Mientras crece el uso de las billeteras virtuales, que se transformaron en una herramienta habitual para hacer y recibir pagos y toda clase de operaciones, también se extendieron las artimañas de los ciberdelincuentes para hacer fraudes y estafas de toda clase. La facilidad para abrir y operar una cuenta en una billetera en una fintech, a menudo combinando su uso con cuentas y tarjetas bancarias, expone a algunos riesgos que obligan a los usuarios y a las empresas a tomar precauciones.
En las fintech coinciden que la estafa más común es el phishing, o engaño a través del cual un delincuente se hace pasar por asesor o representante de una empresa mediante técnicas de “ingeniería social”, el nombre que recibe en estos tiempos el tradicional “cuento del tío”. Los mecanismos son múltiples, con contactos por Whatsapp, redes sociales o por teléfono, en general con información previamente obtenida en Internet.
“Es el intento de estafa más común”, señaló el Diego Reyes, del área de Seguridad de Naranja X. “Es importante no confiar en la foto ni en la descripción del Whatsapp del número que los contacte, ya que normalmente ponen el logo de Naranja X y una descripción como ‘Mesa de ayuda’ para hacer más convincente el engaño. También están ‘a la pesca’ en redes sociales viendo si alguien pregunta algo en las cuentas oficiales de la empresa y luego se los contacta por privado para “asesorarlo”, haciéndose pasar por empleado de la compañía”, agregó.
La intención del supuesto asesor es robarle los datos personales y cualquier otra información sensible para acceder a la cuenta del cliente. Los delincuentes montan falsos call centers destinados a ese fin, con diferentes mecanismos.
En Modo, la billetera digital de los bancos, repasan otras formas de engaño: falsos concursos o premios a través de WhatsApp, con el agregado de que la víctima viralice el mensaje a usuarios conocidos; la creación de perfiles falsos en redes sociales utilizados para comunicarse en nombre de una entidad financiera o los robos de cuentas de Whatsapp a través de “ingeniería social”, que termina en el pedido de dinero a sus contactos. También mencionan la suplantación de la tarjeta SIM del celular, que añadida a algún engaño a su dueño “permite generar desde préstamos hasta pedidos de dinero a los contactos para romper barreras de seguridad” de las aplicaciones.
Según Lucas Paus, director de seguridad de Modo, la primera medida de seguridad está ligada “al proceso de validación de identidad con una prueba de vida, donde comprobamos que el usuario sea realmente quien dice ser. Esta validación es requerida en cada nuevo dispositivo evitando así problemas de robo de identidad”. La app posee “distintas validaciones que no permiten su ejecución en dispositivos hackeados y comunicaciones cifradas para que no se puedan interceptar. Contamos con un ingreso seguro respaldado por biometría o teclado que produce bloqueos ante intentos fallidos de adivinar la contraseña.
Otra medida de seguridad que poseen varias apps es la anulación de la tarjeta a través de la misma app, para prevenir fraudes. Es el caso de Banco del Sol: “En el caso de extravío de la tarjeta, ofrecemos la posibilidad de pausar temporalmente la tarjeta desde la app, permitiendo reactivarla cuando el cliente lo desee”, señaló Javier Tepedino, Jefe de Seguridad de la Información de la entidad. Ante una denuncia del cliente vía el chat de la app, whatsapp, mail o teléfono, es posible “desvincular los dispositivos móviles a los que esté asociada la aplicación. Una vez realizadas esas acciones, el cliente puede vincular un nuevo equipo y en el mismo momento acceder a una tarjeta de débito virtual para poder seguir operando”, agregó Tepedino.
En Latinoamérica, el phishing es uno de los delitos más comunes en el sector financiero y es especialmente peligroso para los usuarios de servicios financieros digitales que a menudo realizan transacciones en línea. “Para cuantificar el alcance que tienen estas prácticas, entre los años 2018 y 2020, el 49% de las empresas que brindan servicios fintech en la región ha sido víctima de algún tipo de delito financiero”, comparte Juan José Behrend, Head de Infra y Ciberseguridad en Pomelo, empresa argentina que provee tecnología a fintech de toda la región. “Por esto, todo el trabajo que realizamos como parte de la estrategia de seguridad y prevención de fraude es estratégico para cada una de las soluciones que ofrecemos,” agregó.
