Campaña para combatir
el fraude Electrónico

#CortemosConElFraude
LinkedIn
WhatsApp

Si ya fuiste víctima de una estafa o fraude Electrónico
COMUNICATE CON EL RESPONSABLE DE TU BANCO

Problemática


No es novedad afirmar que en el último tiempo los casos de estafas o fraudes relacionados a las entidades bancarias han crecido de forma exponencial. Si bien no existen estadísticas centralizadas a nivel nacional que permitan saber el verdadero estado de situación, de acuerdo a nuestros reportes y a los índices informados por distintas organizaciones, los casos se han duplicado y en algunos casos hasta triplicado. En un contexto de la pandemia, donde muchas personas fueron obligadas a sumarse a los canales electrónicos, los delincuentes aprovechan para captar cada vez más víctimas.

Estas estafas utilizan en su mayoría técnicas de Ingeniería Social (el "Cuento del Tío" en el mundo virtual) para engañar a las víctimas, ya sea a través de la excusa de haber ganado algún premio de un programa de televisión, órdenes de compra para supermercados conocidos, hasta casos de la compra falsa de productos en Internet, entre otras tantas posibilidades que son aprovechadas por los ciberdelincuentes.

En relación a los medios o canales a través de los que se están llevando adelante estos delitos, normalmente se utiliza:

  • el correo electrónico, las redes sociales o los mensajeros como Whatsapp (Phishing);
  • los mensajes de texto via SMS/MMS (Smishing)
  • llamadas telefónicas mediante voz (Vishing) y;
  • en algunos casos, presencia física de alguna persona que participa del acto delictivo.

Las denuncias por estafas bancarias crecieron en un 3.000% en la Argentina durante el 2020 y el 28% de los argentinos recibió una estafa bancaria a través de correo electrónico.

Propuesta


En este escenario, y como profesionales de la Seguridad de la Información, queremos expresar a través de la presente campaña, una serie de recomendaciones y medidas de seguridad que podrían implementarse por parte de las entidades bancarias y financieras, a fin de dificultar las maniobras engañosas de los delincuentes y, en consecuencia, sumar seguridad para los ciudadanos.


Consideramos que las medidas sugeridas son razonables y perfectamente realizables, por lo que invitamos al Banco Central de la República Argentina (BCRA) o cualquier Organismo Público que tenga interés en cooperar, a tomar en consideración y regular a través de la norma jurídica que corresponda (por ejemplo con una actualización a la COMUNICACIÓN "A" 6894 de fecha 07/02/2020 y/o modificación de la COMUNICACIÓN "A" 4609 -y relacionadas- ) la inclusión de las mismas. Así se busca generan la obligación legal de adoptar algunas de estas medidas por parte de resto de las entidades bancarias y financieras.

Además, las entidades interesadas en mejorar el nivel de detección de estos delitos, podrían adoptar voluntariamente algunas de las medidas, demostrando un real interés en cuidar a sus clientes y cooperar en la disminución de delitos relacionados a sus propias organizaciones.

Si bien el BCRA ha publicado una serie de recomendaciones para prevenir estafas virtuales, las mismas no dejan de ser una formalidad con expresiones de deseo, que distan de la comprensión de un usuario normal. Si existiera una verdadera búsqueda de prevención, deberían realizase a través de la generación de campañas de concientización a nivel masivo. Por eso buscamos la capacitación de los usuarios finales y hacemos foco en la responsabilidad de las propias entidades bancarias, al momento de la implementación y control de medidas de seguridad.

EL FRAUDE ELECTRÓNICO
ES UN PROBLEMA DE TODOS

Medidas de Seguridad de la Información sugeridas para las Entidades Bancarias

Detección de accesos sospechosos


Esta medida consiste en que, al momento del acceso (login) por parte del usuario en el Home Banking, detectar si los registros utilizados (IPs, tipo de dispositivo, ubicación, horario, entre otros) pertenece a conexiones frecuentes del usuario. En el caso de una detección positiva, recomendamos permitir su acceso al Home Banking, pero restringir la realización de acciones que afecten gravemente el patrimonio del usuario (por ejemplo, transferencias inmediatas y préstamos pre-aprobados). Para el caso de ser una operación legítima, podría aplicarse cualquier mecanismo de validación extra de identidad e comucación al usuario.

En caso de que la entidad bancaria ya tenga implementado este tipo de medidas de seguridad, sugerimos avanzar sobre la transparencia acerca de la existencia de consecuencias negativas, que tengan por finalidad la protección del patrimonio del cliente. En muchos casos, existen sistemas de detección de accesos sospechosos, pero no son correctamente monitoreados o controlados por parte del responsable de dicho sistema. Podría estar sucediendo que las entidades ya posean implementados dichos controles, pero que sus alertas sean ignoradas o aceptadas -asumiendo el riesgo inherente a dicha operación-, en detrimento de la seguridad del cliente.

