Saltar al contenido principal

Fraude bancario en línea

Una mujer protege su teléfono y su ordenador contra el fraude bancario en línea.

A medida que los servicios bancarios en línea se han hecho más populares, también lo ha hecho el fraude bancario en línea. De hecho, las estafas de phishing bancario se han convertido en uno de los tipos de actividades delictivas más comunes en Internet. Además de robar credenciales de acceso a cuentas bancarias, los ciberdelincuentes también roban información de tarjetas de crédito y débito para su propio beneficio económico. Pero, ¿cómo funcionan exactamente estos ciberdelitos y qué implicaciones tienen para el individuo?

¿Qué es el fraude bancario en línea?

El fraude bancario en línea se produce esencialmente cuando un ciberdelincuente es capaz de robar los datos bancarios digitales de una persona —o empresa— y acceder a las cuentas bancarias o tarjetas de crédito asociadas. A continuación, lo utilizan en su beneficio, ya sea desviando dinero de su cuenta directamente o perpetrando otros tipos de fraude financiero. Desde el punto de vista legal, el fraude bancario en línea abarca todo tipo de actividades delictivas realizadas a través de la aplicación o el sitio web de un banco. Esto incluye acceder ilegalmente a las cuentas de otra persona para gestionar o transferir su dinero.

La naturaleza altamente digitalizada de la banca moderna ofrece a los atacantes muchas oportunidades diferentes para ejecutar estos delitos. A pesar de que los bancos toman cada vez más medidas para asegurar sus servicios digitales y proteger las cuentas de sus clientes, la creciente sofisticación de estos ataques hace que sea extremadamente difícil identificar cuándo se están llevando a cabo estos fraudes y difícil prevenirlos.

¿Cómo funcionan las estafas bancarias?

Los ciberdelincuentes utilizan medios cada vez más sofisticados para engañar a víctimas desprevenidas y hacer que compartan inadvertidamente sus datos bancarios y lleven a cabo fraudes bancarios en línea. A menudo, estos ataques son multidimensionales e incorporan diversas técnicas, por lo que resulta difícil identificarlos. Por ello, es esencial que todos los usuarios de servicios bancarios en línea conozcan estos ataques para poder estar en guardia contra ellos. Existen dos tipos principales de fraude bancario en línea: La apropiación de cuentas (ATO) y los sistemas de transferencia automática (ATS).

Apropiación de cuentas

Las ATO son estafas bancarias digitales en las que el ciberdelincuente se apodera de una cuenta bancaria con información robada. Estos ataques suelen implicar técnicas de ingeniería social o software malicioso, y los más avanzados utilizan ambos. A continuación se describen algunos de los métodos más comunes con los que los ciberdelincuentes llevan a cabo estafas bancarias en línea y ATO:

  • Phishing: En las estafas de phishing bancario, el phisher se hace pasar por la entidad bancaria legítima de la víctima y le envía un correo electrónico pidiéndole que confirme sus credenciales de acceso. Normalmente, el correo electrónico contiene un enlace a un sitio web fraudulento que imita el sitio real del banco; cuando se introducen los datos de acceso, el phisher puede robarlos. Por eso los bancos recuerdan periódicamente a sus clientes que nunca les pedirán información confidencial, como contraseñas o números de identificación personal (PIN). Para aumentar las posibilidades de éxito, el correo electrónico de phishing suele indicar que la cuenta bancaria será suspendida o bloqueada si el cliente no hace clic en confirmar sus datos.
  • Vishing: Estos ataques son similares al phishing, pero se realizan por teléfono en lugar de por correo electrónico. El atacante se hace pasar por el banco de la víctima en una llamada telefónica y la engaña para que comparta los datos de su cuenta y sus inicios de sesión por teléfono. Esto da al atacante acceso y control total sobre la cuenta. En algunos casos, el atacante intenta obtener ciertos datos personales que luego puede utilizar en sus esquemas de fraude bancario en línea o consigue que la víctima le transfiera dinero directamente.
  • Keyloggers: se trata de un tipo particular de software malicioso —troyanos— que controla el uso del teclado de un ordenador. Cuando detecta que el usuario está accediendo a un sitio web bancario que se encuentra en una lista preestablecida, registra las pulsaciones del teclado, robando las credenciales de inicio de sesión de la cuenta bancaria para que el atacante pueda acceder posteriormente a esta cuenta y robar fondos de ella.
  • Software malicioso: Los ciberdelincuentes utilizan una variedad de software malicioso para robar la información que necesitan. Suelen comenzar como estafas bancarias por correo electrónico que obligan a la víctima a descargar en sus dispositivos archivos adjuntos plagados de virus, a menudo sin su conocimiento. A continuación, el software malicioso imita sesiones bancarias auténticas y consigue que la víctima introduzca sus datos, que luego son robados por el atacante para perpetrar sus estafas. Algunos de los programas maliciosos más utilizados en las estafas bancarias en línea son los troyanos de acceso remoto (RAT), que permiten a los atacantes controlar a distancia un dispositivo, los Man-in-the-Browser (MitB), que interceptan datos entre un navegador y una aplicación bancaria, los overlays, que también roban información confidencial a través de un sitio web o una aplicación, y los SMS sniffers, que vigilan los mensajes SMS en busca de OTP.
  • Robo de contraseñas: en algunos casos, las estafas de inicio de sesión bancaria pueden llevarse a cabo mediante ataques de fuerza bruta o de diccionario. Estos adivinan aleatoriamente las contraseñas hasta dar con la correcta, que el atacante puede utilizar para acceder a la cuenta bancaria vinculada.
  • Hackeo de redes wifi: muchas conexiones a Internet son susceptibles de ser pirateadas por ciberdelincuentes. Esto es especialmente cierto en el caso de redes wifi públicas no seguras que cuentan con poca protección. Al piratear estas redes, los atacantes pueden robar cualquier información que se transmita, incluidos los datos bancarios.
  • Duplicación de SIM: este ciberdelito en particular consiste en utilizar técnicas de ingeniería social para robar el número de teléfono de la víctima y transferirlo a una tarjeta SIM en posesión del atacante. Esto les da acceso a todo lo relacionado con el número de teléfono en cuestión y, a menudo, les permite acceder a cuentas bancarias al recibir contraseñas de un solo uso como parte del proceso de autenticación multifactor auténtico de un banco.

