La banca se queda corta en ciberseguridad tras invertir 120 millones en evitar estafas como la de ING

La ciberseguridad se mantiene como uno de los retos pendientes para el sector financiero, que ha encontrado en las nuevas tecnologías un potente vector de crecimiento y eficiencia pero, al mismo tiempo, una fuente de problemas y desafíos que, por ahora, no ha sido capaz de eliminar pese a crecientes inversiones en esta área por parte del sector en España, en torno a 120 millones de euros anuales.

El último episodio que ha trascendido a la opinión pública, que afectó a un cliente de ING, se ejecutó a través de una de las últimas técnicas de ciberdelincuencia que se han detectado, con la cual los estafadores son capaces de hacer creer a las víctimas que es la entidad de la que son clientes la que verdaderamente se está poniendo en contacto con ellas.

La era del 'spoofing'

La práctica conocida como 'spoofing' (de la voz inglesa spoof, que significa "falsificar") es capaz de hacer que el cliente vea en su terminal móvil el número de teléfono de la entidad en el momento en que los estafadores se ponen en contacto con él. De esta forma, logran la confianza de la víctima que en adelante tiene menos reparos en facilitar una serie de datos y claves que permiten a los delincuentes llevar a cabo la sustracción de los fondos de la cuenta. 

En los últimos años, la cifra de clientes de banca que operan exclusivamente a través de internet se ha incrementado de forma notable, hasta el punto de que han superado el 50% en algunas de las grandes entidades del país.

Móvil Pexel

La apuesta por la tecnología ha convertido a la banca en uno de los sectores que más invierte en este terreno; al mismo tiempo, también ha ido en aumento el porcentaje destinado a garantizar la seguridad de sus clientes, dado que la operativa a distancia, a través de las diferentes redes, también ha abierto la puerta a numerosos delitos.

En el caso de ING, se ha hecho hincapié en el hecho de que se trata de una entidad que tiene la particularidad de llevar la mayor parte de su operativa a distancia y cuenta con muy pocas oficinas físicas, lo que dificulta en ocasiones a los clientes realizar una consulta ante la sospecha de que han podido ser víctimas de un ciberdelito.

Cada vez menos oficinas

Más allá del caso especial de la entidad centroeuropea, precisamente el auge de la operativa a distancia ha derivado en una reducción progresiva de la red de sucursales por parte de todas las entidades que, otrora, presentaban el mayor número de oficinas de toda la banca europea. 

El empleo cada vez más amplio de las nuevas tecnologías se ha traducido en masivos cierres de oficinas bancarias y, como consecuencia, ajustes de plantillas. El aspecto positivo ha sido el incremento de la eficiencia; pero, por otro lado, también ha destapado nuevas necesidades, como crecientes inversiones en tecnología (entre ellas, las relacionadas con ciberseguridad) y también problemas derivados del salto generacional, dado que una parte notable de la población tiene numerosas dificultades para relacionarse con nuevas tecnologías y dispositivos de nueva generación. 

Una sucursal bancaria de ING EP

En cualquier caso, el sector lanza con frecuencia mensajes y recomendaciones a la hora de operar a distancia para evitar que los clientes caigan en estafas, como la vivida recientemente por el cliente de ING.

El propio banco tiene un apartado específico en su página web donde habla de las últimas técnicas de los ciberdelincuentes empleadas y la manera de establecer precauciones.

Nunca desvelar claves

Aunque cada una de ellas requiere medidas particulares, en términos generales, los bancos instan a sus clientes a sospechar de cualquier tipo de comunicación que se establezca con ellos, aunque desde el otro lado (bien un teléfono, bien un ordenador) aseguren o den garantías de que son trabajadores de la entidad. 

En ese caso, la recomendación genérica al cliente es que interrumpa esa comunicación y sea él el que se ponga en contacto con el banco, a través del teléfono o presencialmente en una oficina. Y que bajo ningún concepto facilite datos o contraseñas por estas vías, dado que no son solicitadas desde las entidades en la operativa habitual.

Casos reales

Una de los últimos métodos detectados por el sector consiste en que los delincuentes logran enviar un SMS a un cliente con el aviso de que se ha iniciado la sesión en cuenta desde un dispositivo inédito hasta la fecha y la recomendación a la víctima de que actúe con celeridad en el caso de que la maniobra no haya sido realizada por ella.

A través de un enlace que facilitan en el propio mensaje, solicitan las claves para acceder a la cuenta y bloquear un posible fraude. Incluso, llegan a pedir también el código temporal que las entidades envían a los clientes cuando quieren llevar a cabo un pago o la retirada de dinero de un cajero. Con estas herramientas, los ciberdelincuentes ya cuentan con todos los elementos para sustraer dinero de la cuenta.