Página Siete

El robo de password o clave de  seguridad con ataques de la ciberdelincuencia  y la  venta libre de chips de celulares elevan el riesgo de sustracción  de dinero de cuentas bancarias a través de medios digitales, advierten expertos en seguridad y telecomunicaciones.

Ernesto Campohermoso Alcón,  ingeniero en sistemas y gerente general de Cirrus IT SRL, una empresa que se dedica al desarrollo de software para el sector financiero, explicó que la banca digital está muy desarrollada y en general es segura para las transacciones financieras.

Añadió que si hay algún robo a cuentas a través de medios digitales es por ataques a las personas de parte de  grupos delictivos.

Según Campohermoso, a nivel tecnológico se siguen estándares de seguridad, pero los usuarios tienden  a poner información  personal o sensible que puede servir para los ataques.

Uno de los  tipos de fraude financiero más común es el phishing que se puede dar   enviando un correo electrónico o un SMS  con un mensaje muy convincente que invita al usuario  a ingresar, mediante un enlace (link), a la supuesta página de su banco. Allí se pedirá al cliente que ingrese información personal con la cual  los delincuentes pueden cometer algún tipo de fraude.

Campohermoso refirió que la anterior semana se reportó un ataque de este tipo a la página web del Banco Nacional de Bolivia (BNB) y  en otra oportunidad ocurrió con el Bono contra el Hambre.

El experto aclaró que es muy difícil que cualquier funcionario en una entidad financiera pueda acceder en la base de datos a la contraseña o password.

“Es más factible la pérdida de contraseña en algún lado o que haya existido un ataque, por ejemplo, de phishing. Es común en los cafés internet que existan aparatos que registran todo lo que el usuario ha escrito en la computadora”, precisó.

Por eso el experto recomienda no acceder a cuentas o información sensible en estos sitios públicos. También se debe desconfiar de mensajes que llegan por Facebook, correo electrónico, WhassApp personal   supuestamente a nombre de un banco.

Por otra parte se debe evitar anotar en papelitos el nombre de usuario y contraseña o usar la misma clave para el banco, correo electrónico, cuenta de Netflix y otros servicios. Por seguridad, los usuarios deben cambiar frecuentemente el password.

“Es imposible que salga o se filtre información personal de los clientes de los bancos; es más común que el usuario  haya perdido la contraseña o sufrido un ataque”, subrayó. Esto porque en seguridad se manejan contraseñas cifradas y algoritmos matemáticos a los que es muy difícil que personal del banco acceda.

Campohermoso sostuvo que es probable que  las personas que realizan estos ataques  lo hagan hacia el Banco Unión porque es la entidad que maneja las cuentas de funcionarios públicos o de cualquier persona que realiza   trabajos para el Gobierno .

Es más fácil, dijo,  encontrar  alguna persona que  descuide su información en esa entidad.

Clifford Paravicini, exdirector de la Autoridad de Fiscalización en Telecomunicaciones (ATT),  opinó que la ciberdelincuencia se da modos para cometer delitos. Consideró que tanto la ASFI como la ATT deberían mejorar la regulación y las medidas de seguridad en favor de los usuarios.

Señaló que las empresas telefónicas venden los chips de celulares “como  tostado” y sin ningún control de la entidad reguladora en telecomunicaciones. Explicó que cuando estaba al frente de la entidad, en 2015, se estableció que ninguna empresa podía habilitar un teléfono, si no verificaba su identidad personal  y el IMEI del aparato.

“El operador que vende como tostado el chip y no registra el IMEI de la persona que lo compra está poniéndola en alto riesgo. Ahí empieza la ciberdelincuencia porque se puede comprar el  chip,  robar y botar el teléfono celular”, observó.

Añadió que en muchos sitios urbanos y en las fronteras se puede ver en los puestos los  chips de teléfonos de Chile, Perú y de Bolivia y se pueden comprar sin control. Pero en esos países o cualquier otro para habilitar un celular se exige el IME y el pasaporte   si la persona es extranjera.

“Se debe mejorar el control y el registro obligatorio  del IMEI de los teléfonos con la identidad de la persona. Además, anular los que no tienen registro con el carnet si la persona  es nacional o con el pasaporte si el ciudadano es extranjero”,  indicó.

Mensajes  y chips

Alerta Ernesto Campohermoso, ingeniero en sistemas,  señaló que una recomendación general para los usuarios del sistema financiero es desconfiar siempre   de mensajes que llegan por Facebook,   correo electrónico, WhassApp y    redes sociales que piden información personal a nombre de las entidades financieras porque los ataques de phishing se dan por esa vía.

