La entrada en vigor de la directiva europea PSD2 lo hacía el 1 de enero provocando el colapso de las ventas online, que veía caer sus cifras por un retraso en la adaptación de los comercios a la autenticación reforzada. Los controles de seguridad tienen también un impacto negativo en la experiencia de los usuarios, que los perciben complicados y hasta una pérdida de tiempo. Sin embargo, son más necesarios que nunca.
Cuanto mayor es nuestra dependencia de la digitalización en nuestro día a día, mayor es la amenaza en la red. Con las restricciones a la movilidad y el teletrabajo y el consiguiente incremento de los usos tecnológicos, los ciberataques han aumentado un 600% durante la pandemia, alerta el director del Observatorio Español de Internet, Francisco Canals. Son “los delitos del futuro”, sostiene.
De hecho, según las predicciones sobre la ciberseguridad en 2021 de Fujitsu, el 5G traerá consigo potenciales vulnerabilidades; a medida que madure y las empresas de telecomunicaciones continúen delegando en esta nueva tecnología, también aumentarán los problemas de seguridad.
La autenticación reforzada que regula la PSD ”normativa de la doble autenticación aumenta el grado de protección del consumidor y la confianza de éste en las transacciones en internet y, por lo tanto, es positivo. Sin duda alguna, esto va a modificar los patrones del fraude actual y esto beneficia tanto al consumidor como a las empresas que venden por internet, ya que estas tienen que hacerse responsables de la mayoría de los fraudes que se producen en las plataformas de ecommerce”, indica Carlos López, director del Máster en Ciberseguridad de ESIC Business & Marketing School.
Los riesgos de la banca
El nivel de amenaza “es altísimo”, coincide Mario Sol Muntañola, director del Máster IT+IP de Esade. Los incidentes en materia de ciberseguridad “se suceden de forma alarmante y las unidades policiales encargadas de su represión están colapsadas. Sin embargo, la seguridad de la banca electrónica es alta y eficiente”.
De poco sirve que las entidades financieras inviertan en el desarrollo de sistemas de seguridad mejorados si un cliente contesta a un mensaje sospechoso donde se requiere su usuario y contraseña de banca electrónica. Tras el incremento específico de los ataques de phishing a las entidades financieras españolas detectado por la empresa de ciberseguridad ESET en 2020 aparecen descuidos de los propios usuarios que, facilitando datos personales, inhabilitan las barreras levantadas para hacerles frente.
La protección es cosa de dos
Desde Abanca trabajan para proteger a sus clientes de este tipo de delitos, involucrándolos en su propia seguridad. En su página web enseñan a detectar el envío de correos falsos o phishing que intenta suplantar a una entidad reconocida para robar información personal o bancaria. Direcciones de email similares a la original, errores gramaticales o solicitudes del número de cuenta o de tarjeta son indicios inequívocos de fraude.
Igualmente, ofrecen una serie de consejos que incrementan la protección de forma exponencial y que conviene no olvidar, como acostumbrarse a actualizar el navegador para que incorpore las últimas mejoras en seguridad, usar siempre una red fiable en casa o el trabajo, mantener el ordenador libre de virus, utilizar buenas contraseñas y recordar que Abanca nunca le va a mandar correos desde los que acceder a la web de banca electrónica.
Por su parte, la entidad trabaja en el desarrollo de medidas de seguridad y mecanismos de prevención, detección y bloqueo de los ciberataques. La monitorización minuto a minuto de las operaciones para detectar movimientos irregulares, el sistema de alertas que avisa en el teléfono móvil de cualquier actividad inusual en la cuenta o tarjetas, los protocolos de transmisión de información seguros, la autenticación de las compras por internet o la exigencia de la firma en operaciones de riesgo son algunas de las herramientas empleadas para reducir al máximo los riesgos.
Con este mismo objetivo, si un cliente acumula varios fallos consecutivos o se demora en una operación, la banca electrónica se bloquea y el propio sistema, que ha tomado esta medida preventiva para proteger la cuenta, facilita un nuevo PIN tras verificar la identidad.
Asimismo, ante un extravío y para evitar trámites innecesarios, la banca móvil permite apagar la tarjeta durante su búsqueda y, si el usuario logra encontrarla, encenderla de nuevo sin haber sido necesario darla de baja.
Tarjetas virtuales y prepago
Abanca dispone, además, de una tarjeta virtual que reduce las posibilidades de fraude en las compras online al mínimo. Mínimo importe y mínima oportunidad para cometer un delito. Basta con acceder desde la banca electrónica a Tarjetas, seleccionar la opción Dar de alta la tarjeta virtual, ponerle un nombre –relacionado, por ejemplo, con el fin para el que ha sido creada–, seleccionar el importe total que se desea pagar con ella y ponerle fecha de caducidad, que será de uno o dos meses.
