Segurilatam 013

Primer cuatrimestre 2020 39 artículo técnico Seguridad en Entidades Financieras de importe significativo. Muchos son los clientes a los que la utilización de este canal les facilita su relación con el banco. Pero esa facilidad requiere que los clientes custodien la tarjeta y pres- ten especial atención a la hora de mar- car el pin, así como que las entidades financieras sigan desarrollando, como hasta ahora, herramientas que detecten movimientos inhabituales en las cuen- tas de sus clientes. Paralelamente a lo que se ha dado en llamar “ingeniería social” con objetivos fraudulentos, o lo que es igual, “los mis- mos perros con distintos collares”, los sistemas informáticos de las empresas son objetivo de ciberdelincuentes con toda una batería de malware –desde la denegación de servicio al ransomware – con distintos y muy variados objetivos: económicos, reputacionales, espionaje empresarial o simplemente la consecu- ción de méritos. Sea como fuere, toda esta larga rela- ción de riesgos, amenazas y vulnerabili- dades (otro día hablaremos de las trans- ferencias instantáneas a nivel europeo) exigen de grandes inversiones en me- didas de seguridad, un panorama al que, lamentablemente, poco van a po- der ayudar los tipos de interés, actual- mente en negativo, origen de la fuente más importante de ingresos de las enti- dades financieras. El año pasado, cuando este artículo se publicó en la revista Seguritecnia , el Ministerio del Interior español hizo pú- blica una brillante operación de la Uni- dad de Delincuencia Económica y Fis- cal que, en colaboración con otras uni- dades policiales, puso fin a una trama de fraude a gran escala con la deten- ción de una banda internacional radi- cada en España. Las principales tipologías de ata- ques de esta banda consistían, en- tre otras, en el “fraude del CEO” (con- seguir que directivos contables de empresas realicen importantes trans- ferencias ordenadas –supues ta - mente– por el máximo dirigente de la compañía); transferencias fraudulen- tas (ordenadas por correos electróni- cos con la cuenta suplantada) desde las empresas víctimas a cuentas abier- tas previamente en España y otros países con documentación falsa; ata- ques man-in-the-middle (en los que el ciberdelincuente consigue leer, in- sertar y modificar a su voluntad las comunicaciones entre dos víctimas, procurando que ninguna de ellas de- tecte que ese enlace entre ambos ha sido vulnerado); y cartas nigerianas (una espectacular variedad de “ofer- tas”, participaciones en negocios del petróleo, premios millonarios de la lo- tería, herencias, etc.). Otro fraude clásico que les repor- taba pingües beneficios podría deno- minarse la estafa del cambio de cuenta beneficiaria. Hackeada la cuenta de co- rreo electrónico de una empresa pro- veedora de servicios, remitían al orga- nismo público o compañía un correo para que el pago de los servicios pres- tados no se realizara a la cuenta habi- tual, sino a otra previamente abierta en la misma o distinta entidad financiera con documentos falsos. La magnitud del botín puede dar una idea de la im- portancia del servicio policial: 25 millo- nes de euros en todo el mundo, más de 100 empresas afectadas, listados de contacto de más de 500.000 corpora- ciones españolas y cuentas de correo electrónico de 1.000 de estas compa- ñías con sus claves de acceso. Otros fraudes Habría que remontarse a mayo de 2018 para localizar otra importante opera- ción conjunta de la Policía Nacional es- pañola, los Mossos d’Esquadra catala- nes, la Policía de Rumanía, Europol y Eurojust contra el fraude (esta vez con un botín más discreto: ocho millones de euros). Fraudes mucho menos espectacula- res pero muy eficaces para los intereses de los delincuentes fueron hace años las llamadas telefónicas con el objetivo de conocer el pin tras haberse apode- rado en el buzón de correos domicilia- rio de la tarjeta renovada o los núme- ros de las conocidas como tarjetas de coordenadas para acceder a operar en banca telefónica. Hoy, la nueva versión digital de estas estafas se nos presenta a través de Internet, con la llegada de un correo electrónico con el diseño de una web del banco y un texto justifica- tivo o incluso amenazador para que se acceda a un enlace ( phishing , troyanos), donde le “renovarán” sus datos de au- tenticación; una maniobra que le per- mitirá conocer al delincuente los datos de la cuenta bancaria de la víctima. Hoy, los cajeros automáticos permi- ten todo tipo de operaciones, desde consultas del estado de nuestras inver- siones a ordenar transferencias o soli- citar e ingresar en la cuenta préstamos