Chip Para el experto llama la atención que la recuperación  de chips de teléfonos sea sencilla a través de cajeros habilitados por Tigo (Tigomatic), ya que sólo se necesita número del celular y del documento de identidad y no se pueda verificar si el cliente es la persona o que se pueda obtener esto en otras empresas sin que se verifique al cliente.

Hipertextual-Javier Márquez

Hackers que ejecutaron un ataque de phishing por más de seis meses olvidaron proteger las credenciales de autenticación robadas a miles de usuarios. En consecuencia, quedaron expuestas en la internet pública. Los nombres de usuario y contraseñas de las víctimas fueron indexados por Google.

Las firmas de ciberseguridad Check Point y Otorio descubrieron el modus operandi de los hackers. Los atacantes montaron una efectiva campaña de manipulación con la que lograron vulnerar los filtros de correo electrónico. Gracias a ello se hicieron con más de 1.000 credenciales de inicio de sesión de cuentas corporativas de Microsoft Office 365.

Un ataque sencillo, pero efectivo

Los hackers enviaron miles de correos electrónicos fraudulentos en los que se invitaba a la víctima a acceder a un documento escaneado en formato HTML. Para conseguir un mejor resultado, incluyeron el nombre de la empresa objetivo en el asunto; seguido de “Notification | via Xeros Scanner“.

Crédito: CheckPoint

Si el usuario caía en la trampa y descargaba un archivo adjunto en su ordenador, se mostraba un ventana con un documento borroso. Para acceder a él, se le solicitaba a la víctima que iniciara sesión con su cuenta de Microsoft Office 365. Para evitar sospechas, los hackers autocompletaban el correo electrónico y se solicitaba solo la contraseña.

Un código JavaScript que corría en segundo plano era el encargado de validar las contraseñas y enviarlas a los servidores de los hackers. Y con el fin de no ser descubiertos, automáticamente la víctima era redirigida a una página de inicio de sesión legítima.

Crédito: CheckPoint

De acuerdo al informe publicado por CheckPoint, los hackers también comprometieron la seguridad de servidores legítimos de WordPress. Desde el CMS los atacantes montaron las páginas PHP utilizadas para engañar a las víctimas. Este conjunto de técnicas logró sobrepasar con éxito el sistema Microsoft Office 365 Advanced Threat Protection (ATP). Lo más preocupante es que ocurrió durante seis meses.

Los nombres de usuario y contraseñas robados fueron almacenados en una serie de dominios registrados específicamente para esa tarea. Sin embargo, los hackers cometieron un error y los dejaron visibles a los los robots “web crawler” de Google. Debido a esto fueron indexados y quedaron disponibles para cualquier usuario.

Fayerwayer-York Perry

Facebook, Instagram y prácticamente cualquier red social es susceptible de ser hackeada de manera severa. El perfecto ejemplo de ello lo tuvimos con Twitter la semana pasada.

Pero la fractura de seguridad también tuvo la consecuencia de despertar la seria duda sobre los costos de las contraseñas y accesos a cuentas personales en el mercado negro y los rincones más oscuros de la red.

Un joven de 17 años, de Tampa, Florida, enfrenta al menos 30 cargos por el hackeo de las importantes cuentas de Twitter y las posteriores estafas.

De modo que los chicos de la firma de seguridad digital Privacy Affairs hizo equipo con NordVPN para realizar una investigación en la Dark Web y generar una lista de precios aproximadas de lo que se cobra por el acceso a una cuenta de Facebook, Instagram y Twitter.

Esto cuestan

Los precios de tu cuenta robada de alguna de estas redes sociales sería más o menos el siguiente entre los hackers:

La red social publicó una actualización al reporte del ataque al que fueron victima el 15 de julio.

• Facebook USD $74,50.
• Instagram USD $55,45.
• Twitter USD $49.
• Gmail USD $155,73.

Las credenciales robadas corresponderían en su mayoría a bases filtradas o cruzadas de otras plataformas que expusieron sus bases de datos.

En otras palabras, si usas la misma contraseña para todo y robaron la información de acceso de algún otro sitio distinto a Gmail, Facebook, Instagram o Twitter, es muy probable que tu contraseña se esté vendiendo por ese precio.

La recomendación obvia es no usar las mismas credenciales para todo y cambiar de manera periódica la contraseña.

Por su propio bien y de sus datos.