Sistemas de transferencia automática

Las mejoras en tecnología y ciberseguridad hacen que las ATO sean mucho más difíciles de ejecutar. Para sortear esta situación y seguir perpetrando fraudes bancarios en línea, los ciberdelincuentes desarrollaron nuevas técnicas automatizadas para ejecutar los ataques de forma eficaz y con un menor riesgo de detección del robo de identidad. Se denominan Sistemas de Transferencia Automática (ATM) y no requieren que el atacante recurra a estafas de inicio de sesión bancaria. En su lugar, estos sistemas automatizados supervisan la actividad de un usuario de ordenador. Cuando el usuario inicia sesión en su cuenta bancaria, este software malicioso inyecta un script en el sitio legítimo e inicia transferencias de dinero de las que el usuario no se percata hasta que es demasiado tarde. Esto elimina la necesidad de que el atacante recopile información del usuario y supere los protocolos de autenticación multifactor.

ATO vs. ATS

Aunque los dos tipos de estafas bancarias en línea son diferentes, ambas tienen el mismo objetivo (robar fondos y perpetrar fraudes financieros), pero funcionan de forma bastante diferente.

  1. Los ataques ATS se ejecutan automáticamente a través de software malicioso. Las estafas ATO requieren cierto trabajo manual para el ciberdelincuente, ya que utilizan la ingeniería social.
  2. El software malicioso ATS requiere una calibración cuidadosa y debe adaptarse a la aplicación bancaria concreta. Esto hace que estos ataques sean mucho más complicados, pero también más difíciles de detectar.
  3. Dado que funcionan dentro de aplicaciones y sitios web bancarios legítimos, los ataques ATS simplemente esperan a que los usuarios proporcionen sus credenciales de inicio de sesión, lo que significa que los ataques no necesitan robar esta información ni preocuparse de pasar autenticaciones multifactor.

Explicación del robo de identidad

El robo de identidad bancaria consiste en que el ciberdelincuente roba la identidad de un individuo para perpetrar un fraude financiero. Al obtener detalles personales como nombres, cumpleaños y números de la seguridad social, los atacantes pueden iniciar una amplia gama de acciones. El robo de identidad de cuentas bancarias —y el robo de identidad a mayor escala— puede tener repercusiones graves y duraderas en las víctimas de estos ataques. Algunas de ellas pueden ser:

  1. Robo de fondos de cuentas bancarias existentes.
  2. Abrir nuevas cuentas bancarias, obtener nuevas tarjetas de crédito o pedir nuevos préstamos a nombre de la víctima.
  3. Acceder a prestaciones sociales vinculadas a números de la Seguridad Social, como asistencia sanitaria, pagos a la Seguridad Social y desempleo.
  4. Arruinar las puntuaciones de crédito.
  5. Instigar el fraude fiscal o robar devoluciones de impuestos.
  6. Provocar impagos de préstamos bancarios, como las hipotecas.
  7. Hacerse con el control de cualquier cuenta en línea, incluidos correos electrónicos y perfiles en redes sociales, y suplantar la identidad de la víctima con efectos perjudiciales.
  8. Obligar a la víctima a invertir grandes cantidades de tiempo y dinero para intentar recuperar su identidad y limpiar su nombre.
  9. Asegurarse de que la información personal de la víctima permanece en la Dark Web.
  10. Causar un importante estrés emocional y financiero.

