Métodos de los hackers para acceder a tu cuenta bancaria y cómo evitarlos
La banca online proporciona muchas ventajas a los usuarios, pero también supone un caramelo para los ciberdelincuentes. Te mostramos algunos métodos que usan los hackers para acceder a tu cuenta bancaria y como evitarlos.
Keyloggers, phising, Man-in-the-middle, aunque parezcan los nombres de nuevas series de Netflix, estamos ante algunos de los métodos más habituales entre los ciberdelincuentes para conseguir las claves de acceso a las cuentas bancarias de los usuarios.
Algunos de estos métodos sorprenden por su sofisticación, aunque prestando un poco de atención a los detalles conseguirás evitarlos.
Troyanos bancarios
Actualmente es muy habitual gestionar las finanzas desde el móvil gracias a las aplicaciones Fintech. La mayoría de usuarios utiliza la app oficial de su banco para acceder a su cuenta convirtiéndolas en el principal vector de ataque para los ciberdelincuentes.
Para tratar de hacerse con las credenciales de acceso de las cuentas bancarias de los usuarios, los ciberdelincuentes crean copias exactas de las apps bancarias oficiales y las suben a tiendas de aplicaciones de terceros. Cuando el usuario instala esta aplicación en su smartphone y trata de acceder a su cuenta bancaria, los datos son capturados y enviados a los ciberdelincuentes para hacerse con el control de la cuenta.
Otra forma de conseguir los datos de usuario y contraseñas es instalando código de suplantación. Este tipo de ataques se camuflan tras aplicaciones aparentemente legítimas y ajenas al ámbito bancario, como una linterna, una calculadora, etc.
Al ejecutarse, se instala un código oculto que escanea el smartphone en busca de aplicaciones bancarias instaladas. Cuando el usuario inicie dicha app, el código ejecutará una página idéntica justo encima de esta, en la que el propio usuario insertará sus credenciales de acceso pensando que se trata de la app que él mismo acaba de iniciar.
Los troyanos también necesitan un código SMS de verificación para completar el truco. Para conseguirlo, a menudo solicitan privilegios de lectura de SMS durante la instalación, para que puedan robar los códigos SMS tan pronto como llegan.
Para defenderte de este tipo de ataques, procura descargar aplicaciones solo desde la tienda oficial de aplicaciones, y descarta aquellas apps bancarias que solo tengan unas cuantas descargas. Además, presta atención a los permisos que das a las aplicaciones que instalas en tu móvil. Si una app de linterna te pide permisos de lectura de SMS sin motivo, simplemente deniégalos y no permitas su instalación.
Phishing
El Phishing es uno de los métodos más extendidos entre los ciberdelincuentes por su sencillez. Basta con crear un cebo en el anzuelo y esperar a que algún usuario desaprensivo caiga en la trampa. Uno de sus trucos más habituales es enviar correos electrónicos de suplantación de identidad desde una dirección aparentemente fiable argumentando un motivo aparentemente interesante para el usuario.
La reclamación de una factura, un supuesto premio en un sorteo en el que no has participado e incluso una oferta de empleo son algunos de los cebos de phishing más habituales. Al acceder a los enlaces de estos servicios, se requieren las cuentas de usuario y contraseñas, que son enviadas a los ciberdelincuentes de forma inmediata.
Para defenderte de este tipo de ataques es necesario prestar atención a los detalles. Si una dirección de correo electrónico parece sospechosa, trata su contenido con una buena dosis de escepticismo.
Si tienes dudas sobre su veracidad, accede al servicio al que hacen mención realizando una búsqueda nueva desde el navegador, nunca desde los enlaces que se incluyen en el correo.
Keyloggers
Los keyloggers son unos pequeños programas que se ejecutan de forma discreta y se limitan a monitorizar y registrar las pulsaciones realizadas en el teclado del dispositivo, de forma que todo lo que escribas en él se enviará a los ciberdelincuentes.
De ese modo, conseguirán hacerse con todas las cuentas de usuario y contraseñas de los servicios a los que hayas accedido desde ese dispositivo.
Defenderse de este tipo de malware es relativamente sencillo. Basta con instalar un antivirus fiable y mantenerlo actualizado. De ese modo, detectará la presencia del keylogger y lo bloqueará.
También es una buena idea activar el doble factor de autenticación ya que, de ese modo, el ciberdelincuente no podrá acceder a tus datos bancarios incluso aunque sepa el usuario y contraseña puesto que necesita confirmar la operación en un dispositivo externo.
Ataques Man-in-the-Middle
Literalmente, hombre en medio. Este tipo de ataques es de los más curiosos y elaborados ya que, durante la comunicación entre tu dispositivo y la entidad bancaria, el ciberdelincuente se coloca en medio interceptando la comunicación para extraer los datos.
A diferencia del phishing, en un ataque Man-in-the-Middle el destino de la comunicación es legítimo, es decir, realmente se trata de banco. Pero la información pasa por un punto intermedio no cifrado en el que se capturan toda la información que los ciberdelincuentes necesitan para acceder a tus datos bancarios.
Para ello se utilizan sofisticadas técnicas con las que se modifica la caché del servidor DNS que proporciona la información sobre la dirección legítima de tu banco y la desvía a un servidor ajeno que filtra la información.
Esto significa que, aunque accedas a la web de tu banco desde una búsqueda independiente, todo tu tráfico pasará por un servidor intermedio.
La mejor defensa ante este tipo de ataques es utilizar redes seguras y cifradas, evitando las redes Wi-Fi públicas y abiertas. Si no tienes otra opción, utiliza una red VPN para protegerte. Además, cuando realices conexiones “sensibles” asegúrate de que en el navegador se muestra el candado de HTTPS.
Clonado de SIM
El doble factor de autenticación y los códigos SMS que se envían a los dispositivos para confirmar la identidad son uno de los mayores inconvenientes para los hackers. Desafortunadamente, tienen una forma de esquivar estos controles, ¡y ni siquiera necesitan su teléfono para hacerlo!
Para realizar un duplicado de la tarjeta SIM, un pirata informático se pondrá en contacto con tu proveedor de red y se hará pasar por el titular de la línea afirmando que ha perdido su móvil y que le gustaría mantener su número anterior en su actual tarjeta SIM.
Si tienen éxito, el proveedor de red eliminará el número de teléfono de la tarjeta SIM legítima y, en su lugar, lo instala en la del ciberdelincuente, por lo que recibirá todos los SMS que necesita para acceder a tus servicios bancarios.
Al tratarse de una gestión realizada por un tercero, el usuario no tiene un control total de la situación, por lo que no puede realizar una acción concreta para evitar esta suplantación de identidad.
Las operadoras de telefonía realizan varias comprobaciones de seguridad, pero si tus datos privados (DNI, dirección, edad, etc., ...) se han visto comprometidos, el ciberdelincuente podría responder correctamente a todas las peticiones de datos privados, por lo que mantener estos datos a salvo es vital en estos casos.
Conoce cómo trabajamos en ComputerHoy.