Comunicados de Prensa
México: ciberatacantes roban cerca de 400 millones de pesos mediante transferencias no autorizadas
ESET Latinoamérica analiza el reciente robo a cuentas bancarias en México y acerca consejos para el uso seguro de la banca en línea.
ESET, compañía líder en detección proactiva de amenazas, analiza los recientes ataques bancarios ocurridos en México. El pasado mes de abril, ciberatacantes se infiltraron en el sistema financiero mexicano durante varios días y robaron una suma estimada en 400 millones de pesos mexicanos de cuentas concentradoras y no de clientes particulares. Hasta hace unos días no había confirmación de que lo ocurrido fuese un ciberataque, solo que algunos bancos habían registrado grandes retiros de dinero mediante transferencias no autorizadas hacia cuentas falsas.
A fines de abril, el Banco de México (Banxico) emitió un comunicado donde anunciaba que al menos tres bancos locales habían reportado incidentes en el Sistema de Pagos Electrónicos Interbancarios (SPEI), ─plataforma de Banxico─, aunque se hablaba solamente de un intento de ciberataque, e incluso se manejaba una versión extraoficial que apuntaba a un ataque DoS.
Recientemente se confirmó que se trató de un ciberataque, y de acuerdo con el gobernador de Banxico, Alejandro Díaz de León, lo que se vulneró no fue SPEI, sino las aplicaciones y la infraestructura que utilizan los bancos para conectarse al sistema interbancario. Aunque por el momento se desconoce el origen del ataque, así como el destino al cual fue transferido el dinero robado, las instituciones y autoridades financieras de México continúan trabajando por esclarecer la situación.
Asimismo, Díaz de León transmitió tranquilidad a los usuarios al hacer hincapié en que el incidente no afectó a ningún cliente ni el dinero que tienen depositado en los bancos. Por otra parte, el gobernador de Banxico aseguró que se están realizando acciones correctivas para fortalecer el sistema y reconoció que no cuenta con elementos suficientes para asegurar que el ataque cibernético terminó. En este sentido, se han implementado acciones desde el ámbito tecnológico, operativo y regulatorio.
En un comunicado de prensa emitido por el Banco de México en el día de ayer, la institución aseguró que “las transferencias electrónicas procesadas a través del SPEI, así como a través del resto de los sistemas de pagos a cargo de este Instituto Central, son un medio seguro para realizar pagos.” El Banco de México continuará ejerciendo sus facultades, para implementar las acciones necesarias y cumplir con su finalidad de propiciar el buen funcionamiento de los sistemas de pagos.
Desde el Laboratorio de ESET Latinoamérica, se comparten los siguientes consejos para los usuarios, sobre el uso seguro de la banca en línea:
- Utilizar un dispositivo confiable: Cuando se acceda a la cuenta online, la regla más elemental es que utilizar un dispositivo confiable. En general, la mejor elección es utilizar uno propio, como la computadora, la tableta o el celular, porque así resulta más fácil detectar cualquier actividad sospechosa (por ejemplo, cuando el dispositivo se comporta de manera anormal).
- No conectarse desde cualquier red: No todas las redes tienen el grado de seguridad recomendable para utilizar la banca o para pagos en línea. Ni la red Wi-Fi pública de una cafetería, ni las redes abiertas a las que podemos acceder desde cualquier lugar, son las más seguras para ver los ahorros o pagar cuentas. Si no te queda otra opción, al menos utiliza una red privada virtual (VPN) de modo que las comunicaciones queden cifradas (y, así, por más que alguien las intercepte, no las podrá leer).
- Instalar las últimas actualizaciones: Instalar todas las actualizaciones del sistema operativo y del software que se utiliza, para no dejar abiertas posibles puertas de acceso que puedan aprovechar los ciberdelincuentes para conseguir tus datos o infectar el dispositivo. Hay muchos programas que permiten instalar actualizaciones en forma automática, y que buscan parches de seguridad y versiones nuevas, sin que tengas que estar pendiente, lo que ahorra tiempo y maximiza la protección.
- Utilizar un programa de seguridad confiable y actualizado: Antes de acceder a la cuenta de tu banca en línea o de hacer un pago por Internet, instala, configura y actualiza una solución de seguridad en varias capas, que proteja el dispositivo ante muchos tipos de códigos maliciosos, y también de estafas que se hacen pasar por mensajes de correo electrónico o por sitios web aparentemente inofensivos cuyo objetivo es robar tu información confidencial.
- Crear una contraseña segura, fácil de recordar y difícil de adivinar: Revisa si la contraseña de la cuenta de tu banca en línea es realmente segura. Para saber cómo crear una buena contraseña, toma en cuenta estas sugerencias. Sin embargo, tener una contraseña segura no es suficiente: una de las reglas más importantes es no reutilizarla para ninguna otra cuenta. Una alternativa muy útil y fácil de recordar son las contraseñas basadas en frases o el uso de gestores de contraseñas, que almacenan la combinación de todas tus cuentas y solo debes recordar una clave maestra.
- Usa la autenticación en dos fases: Si el banco acerca la posibilidad de utilizar un segundo factor de autenticación (2FA) para proteger una cuenta, utilízalo, ya que es un método que permite verificar si fuiste tú quien se conectó o realizó alguna transacción, ya que utiliza una contraseña dinámica de un solo uso, misma que se genera desde tu dispositivo móvil o a través de un mensaje SMS a tu teléfono. Entonces, aunque alguien obtenga tu contraseña, no la va a poder utilizar porque no será capaz de pasar la segunda verificación.
- No dejarse engañar: Los ciberdelincuentes harán literalmente lo que sea para obtener información o datos confidenciales: fingirán que trabajan para un banco, harán llegar una notificación falsa o enviarán un correo electrónico con un enlace para cambiar la contraseña. Esas son algunas de las mentiras de las que se valen para los engaños y hacer que se revele información sobre tarjetas o la contraseña de una cuenta. Recuerda que, si recibes un correo en el que te solicitan cambiar los datos de acceso de tu cuenta o seguir un enlace, es importante asegurarte de que sea genuino. Lo mejor es llamar por teléfono al banco o ir en persona. Los bancos jamás solicitan esta información por correo electrónico.
- Usa el botón “Desconectar”: Si no vas a continuar utilizando la cuenta por el momento, lo mejor es desconectarse. Si un ciberdelincuente intenta acceder a una sesión, le resultará más difícil perjudicar al usuario cuando la cuenta está cerrada. Recuerda terminar todas tus sesiones una vez que hayas concluidos tus actividades.
- Activa las notificaciones por mensaje de texto: Si solo se ingresa a la cuenta de banca en línea una vez por mes o menos, activa la recepción de notificaciones en el teléfono celular: tener información actualizada sobre las últimas transacciones ayudará a reconocer cualquier actividad sospechosa.
Para más información ingrese al portal de noticias de ESET llamado WeLiveSecurity en: https://www.welivesecurity.com/la-es/2018/05/15/mexico-ciberatacantes-roban-millones-mediante-transferencias-no-autorizadas/
Visítanos en: @ESETLA /company/eset-latinoamerica