informe de la OEA y el BID analiza la madurez de la ciberseguridad en los 32 países que integran la region de América Latina y el Caribe de acuerdo con cinco dimensiones:    

  1. Política y Estrategia de Ciberseguridad
  2. Cultura Cibernética y Sociedad 
  3. Educación, Capacitación y Habilidades en Ciberseguridad
  4. Marcos legales y regulatorios
  5. Estándares, Organizaciones y tecnologías

Dependiendo de las acciones que tomen los países respecto de estas dimensiones, la medición establece un nivel de madurez de la capacidad de ciberseguridad que va de la etapa inicial, pasando por la formativa, la consolidada, la estratégica hasta llegar a la dinámica.

México avanza en madurez

Según el estudio, México cuenta con un nivel de madurez promedio de dos, es decir formativo, en las dimensiones Cultura y sociedad y Educación, capacitación y habilidades. A la vez, el país ha obtenido un puntaje inferior a dos en las dimensiones de “Política y estrategia” y “Estándares, organizaciones y tecnologías”. El informe destaca que en la dimensión de “Marcos Legales y Regulatorios”, México tiene un nivel de madurez de entre dos y tres, con lo que estaría entrando a la etapa consolidada en materia de marcos legislativos.

“México ha logrado avances muy importantes. En el año 2017 lanzó su estrategia nacional de ciberseguridad y ahora México es uno de 12 países que cuentan con una política nacional en materia de ciberseguridad para fomentar una sociedad digital segura”, dijo Treppel, para quien además México está desarrollando muy activamente sus Equipos de Respuesta a Emergencias de Ciberseguridad o CERT, entre los que las organizaciones enumeran al CERT-MX, de la Guardia Nacional, de tipo nacional y a los CSIRT de la Secretaría de la Defensa y de la Secretaría de Marina, de tipo militar. El informe deja fuera al CERT de la UNAM, que es de tipo académico.

Pero la Estrategia Nacional de Ciberseguridad de la que hablan la OEA y el BID en su informe y en la que en buena medida están basados los resultados del reporte que hicieron ambas organizaciones no ha salido del papel y tampoco se ha convertido en una política de Estado, como recomendó Miguel Porrúa, para quien algo importante ha sido que los participantes de la estrategia, es decir el gobierno, la iniciativa privada y la sociedad civil sepan que esta estrategia existe y que hay que contribuir a ella. 

“Cada gobierno tiene la posibilidad de darle su visión, darle su matiz. Hay la oportunidad, con el nuevo gobierno, de avanzar aun más con base en ese marco que ya existe y que está bien concebido y bien diseñado”, dijo.

“Se elabora nueva estrategia”: Trend Micro

En su informe sobre su Estrategia Nacional de Seguridad Pública para 2019, la Secretaría de Seguridad y Protección Ciudadana presume que el Centro Nacional de Inteligencia (CNI) analizó un proyecto de iniciativa de ley en materia de ciberseguridad. El CNI recomendó que se estableciera un grupo de trabajo para “enriquecer el proyecto”. Desde diciembre de 2019, este proyecto radica en la Consejería Jurídica de la Presidencia de la República.    

Juan Pablo Castro, director de Tecnología y Estrategias de Ciberseguridad en América Latina para Trend Micro y quien además lidera las alianzas que la compañía de ciberseguridad estadounidense ha establecido con la OEA y con la Interpol para la región latinoamericana, coincidió en que la Estrategia Nacional de Ciberseguridad de 2017 estuvo marcada por el cambio de administración y añadió que el gobierno del presidente Andrés Manuel López Obrador “tiene un nuevo enfoque por lo que se está elaborando una nueva estrategia”.

“Nosotros seguimos trabajando a nivel de colaboración con entidades específicas, como la Policía Cibernética y la División Científica mientras se elabora la estrategia y se pone en práctica”, dijo Castro en entrevista.

