first
  
last
 
 
start
stop

Qué preocupa

Los directores de seguridad bancaria tenemos que evolucionar en el mismo sentido que lo hace la banca. El cash dejó paso al cheque, y este al plástico y a la transferencia electrónica. La seguridad no puede mantenerse al margen de cambios tan significados.

 

Antonio López Melgarejo
Dirección de Investigación de Fraude Electrónico
GRUPO SANTANDER

Los departamentos de tecnología de las entidades financieras desarrollan y mantienen software de calidad, que proporciona plataformas robustas y herramientas de auditoría. Nadie puede sentirse a salvo de un exploit “zeroday”, pero la cualificación del personal técnico puede garantizar una respuesta rápida y unos daños contenidos; se trata de que el riesgo esté acotado y sea “razonable”.

 

Sin embargo, los ataques de phishing no se valen de exploits “zeroday”, sino de la participación activa del cliente, que se consigue a través de engaño. Las campañas de prevención y concienciación por parte de las entidades financieras son constantes, pero también la evolución de los ardides de los defraudadores. Desde la simulación de un requerimiento del banco “para mejorar” la seguridad, hasta la enmienda de un supuesto cobro duplicado, no hay el menor déficit de creatividad para conseguir que el cliente ceda sus claves o instale malware en su dispositivo móvil.

 

La cuestión es qué hacer cuando el ataque se ha consumado con éxito, cuando se ha conseguido suplantar la personalidad del cliente defraudado y se ha realizado una operación de disposición en su perjuicio. Si dos eran las líneas de trabajo preventivas (desarrollo y mantenimiento de plataformas de calidad y campañas de concienciación al cliente), dos son las de mitigación e investigación del fraude electrónico: de una parte, la recuperación o retrocesión de los fondos transferidos fraudulentamente; y, de otra, dar conocimiento completo y puntual de lo ocurrido a las agencias de policía.

 

Cooperación interbancaria

 

Los acuerdos suscritos en el seno de la colaboración interbancaria están funcionando razonablemente bien a la hora de retroceder fondos indebidamente transferidos. Una buena parte de intentos de ataque son frustrados antes de que se perfeccionen merced al buen funcionamiento de filtros de inteligencia artificial cada vez más finamente ajustados. La mitigación, sin embargo, de los que escapan a este u otros tipos de controles, depende en buena medida del lapso hasta que el fraude es detectado. En todo caso, el bloqueo de las cuentas destinatarias y la posterior recuperación requiere un formalismo ineludible: el repudio formal de la operación por parte del cliente defraudado.

 

Este es el propósito que persigue la interposición de la denuncia ante las autoridades policiales, ya que no solo recoge esta expresa y necesaria declaración por parte del legítimo tenedor de las credenciales para operar, sino que actúa como soporte documental para que la entidad financiera que aplica el bloqueo y la retrocesión de fondos actúe con un amparo legal.

 

Interfaz con las agencias de policía

 

Ahora bien, procede cuestionarse si esta denuncia aislada e incompleta constituye la mejor manera de comunicar los hechos a los investigadores policiales. Es aislada porque el lugar geográfico en el que se interpone atiende únicamente a criterios de comodidad (comisaría o puesto próximo al domicilio del denunciante), lo que en primera instancia determina el juzgado que va a conocer de los hechos. Y es incompleta porque el defraudado y denunciante no puede conocer detalles como la dirección IP de la conexión por la que se ha producido la ilícita operación u otros detalles de la firma o de navegación inusual.

 

De tal forma que, aun conociendo que habitualmente este tipo de ataques de phishing proviene de grupos organizados y que, por tanto, se dan muchos casos conexos, las denuncias (incompletas) se producen con una gran dispersión geográfica y ante agencias policiales distintas. No son estas las más óptimas condiciones para que una investigación se inicie y prospere.

 

Una manera para mejorar esta práctica (que claramente no está orientada a la investigación) de descargar en exclusiva en el cliente el trámite de la denuncia consiste en que los bancos adoptemos un rol mucho más activo, que nos constituyamos en una interfaz efectiva para el intercambio de información.

 

En ocasiones, aún existen recelos por parte de algunas instituciones a la hora de aportar datos de carácter personal, desentendiéndose incluso de que en el rol de denunciante (o, cuando menos, testigo) este tipo de reparos no tienen lugar, del mismo modo que no debe haberlos a la hora de facilitar la placa de matrícula de un vehículo que ha resultado participar en la comisión de un delito.

 

En la actualidad se están manteniendo contactos entre la Sala de Criminalidad Informática de la Fiscalía General de Estado y CCI y, próximamente, se establecerá un grupo de trabajo con la Secretaría de Estado de Seguridad, donde se abordarán estas cuestiones y se valorarán alternativas como el concurso de la Red de Fiscales de Criminalidad Informática en la coordinación de acciones de investigación o, incluso recepción de este tipo de denuncias.

 

Entretanto, me permito sugerir algunas prácticas que pudieran beneficiarnos a todos a medio plazo:

 

• Complementar las denuncias formuladas por nuestros clientes con mensajes de correo-e (a ser posible “seguro”, el PGP sigue siendo una buena opción) a los servicios centrales de CNP (BIT) o Guardia Civil (GDT). Estos mensajes contendrían los datos de las conexiones y otros de interés.

 

• Elaboración de informes de inteligencia, que reflejen la existencia de hechos conexos (y, por tanto, grupos organizados). Estos informes se remitirían a las agencias policiales y a Fiscalía, que puede coordinar acciones públicas.

 

• Promover el establecimiento de grupos de trabajo entre bancos para compartir inteligencia (nuevos modi operandi y vectores de ataque).

 

• Establecimiento de un nodo de colaboración público-privada, en el que los bancos podamos mostrar nuestras herramientas de registro y auditoría, a la vez que recibir el feedback de los investigadores en relación con sus operaciones.

 

 

Documento en PDF

 

Consulte el contenido de Qué Preocupa de números anteriores aquí

Este sitio utiliza cookies propias y de terceros para facilitar la navegación.
Si continúa navegando consideramos que acepta su uso. Política de cookies