Este método gratuito está pensado para aquellas personas que no desean facilitar los datos de su tarjeta de crédito o débito especialmente cuando se compra online en comercios poco conocidos. Por lo demás, el usuario no notará la diferencia. La entidad le facilitará su número y su código de seguridad (CVV) para operar. Si ha de hacer una devolución y la tarjeta virtual ha caducado no hay problema; el ingreso se hará en su cuenta.
Del mismo modo, la tarjeta prepago limita el riesgo al dinero disponible y puede utilizarse como cualquier otra: para retirar efectivo, para pagar en comercios y también para hacer compras online. Una vez se acabe el saldo, se puede recargar fácilmente cuantas veces se desee.
Amenazas en el móvil
Un smartphone ofrece las mismas prestaciones que un ordenador y, por ello, acarrea los mismos riesgos. El más común es el malware, un peligro que aparece a medida que se añaden aplicaciones y programas de terceros en el móvil y que se manifiesta con diversos nombres y maneras de actuar, pero que comparten un mismo objetivo: obtener los datos confidenciales que almacena o modificar el comportamiento del dispositivo.
El malwarepara banca móvil es un programa diseñado específicamente para hacerse con los datos de acceso a la cuenta bancaria del usuario –identificación y contraseña– para sacar efectivo, hacer pagos o transferir dinero hasta que la víctima se dé cuenta del robo. Por eso es importante prestar atención a los mensajes de confirmación de las operaciones que se reciben por SMS o por OTP; cualquier alteración podría ser un indicio de estafa.
Abanca aconseja tomar con el smartphone las mismas precauciones que con el ordenador, prestando especial atención al acceso a la banca móvil solo a través de las webs y apps oficiales de los bancos y a la instalación de aplicaciones únicamente desde las tiendas de Google Play para Android y App Store de Apple. Y, por supuesto, sin olvidar las copias de seguridad y el bloqueo de pantalla.
Por su parte, la entidad tiene activados mecanismos para detectar estos intentos de fraude, bloquear operaciones sospechosas y gestionar el cierre de sitios web que suplantan su identidad, medidas para las que la colaboración de los clientes resulta de gran ayuda.
Identidad y contraseñas
El método más frecuente y sencillo para robar datos bancarios, el phishing, es también el que más se emplea en el robo o suplantación de identidad. En este caso, la solución se complica y requiere de las preceptivas denuncias a la policía y a la Asociación Española de Protección de Datos y su inclusión en el fichero DER (fichero de documentación extraviada, robada y de autoinclusión).
Antes de llegar a este extremo, lo más efectivo es la prevención. Cuando un usuario está operando en la app o la web de Abanca, además de los datos de la tarjeta, la entidad solicita sus claves de banca a distancia y, para validar operaciones de envío de dinero que requieren de mayor seguridad, remite una clave al móvil.
A sus clientes les sugiere que no compartan datos personales en sus redes sociales y que refuercen sus contraseñas.
Necesidades específicas de pymes y autónomos
Pymes y autónomos están más expuestas que las grandes empresas a los ciberataques. Francisco Lázaro Anguis, director del Máster en Ciberseguridad de IEBS, explica que las amenazas las afectan por igual, pero “ese parejo nivel no se da con sus capacidades de prevención, detección y respuesta”. Las grandes empresas tienen “sistemas actualizados, antivirus, responsables y especialistas en ciberseguridad, en formación y concienciación en esta materia, entre otras muchas salvaguardas”. En cambio, las empresas pequeñas “suelen confiar su informática en manos de terceros también ajustados en dimensiones y capacidades, y a menudo dedican un escaso presupuesto a partidas de mantenimiento que no les aporte una funcionalidad visible”.
Los fraudes más habituales contra microempresas, pymes y autónomos son los basados en suplantación de identidad, explica Lázaro Anguis. Dos de los ataques que más éxito tienen se dirigen contra el factor humano: el phishing y el aprovechamiento de las credenciales reutilizadas por un usuario. En el primer caso, el ciberdelincuente se hace pasar por una empresa cliente, un proveedor o un organismo público; en el caso del prevalecimiento de las credenciales recicladas, el ataque se beneficia de la obtención de la identificación en distintos sitios de internet. “En realidad, junto con el cifrado de equipos y la exigencia de un rescate, este par de fraudes son también los más comunes en grandes empresas”, explica.
Concebir la ciberseguridad como un gasto más que como una inversión es un error frecuente entre pymes y autónomos, pero el coste de no poder seguir operando con normalidad puede llegar a ser más alto que el requerido por un sistema de protección ante los ciberataques.
Abanca recomienda que tengan al menos un cortafuegos o firewall como primera línea de defensa. Asimismo, destaca la idoneidad de contar con un protocolo de actuación para saber cómo reaccionar ante estos delitos y de ofrecer formación periódica a los empleados para que aprendan a identificar estos ataques.
Porque, cuanto más difícil lo tengan los ciberdelincuentes, mejor será la experiencia de particulares y empresas en la inevitable y deseable avance de las tecnologías en nuestro día a día.
Source link