Seguridad Bancaria: Algunos Consejos

Ha ocurrido una nueva “ciber” estafa en un banco estatal. La víctima creyó en un anuncio fraudulento en Facebook (SCAM) que la llevó a una página falsa igual a la de su banco, donde ella ingresó (siendo sus credenciales capturadas por los cibercriminales) y acto seguido los malhechores ingresaron al banco real con las credencias robadas y pasaron el dinero a otras cuentas.

¿Qué hacer para prevenir estos casos y otros ataques a los sistemas bancarios? He aquí algunos consejos para usuarios y para los bancos.

Usuarios:

Nunca ingrese a la página de un banco siguiendo un enlace. Los enlaces tienen dos partes, el texto que usted ve y la dirección a la que se dirige (que usted no ve). Así el texto puede decir el nombre del banco pero la dirección lo manda a una página falsa.

Tenga malicia y revise que la página es la correcta. Todo banco debe usar un certificado que valida que es el banco. En los nuevos navegadores, ese certificado muestra el nombre del banco junto a un candado y de color verde en la barra de dirección. Revise que es el nombre correcto y si tiene dudas, siempre llame al banco. Pueden intentar engañarlo con un nombre falso muy parecido, con solo cambiar una letra como “Bamco” ya puede parecer el nombre correcto, pero no lo es. Que aparezca el candado no es suficiente, cualquiera puede poner un candado verde con un nombre muy similar. Si su navegador no muestra esto, actualícelo o cámbielo.

Nunca use la misma contraseña en su banco y en otros sitios. Muchos sitios no tienen tanta seguridad y las contraseñas usadas en ellos son robadas y vendidas en el mercado negro. Así, si usó la misma y se la roban en otro sitio, la pueden usar en su banco. Tampoco use de contraseña datos que tenga en sus redes sociales, como fecha de nacimiento o nombre de la mascota, son las primeras que prueban los cibercriminales.

Nunca use la web bancaria mientras tiene otros sitios abiertos. Algunos tienen código malicioso que puede enviar solicitudes a la sesión abierta del banco en su navegador, y el banco no puede saber que no es usted el que hace eso.

Bancos:

Proveer segundo factor de autenticación para transacciones riesgosas (no necesariamente ingreso). Ese segundo factor no se debe configurar en línea. (e.g. un correo o teléfono para mandar una clave no debe poder cambiarse en línea, porque carece de sentido). Las tarjetas de códigos no son tan efectivas y el OTP no protege contra el ataque de intermediario, por lo que se sugiere firma digital para transacciones grandes.

Limitar las transferencias por monto y por día. Nunca enviar datos como cuentas del usuario ni usar cuentas de usuario o datos que ya se conocen provenientes del browser (reposting). Implementar transferencias a cuentas favoritas, que solo pueden agregarse con segundo factor de autenticación.

No aceptar transacciones no requeridas (llevar control de las pantallas y el flujo seguido por el usuario, y no aceptar transacciones fuera de ese flujo para evitar ataques de CSRF).

Llevar control del acceso del usuario (dispositivo e IP) y solicitar al usuario via segundo factor (correo o SMS) que valide el ingreso desde un computador nuevo nunca antes usado.

Cada día hay más riesgos y debemos estar todos preparados.

Deja un comentario