Detección de operaciones sospechosas


Otro comportamiento que podría detectarse a nivel de sistemas y considerarse "sospechoso", es la maniobra técnica clásica que suele ocurrir en las estafas que nos ocupan y preocupan. Esto es, la existencia de un acceso electrónico o por cajero, seguido de un pedido de un crédito pre-aprobado y la posterior realización de una transferencia en un plazo de tiempo acotado (por ejemplo, dentro de las 24 hs) a una cuenta de destino a la que nunca se realizó transferencia antes. Ante la detección positiva de esta serie de comportamientos, sugerimos dejar dicha transacción sujeta a revisión manual por parte de operaciones de la entidad o bien, que su acreditación definitiva quede sujeta a confirmación del cliente con algún tipo de verificación positiva de identidad y de confirmación de la voluntad de haber solicitado el crédito de forma fehaciente.

En caso de que la entidad bancaria ya tenga implementado este tipo de medidas de seguridad, al igual que el caso anterior, sugerimos avanzar sobre la transparencia acerca de la existencia de controles.

Generación de un centro de atención de incidentes


Conscientes que, aún tomando mayores medidas de seguridad y restricciones, las estafas continuarán ocurriendo y afectando miles de víctimas, entendemos la necesidad de la existencia de la generación de un "Centro de Atención de Incidentes", que permita que una vez ocurrido el hecho, que la víctima pueda comunicarse de forma inmediata con su entidad bancaria a fin de denunciar el hecho sucedido. Sugerimos que dicho Centro de Atención de Incidentes pueda estar gestionado por el propio BCRA o bien, por otra entidad pública o privada que permita garantizar la transparencia de las denuncias recibidas.

En estos centros de atención, las víctimas deberían poder acudir personal o virtualmente, a fin de realizar la denuncia correspondiente, aportando las pruebas que tengan, y obteniendo algún comprobante del descargo realizado sobre los hechos acontecidos. En dicha recepción, deberían arbitrarse los medios adecuados para congelar rápidamente la cuenta destinataria de los fondos que fueron retirados ilícitamente por los delincuentes, por lo que debería contarse con cierto nivel de celeridad y agilidad que permita que ante la denuncia concreta de la víctima se disparen dichas acciones tendientes a proteger el patrimonio de la víctima.

Asimismo, consideramos que las entidades bancarias comprenden el riesgo que asumen al brindar sus propios servicios, por lo que creemos como adecuada que en principio se disponga la restitución del dinero extraído ilícitamente al cliente afectado, sujeto a la posterior existencia de investigaciones internas que comprueben los hechos relatados por la víctima al momento de la denuncia.

Finalmente, sabemos y comprendemos la existencia actual de CSIRT privados y gubernamentales, pero lejos están los mismos de brindar el servicio con la inmediatez requerida en este tipo de acciones. El delito ocurre de forma "inmediata" y así debería ser la respuesta.

.

Cooperación con el cliente afectado


Ante el reclamo concreto y formal de la víctima, y en concordancia con lo dispuesto por la normativa en materia de Protección de Datos Personales (en particular, el derecho de acceso a la información propia -Hábeas Data-), las entidades bancarias deberían colaborar y suministrar toda la información técnica existente en sus sistemas, en relación con accesos indebidos a la cuenta del cliente, informando los dispositivos utilizados, direcciones IP de conexión, CBU/Titular de las cuentas destinatarias, entre otros datos que sean considerados de utilidad, para que la justicia pueda avanzar con sus propias investigaciones del delito. También consideramos que deberían llevar adelante las diligencias investigativas internas pertinentes a fin de apoyar a sus clientes.

Consejos


Atendiendo que la regularización de las medidas de seguridad escapa a nuestras posibilidades, toda vez que no somos más que un grupo de profesionales de la seguridad de la información que es consciente de la problemática social actual, y atentos a que su efectiva regularización e implementación podría llevar un tiempo, queremos finalizar dejando una serie de recomendaciones de seguridad de la información a tener en cuenta para la población en general.

Nunca brindar información sobre nuestras cuentas telefónicamente, ni a través de Whastapp o redes sociales.

Nunca ir a un cajero automático por indicación de una persona que nos promete algún premio o beneficio.

En caso de sufrir algún tipo de engaño, no borrar las conversaciones, llamadas o cualquier elemento que podría ser de interés para la investigación.

Anotar de forma cronológica todo lo sucedido, para poder identificar el Modus Operandi y las acciones realizadas.

Siempre realizar la denuncia en la fiscalía más cercana, aportando toda la información posible que sume a iniciar la investigación penal.

Siempre comunicarse con la entidad bancaria, reportando el caso y aportando toda la información posible que sume a iniciar una investigación interna.

Desde ODILA, recibimos reportes de casos reales para intentar reflejar mejor esta realidad. Si fuiste víctima de una estafa o fraude Electrónico (ya sea por correo, teléfono, redes sociales o SMS), te invitamos a reportarlo aquí.

Las entidades financieras nunca solicitan datos personales por ningún medio de comunicación.

Si ya fuiste víctima de una estafa o fraude Electrónico inicia el reclamo en el BCRA y COMUNICATE CON EL RESPONSABLE DE TU BANCO.

Ante un fraude virtual, comunicarse con la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI):

  • Dirección: Sarmiento 663, 6° Piso, CABA
  • Teléfono: (🇦🇷+54 11) 5071-0040 / 0041
  • Correo electrónico: [email protected]

ODILA Observatorio de Delitos Informáticos de Latinoamérica.

© 2021 ODILA.org