¿Cuáles son las ramificaciones personales de las estafas bancarias en línea?

Por desgracia, el robo de identidad de cuentas bancarias puede tener repercusiones importantes para el individuo o la empresa objeto de estos ataques. Por supuesto, el impacto financiero es una preocupación seria, pero también hay otras implicaciones que es importante tener en cuenta.

Las estafas bancarias en línea pueden tener importantes consecuencias financieras, que pueden ser devastadoras tanto para los particulares como para las organizaciones. Dependiendo de la información robada, el atacante puede vaciar cuentas bancarias, cerrar y abrir cuentas nuevas, arruinar la puntuación crediticia, cometer fraude fiscal, robar fondos de jubilación y afectar a las hipotecas. A la hora de hacer frente a las consecuencias de estos ataques, las víctimas pueden verse obligadas a incurrir en pérdidas financieras aún mayores, por ejemplo, en concepto de honorarios de abogados.

El robo de identidad bancaria puede afectar a la salud mental de quienes son víctimas de estas estafas. Cuando una persona se da cuenta de que ha sido víctima de un fraude bancario en línea, pueden entrar en juego toda una serie de emociones, desde la conmoción y la ira hasta el miedo y la impotencia. Pueden sufrir un estrés considerable al intentar recomponer las cosas y, a menudo, sienten la necesidad de culpar a alguien por permitir que esto ocurra.

¿Es posible evitar el fraude bancario en línea?

En realidad, nunca es del todo posible evitar el phishing bancario y otras estafas en línea. Por supuesto, hay ciertas medidas que pueden tomarse para disminuir la probabilidad de que tengan éxito o mitigar sus impactos. He aquí algunos consejos a tener en cuenta:

  • Utiliza siempre credenciales de acceso únicas para diferentes cuentas bancarias.
  • Habilita la autenticación multifactor o biométrica para una capa adicional de seguridad.
  • Nunca hagas clic en los enlaces de los correos electrónicos: ve directamente al sitio web legítimo del banco escribiendo la dirección en el navegador.
  • Asegúrate de que las aplicaciones bancarias de los dispositivos son auténticas: descárgalas del sitio web del banco o de tiendas de aplicaciones de confianza y mantenlas actualizadas.
  • Familiarízate con los protocolos de seguridad y privacidad del banco; por ejemplo, la mayoría de los bancos indican claramente que nunca te pedirán el PIN.
  • Accede a tus cuentas bancarias únicamente a través de conexiones seguras de Internet o wifi, como redes domésticas privadas protegidas con WEP, WPA o WPA2.
  • Revisa periódicamente los extractos bancarios y de las tarjetas de crédito y comprueba inmediatamente las transacciones sospechosas con el banco.
  • Usa redes privadas virtuales (VPNs) para proteger las conexiones a Internet antes de iniciar sesión en sistemas bancarios digitales.
  • Protege los dispositivos con software antivirus y asegúrate de que estén siempre actualizados y ejecuten los últimos parches de seguridad.

Evita el robo de identidad bancaria

Los robos bancarios en línea son cada vez más sofisticados y difíciles de detectar. Sin embargo, estos ataques pueden tener importantes repercusiones financieras, sociales y emocionales para las personas y empresas que son objeto de ellos. Entender cómo son las estafas bancarias en línea e implantar funciones de seguridad digital y protección de sentido común puede reducir al mínimo la posibilidad de que los ciberdelincuentes se apoderen de cuentas o infecten dispositivos con software malicioso de ATS.

Consigue Kaspersky Premium + 1 AÑO GRATIS de Kaspersky Safe Kids. Kaspersky Premium ha recibido cinco premios AV-TEST a la mejor protección, el mejor rendimiento, la VPN más rápida, el control parental aprobado para Windows y la mejor calificación para el control parental en Android.

Artículos y vínculos relacionados:

Cómo evitar los ciberataques

He sido víctima de ataques de phishing. ¿Qué hago ahora?

Banca electrónica segura: todo es una cuestión de dinero

Productos y servicios relacionados

Fraude bancario en línea

Las estafas bancarias en línea son una dura realidad en el panorama de la banca digital. He aquí cómo funcionan estos ataques y cómo minimizar sus posibilidades de éxito.
Kaspersky logo

Artículos relacionados