Tanto la OEA, como el BID aseguraron que mantienen la colaboración con las autoridades mexicanas. Miguel Porrúa dijo que “el BID ha tenido contacto con la Comisión Nacional de Seguridad, con la  “comisión de agenda digital de la presidencia de la República y con la Secretaría de la Función Pública, donde está la división de gobierno digital”.

Porrúa cree que sigue habiendo un proceso de transición institucional dentro de estas entidades, lo que hace complejo el abordaje de una Estrategia Nacional de Ciberseguridad

El directivo del BID añadió que México debe poner sobre la mesa que el mundo de la ciberseguridad está enfrentando a una industria de atacantes, con dinero y que está organizada y que para contrarrestar a esta industria, el país debe equiparse bien e invertir en recursos.

“El costo de no invertir en tecnología está bastante estudiado, anda entre .5 y 1% del PIB de la economía de cualquier país. La inversión en la agenda digital es de las más rentables del país”, dijo. 

Crear una arquitectura institucional que coordine la ciberseguridad y el fortalecer a las instituciones con recursos materiales y humanos son las recomendaciones en las que coinciden los especialistas de la OEA, el BID y  Trend Micro para que todos los sectores de la economía mexicana puedan responder a las amenazas de seguridad cibernética.

“Falta mucho a nivel regional. Fácilmente podríamos decir que todos los países deberían destinar más recursos a mejorar su resiliencia. Es un gran desafío convencer a los países que deberían invertir en medidas preventivas. México debería estar destinando más recursos, más atención, a proteger su infraestructura crítica”, dijo Allison Treppel.

Con información de El Economista

Temen más a ciberataque que a Covid

A 70% de las instituciones financieras les preocupa el tema cibernético y tecnológico, siendo el principal riesgo no financiero al que temen en medio de la pandemia, incluso por arriba de una segunda ola de Covid-19, de acuerdo con el Reporte de Estabilidad Financiera de Banco de México (Banxico) de junio.

El documento señala que, conforme al Comité Especializado de Seguridad de la Información, órgano consultor del Consejo de Seguridad Nacional, durante los meses de contingencia sanitaria por la pandemia de Covid-19, el número de ciberataques a empresas, instituciones gubernamentales y personas a escala mundial se ha incrementado hasta 400%.

“Con el cierre y la limitación de algunos canales físicos, los bancos se han visto obligados a mejorar sus canales digitales como alternativas y, al mismo tiempo, deben garantizar la calidad del servicio, reforzar la seguridad de la información, evitar saturaciones o caídas en los sistemas como consecuencia del aumento de la banca en línea”, comentó Dean Coclin, director senior de Desarrollo de Negocios en DigiCert.

Un estudio elaborado por Visa destaca que el número de transacciones en línea frente a las realizadas en persona fue 5.8 veces mayor en mayo pasado respecto al promedio de enero y febrero de este año, lo que demuestra el incremento en el uso del comercio electrónico por parte de los tarjetahabientes de América Latina durante el periodo analizado de la pandemia.

“Esta situación ha generado que los clientes bancarios sean el objetivo para los ciberdelincuentes”, subrayó Coclin.

21jul2020-ciberseguridad.gif

Intentos de ataques

Por otra parte, el estudio Fortinet Threat Intelligence Insider Latin America encontró que México sufrió más de 2.1 billones de intentos de ciberataques durante el primer trimestre del año, y se alcanzó un promedio de alrededor de 600 nuevas campañas de phishing por día durante marzo.

Yair Lelis, especialista en ciberseguridad de Cisco México, explicó que el phishing busca que, a través del uso de ingeniería social, la gente comprometa sus datos bancarios tras recibir un correo electrónico.

Sin embargo, destacó que las instituciones financieras han hecho un gran esfuerzo acelerando procesos y su arquitectura de ciberseguridad durante la pandemia.

Añadió que los bancos preparan planes de respuesta y no solamente buscan ser reactivos, sino proyectar cómo responder a cualquier tipo de ataque cibernético.

Con información de El Universal Carla Martínez