Desde la llegada de la pandemia, la migración de distintas operaciones bancarias hacia métodos digitales se tornó una constante. A partir de una necesidad inaudita, entidades y usuarios comenzaron a interrelacionarse de manera remota, a través de diferentes canales.
Se trató de una solución a los desafíos sanitarios que impuso el Covid-19, pero también abrió las puertas a una modalidad delictiva que no era tan frecuente: las estafas a través del homebanking.
La operatoria más utilizada por los ciberdelincuentes es robar la identidad y claves de los clientes bancarios para ingresar a sus cuentas, pedir créditos, retirar el dinero y desaparecer. La víctima queda así con su saldo bancario en cero y una deuda por cancelar con la entidad.
Los asaltantes virtuales tienen dos maneras de hacerse de los datos de las víctimas:
En consecuencia, los clientes deben estar atentos, no dar información antes de certificar la identidad de su interlocutor y robustecer sus claves de acceso.
El aumento de los ataques al homebanking, de casi 3.000% en el último año, alertó primero a las entidades, que "inundaron" de correos a los usuarios advirtiéndoles sobre la proliferación de estafas digitales; y luego al Banco Central, que modificó en julio los requisitos para acceder a los créditos preaprobados.
Arturo Pozzali, defensor adjunto del Pueblo de la Ciudad de Buenos Aires y defensor del Cliente Bancario, asegura a iProUP que a partir de la pandemia les "empezaron a llegar muchas denuncias de gente a las que le vulneraban las contraseñas y les tomaban créditos".
"El año pasado comenzamos a enviar oficios y comunicaciones al Banco Central y a las entidades. Les dijimos: 'El sistema de otorgamiento de préstamos, como está armado, para la realidad actual, es problemático'", recuerda Pozzali.
Según el funcionario, la propuesta exigía que "los créditos preaprobados tuvieran un grado mayor de dificultad para la obtención. Sobre todo, porque el crecimiento de las denuncias de personas a las que no sólo le vaciaban la cuenta, sino que le sacaban un crédito, extraían el dinero y los dejaban endeudados".
"Son ataques de ingeniería social. Esto implica algún tipo de método de manipulación o engaño, en el que siempre el criminal se hace pasar por el banco y le ofrece a la víctima algo que necesita. Estas víctimas son captadas por las redes sociales en la mayoría de los casos", detalla a iProUP su parte Jorge Litvin, abogado especialista en cibercrimen y Chief Legal Officer en Resguarda.
De acuerdo con el experto, la operatoria es la siguiente:
Pero, más allá del engaño "personal", existe otra técnica utilizada por bandas delictivas: el phishing. Miguel Rodríguez, Director de Seguridad informática en Megatech, indica a iProUP que "usan emails y páginas web falsas: cuando el usuario hace clic en un enlace, los hackers obtienen los datos de ingreso a las cuentas bancarias".
Y asegura que "esta información luego es publicada en la dark web, que es donde se expone lo robado, como claves bancarias, datos de tarjetas de crédito, etcétera".
Una vez consumado el delito, los usuarios estafados se encuentran que, al ingresar a sus cuentas bancarias, el saldo está en cero y tienen una deuda con la entidad. A partir de ahí, deben iniciar un camino de denuncias penales y civiles para demostrar que fueron víctimas de un robo y evitar el pago, mes a mes, del préstamo que ellos no tomaron.
"Hay que seguir dos instancias distintas. Por un lado, la denuncia penal que se hace en la fiscalía o la comisaría, porque es un delito. Pero después a la gente le queda la problemática de pagar el crédito y eso no se resuelve en la justicia penal", advierte Pozzali, quien enumera los pasos a seguir:
"Cuando llegan este tipo de casos, interponemos una medida cautelar contra el banco, para que no debiten mes a mes las cuotas del préstamo que el usuario no generó", señala Litvin.
El abogado coincide con el Defensor del Pueblo en que "lo primero es la denuncia penal, con la que se le dice al juez civil que el cliente fue estafado". Señala que "en casi todos los casos le dieron la razón al usuario e impidieron que los bancos debiten las cuotas, por lo menos hasta que haya una resolución final de la causa penal".
"Como quizá no se encuentren a los autores, pero sí se determine que hubo un delito y que la víctima no pidió el préstamo, probablemente los bancos no puedan cobrarles a los usuarios", agrega. A raíz del incremento de este tipo de casos, el Banco Central modificó la operatoria a principios de julio.
"El crédito preaprobado existe, pero para otorgarlo el banco tiene que garantizar la identidad por otras vías y depositar el dinero 48 horas después, no de inmediato. La entidad tendrá ese tiempo para informar por los distintos canales que depositará la plata: si no la rechazás, te la acredita", señala Pozzali.
"Lo primero que trato de trasladar a las personas es que deben comprender que hay que cuidar la identidad. Es un activo: hay que comprender lo importante que es cuidarla", señala a iProUP Rodrigo López Guerra, CTO de Ixpandit Fintech Factory. Para ello, el directivo remarca que "la industria debe movilizarse en nuevos vectores de certificación de seguridad".
"Se podrían implementar nuevas medidas, como un DNI electrónico que ayude a identificar como tercer vector: debes tener la clave, el token y el DNI con el chip de la persona. O algunos datos difíciles de obtener", indica López Guerra.
Y añade: "Por ejemplo, si para validar la identidad se pidiese el número de trámite de DNI, es un dato difícil de robar si no tenés el documento. Puede ser que el día de mañana no sea un vector de defensa, pero hoy lo es, porque muy poca gente tiene acceso a ese dato", agrega.
Por otro lado, el CTO de Ixpandit plantea que las entidades podrían detectar el intento de estafa a partir del comportamiento anómalo del usuario en su homebanking. "Hay modelos estadísticos que deberían poder predecir con muy buena exactitud el comportamiento normal de una persona en su cuenta. Además, ya los utilizan los bancos para vender créditos", señala.
Según explicó Rodríguez, director de seguridad informática en Megatech, hay una serie de recomendaciones que los usuarios deben tener en cuenta para no ser víctimas de esta modalidad:
Además, para mejorar la seguridad de las cuentas bancarias, el experto recomienda:
Así, la mejor manera de resguardarse es operar llamando al banco o ingresando en el sitio o la aplicación de la entidad. Y proteger los datos personales y financieros. Y estar atentos porque los ciberdelincuentes hoy están más activos que nunca.