Qué debe hacer el usuario
La primera precaución que debe tomar el usuario de una billetera virtual, como es natural, comienza en la contraseña, que no debe tener datos personales ni números correlativos, y tiene que ser única para cada aplicación, además de modificarse en forma periódica. Nunca deben compartirse, al igual que los códigos de verificación que se reciben por mail, SMS o cualquier otra vía, o los números completos de una tarjeta de crédito o débito.
La clave para operar una cuenta nunca puede ser pedida por teléfono. Las contraseñas deben ser reforzadas con identificación biométrica o un segundo factor de autenticación. Esto último es crucial en el caso del Whatsapp: activar un simple código numérico, algo que lleva menos de un minuto, sirve como resguardo para evitar muchos delitos.
En Ualá recomiendan “desconfiar de toda comunicación que contenga links sospechosos y/o que nos pida las claves o cualquier otra información confidencial e ignorar llamadas o mensajes de WhatsApp de supuestos empleados de tu entidad financiera pidiendo datos personales o sensibles”.
A la hora de crear el usuario y contraseña, el sistema permite “enviar un segundo factor de autenticación por SMS cuando las personas se registran. Además, cuando una persona hace un cambio de teléfono, no sólo se le pide usuario, contraseña y SMS, sino que también se le solicita una validación biométrica como otro factor de autenticación”, explicó Won Kil Park, Gerente de Seguridad de la Información de Ualá.
La app lanzó la campaña “Si en la vida real no lo hacés, online tampoco lo hagas”, con información sobre seguridad y prevención de fraudes vinculada a transferencias, cash in, phishing y robo de contraseñas. “Buscamos mostrar que la misma precaución que tenemos en el mundo físico, en donde por ejemplo no le damos los datos de la tarjeta a un desconocido, debemos tenerla en el mundo digital”, señaló Park.
Al momento de realizar una compra online, Ualá recomienda chequear que la dirección de la web sea la oficial y que se trate de un sitio seguro. Lo mismo ocurre con los perfiles de redes sociales. “Fechas especiales como Hot Sale, Cyber Monday, Black Friday, o cercanas a Navidad y festejos como Día de la Madre y el Padre son ideales para las campañas de anuncios, mails con ofertas y grandes descuentos engañosos y son muy usadas por ciberdelincuentes”, agregaron en Ualá.
En Mercado Pago añaden como recomendación central activar todos los factores de seguridad tanto del teléfono como de la cuenta. Para fortalecer el método de seguridad de la cuenta de cada usuario, se recomienda activar la verificación en dos pasos que sirve para asegurar que el titular está usando la cuenta que declaró.
Dentro de las opciones que el usuario puede elegir para bloquear la cuenta, sugieren usar el reconocimiento facial como método principal, y prestar especial atención a los códigos de verificación que se reciben por SMS o WhatsApp, para corroborar siempre que el mensaje coincida con la operación que se está haciendo en tu cuenta. Además, el método utilizado para desbloquear la pantalla del celular (huella digital, reconocimiento facial, PIN o patrón) también es solicitado para operar en Mercado Pago.
¿Qué hacer en caso de perder el celular? La primera recomendación es ingresar de inmediato a la web de Mercado Pago y solicitar el bloqueo preventivo de la cuenta. A partir de allí, si el ladrón intenta ingresar a la cuenta la aplicación le exigirá reconocimiento facial. Además de tener activadas las formas de bloqueo del celular, Mercado Pago ofrece otra herramienta: la “persona de confianza”. Se pueden designar hasta cinco amigos o familiares para reportar el robo o pérdida del dispositivo. Si un tercero informa el robo, se cierran todas las sesiones y se desvinculan todos los dispositivos para que nadie tenga acceso.
Si bien en todas las billeteras virtuales se enfatiza la necesidad de activar la identificación por biometría, ligado a los mecanismos del celular, el avance de la ciberdelincuencia hace que en algunos casos ni siquiera esa herramienta sea suficiente. En Veritran, una empresa de soluciones digitales para el sector financiero, explican que la “biometría 2D tiene debilidades y puede ser vulnerada fácilmente”. Recomiendan que las empresas utilicen “la biometría 3D que brinda una mayor capa de seguridad capaz de validar la identidad de una persona y realizar una prueba de vida de manera sencilla y en apenas segundos”. Los dispositivos con esa tecnología permiten evaluar si lo que tienen delante suyo es un teléfono , es decir, una pantalla, o una persona. Así, detectan identidades falsas generadas a partir de inteligencia artificial, otra de las formas de iniciar un ciberdelito.
Seguí leyendo: