En los últimos seis
años, se han sometido a la justicia dominicana 2,234 personas,
nacionales y extranjeras, por los delitos de clonación de tarjetas y
robo de datos e identidad a través del "phishing". Sólo esta última
modalidad, usada para sustraer dinero e información de cuentas a través
del correo electrónico y páginas falsas de Internet, fue la causa del
72.7 % de los casos.
El titular de la Procuraduría Especializada contra Crímenes y Delitos de Alta Tecnología, John Henry Reynoso Ramírez, destaca que antes de febrero de 2013, fecha en que se creó esa dependencia, pocas personas eran condenadas por los dos tipos de delitos citados, pues en el 97% de los procesos se llegaba a una conciliación con los bancos o las víctimas, y no había una persecución enfocada en el ciberdelito.
"Respecto a la clonación de tarjetas, el usuario común lo que hace es que va a los bancos, y eso (la tarjeta) tiene un seguro, y siempre y cuando le paguen su dinero, al usuario no le interesa seguir persiguiendo, y a los mismos bancos no les interesa seguir persiguiendo personas. Del 2007 a principios de 2013, sólo había 69 en prisión preventiva por clonación", lamenta el Procurador.
De manera general, por crímenes y delitos tipificados de alta tecnología procesados por la Procuraduría Especializada en los últimos ocho meses, unos 1,850 sometidos guardan prisión preventiva en espera de su procesamiento judicial que pudiera condenarlos hasta a 10 años de prisión. Otros 28 lograron negociar una garantía económica.
Extranjeros vinculados
Los extranjeros sometidos entre 2007 y 2013, que pertenecen a redes que se dedican al ciberdelito, cuyas actuaciones han afectado a la banca local, han sido 67 por clonación de tarjetas y 60 por "phishing". "Por lo general aquí se apresan muchos haitianos, canadienses, venezolanos y colombianos", dice el magistrado Reynoso.
También, participan delincuentes de otras nacionalidades. El 27 de octubre de 2013, se apresaron dos búlgaros en Bávaro, acusados de colocar teclados adulterados y otros aparatos en cajeros automáticos de zonas turísticas, para obtener el PIN de las tarjetas de crédito o débito de los usuarios, con el fin de clonarlas, y posteriormente realizar retiros. En total, la estafa rondaba los US$200 mil.
¿Cuáles penas les tocarían?
En menos de un año, la nueva Procuraduría Especializada conoció 4,115 casos de crímenes, y delitos de alta tecnología en el país, que incluyeron clonación de tarjetas, "phishing", llamadas molestosas y robo de celulares.
Para los 1,850 que guardan prisión preventiva por todos esos delitos, el magistrado Reynoso espera sanciones ejemplares. La Ley 53-07 sobre Crímenes y Delitos de Alta Tecnología establece que la obtención ilícita de fondos de un usuario, se sancionará con la pena de tres a 10 años de prisión y multa de 100 a 500 veces el salario mínimo.
Respecto a la transferencia electrónica de fondos a través de códigos de acceso o de cualquier otro mecanismo similar, el castigo va desde uno a cinco años de prisión y multa de dos a 200 veces el salario mínimo.
En tanto que la estafa realizada a través de medios electrónicos, informáticos, telemáticos o de telecomunicaciones, se sancionará con la pena de tres meses a siete años de prisión y multa de 10 a 500 veces el salario mínimo. Y el robo de identidad por los mismos mecanismos conlleva penas de tres meses a siete años de prisión y multa de dos a 200 veces el salar
Más capacidad para atacar
DL consultó a la presidenta ejecutiva del Banco de Ahorro de Crédito Adopem, Mercedes Canalda, para conocer su parecer sobre el trabajo de la justicia para perseguir el fraude bancario. Considera que pese a los avances, hay que trabajar más.
"La justicia dominicana en el tema de la persecución de los delitos de alta tecnología, ha ido avanzando, aunque todavía falta fortalecer ciertos aspectos que pueden ser fáciles de implementar, especialmente en las instituciones de intermediación financiera, sobre todo por el nivel de transparencia que maneja el sector financiero nacional y la plataforma tecnológica y la reportería que enviamos diariamente a las instituciones financieras", dice.
En su informe "Tendencias en la seguridad cibernética en América Latina y el Caribe y respuestas de los gobiernos", la Organización de Estados Americanos (OEA) alerta sobre el crecimiento de los delitos electrónicos.
Indica que en América Latina, dos factores bloquean comúnmente los esfuerzos para enfrentarlo: "La falta de recursos dedicados al fortalecimiento de la capacidad en seguridad cibernética y la escasez de conocimientos especializados y experiencia práctica para la implementación de políticas o capacidades técnicas".
"Latinoamérica sigue enfrentando restricciones presupuestales, y los planes de gastos a menudo no contemplan grandes inversiones en aspectos como la seguridad informática. Los fondos se invierten con mayor frecuencia en aspectos de 'seguridad propiamente dicha', aunque esto probablemente cambiará, conforme los riesgos cibernéticos vayan planteando cada vez más amenazas contra el bienestar físico y económico y la estabilidad de los gobiernos", dice la OEA.
Aunque asegura que queda mucho trabajo por hacer, la OEA concluye que la conciencia sobre la seguridad cibernética está aumentando día a día, y los gobiernos se están esforzando para mejorar sus instrumentos de política.
El titular de la Procuraduría Especializada contra Crímenes y Delitos de Alta Tecnología, John Henry Reynoso Ramírez, destaca que antes de febrero de 2013, fecha en que se creó esa dependencia, pocas personas eran condenadas por los dos tipos de delitos citados, pues en el 97% de los procesos se llegaba a una conciliación con los bancos o las víctimas, y no había una persecución enfocada en el ciberdelito.
"Respecto a la clonación de tarjetas, el usuario común lo que hace es que va a los bancos, y eso (la tarjeta) tiene un seguro, y siempre y cuando le paguen su dinero, al usuario no le interesa seguir persiguiendo, y a los mismos bancos no les interesa seguir persiguiendo personas. Del 2007 a principios de 2013, sólo había 69 en prisión preventiva por clonación", lamenta el Procurador.
De manera general, por crímenes y delitos tipificados de alta tecnología procesados por la Procuraduría Especializada en los últimos ocho meses, unos 1,850 sometidos guardan prisión preventiva en espera de su procesamiento judicial que pudiera condenarlos hasta a 10 años de prisión. Otros 28 lograron negociar una garantía económica.
Extranjeros vinculados
Los extranjeros sometidos entre 2007 y 2013, que pertenecen a redes que se dedican al ciberdelito, cuyas actuaciones han afectado a la banca local, han sido 67 por clonación de tarjetas y 60 por "phishing". "Por lo general aquí se apresan muchos haitianos, canadienses, venezolanos y colombianos", dice el magistrado Reynoso.
También, participan delincuentes de otras nacionalidades. El 27 de octubre de 2013, se apresaron dos búlgaros en Bávaro, acusados de colocar teclados adulterados y otros aparatos en cajeros automáticos de zonas turísticas, para obtener el PIN de las tarjetas de crédito o débito de los usuarios, con el fin de clonarlas, y posteriormente realizar retiros. En total, la estafa rondaba los US$200 mil.
¿Cuáles penas les tocarían?
En menos de un año, la nueva Procuraduría Especializada conoció 4,115 casos de crímenes, y delitos de alta tecnología en el país, que incluyeron clonación de tarjetas, "phishing", llamadas molestosas y robo de celulares.
Para los 1,850 que guardan prisión preventiva por todos esos delitos, el magistrado Reynoso espera sanciones ejemplares. La Ley 53-07 sobre Crímenes y Delitos de Alta Tecnología establece que la obtención ilícita de fondos de un usuario, se sancionará con la pena de tres a 10 años de prisión y multa de 100 a 500 veces el salario mínimo.
Respecto a la transferencia electrónica de fondos a través de códigos de acceso o de cualquier otro mecanismo similar, el castigo va desde uno a cinco años de prisión y multa de dos a 200 veces el salario mínimo.
En tanto que la estafa realizada a través de medios electrónicos, informáticos, telemáticos o de telecomunicaciones, se sancionará con la pena de tres meses a siete años de prisión y multa de 10 a 500 veces el salario mínimo. Y el robo de identidad por los mismos mecanismos conlleva penas de tres meses a siete años de prisión y multa de dos a 200 veces el salar
Más capacidad para atacar
DL consultó a la presidenta ejecutiva del Banco de Ahorro de Crédito Adopem, Mercedes Canalda, para conocer su parecer sobre el trabajo de la justicia para perseguir el fraude bancario. Considera que pese a los avances, hay que trabajar más.
"La justicia dominicana en el tema de la persecución de los delitos de alta tecnología, ha ido avanzando, aunque todavía falta fortalecer ciertos aspectos que pueden ser fáciles de implementar, especialmente en las instituciones de intermediación financiera, sobre todo por el nivel de transparencia que maneja el sector financiero nacional y la plataforma tecnológica y la reportería que enviamos diariamente a las instituciones financieras", dice.
En su informe "Tendencias en la seguridad cibernética en América Latina y el Caribe y respuestas de los gobiernos", la Organización de Estados Americanos (OEA) alerta sobre el crecimiento de los delitos electrónicos.
Indica que en América Latina, dos factores bloquean comúnmente los esfuerzos para enfrentarlo: "La falta de recursos dedicados al fortalecimiento de la capacidad en seguridad cibernética y la escasez de conocimientos especializados y experiencia práctica para la implementación de políticas o capacidades técnicas".
"Latinoamérica sigue enfrentando restricciones presupuestales, y los planes de gastos a menudo no contemplan grandes inversiones en aspectos como la seguridad informática. Los fondos se invierten con mayor frecuencia en aspectos de 'seguridad propiamente dicha', aunque esto probablemente cambiará, conforme los riesgos cibernéticos vayan planteando cada vez más amenazas contra el bienestar físico y económico y la estabilidad de los gobiernos", dice la OEA.
Aunque asegura que queda mucho trabajo por hacer, la OEA concluye que la conciencia sobre la seguridad cibernética está aumentando día a día, y los gobiernos se están esforzando para mejorar sus instrumentos de política.
Relacionado/ Febrero 12, 2014
En seis años, las autoridades han conocido 1,823 denuncias de este tipo de fraude
En los últimos seis años, 432 casos de robo de datos bancarios a través de páginas web o correos electrónicos fraudulentos pusieron en juego más de RD$120 millones de cuentas en República Dominicana.
De 11 entidades bancarias con fraudes reportados, los clientes de dos fueron los más perjudicados. Sólo una compañía financiera fue víctima de 168 casos que involucraron RD$14,843,745; US$74,429.89 y €1,000. La otra totalizó 139, envolviendo RD$8,780,704.
El Departamento de Investigación de Crímenes y Delitos de Alta Tecnología (DICAT), de la Policía Nacional, reporta que estos 432 casos fueron resueltos y los montos recuperados. Sin embargo, ¿cómo lograron desviarlos?
La modalidad usada fue la denominada "phishing" (del inglés fishing: pesca), un término informático, que Microsoft define como un tipo de robo de identidad en línea, a través del correo electrónico y páginas de Internet fraudulentas diseñadas para robar información personal, como números de tarjetas de crédito, contraseñas y datos de cuentas.
Entre 2007 y principios de 2013, el DICAT manejó 860 denuncias de "phishing". Sin embargo, desde febrero de ese año, cuando se creó la Procuraduría Especializada contra Crímenes y Delitos de Alta Tecnología, hasta finales de 2013, se recogieron 963. Esto significa que en sólo seis años, se han conocido 1,823 querellas, resolviéndose 1,050, para el 57.5%.
Miles al día
Años atrás, un correo electrónico "phishing" podría considerarse como uno más de la lista de "basura". Aunque las estadísticas indican que el e-mail es menos usado para estos ataques, los "phishers" han perfeccionado los mensajes hasta hacerlos parecer confiables.
Una víctima contó a DL que consideró fidedigno un correo que llegó a su bandeja, solicitándole que renovara su tarjeta de códigos para transacciones bancarias. Suministró la información, y de inmediato le sustrajeron su quincena de RD$12,700.
Mejor suerte corrió otro usuario. Recibió un correo de su "propio" banco para rehabilitarle su tarjeta de claves. Se dio cuenta de que el mensaje comprendía una imagen alojada en una dirección de una página de Internet sobre diabetes, y lo descartó.
Entre mayo de 2011 y abril de 2013, unos 37.3 millones de usuarios a nivel mundial fueron sujetos de un ataque de "phishing"; el 20% se identificaba como una entidad bancaria. Así lo reporta el estudio "Evolución de los Ataques Phishing 2011-2013", de Kaspersky Lab, una empresa internacional especializada en productos para la seguridad informática.
Kaspersky señala que 102,100 internautas recibieron ataques "phishing" cada día entre 2012-2013. En tanto que Websense, una compañía que trabaja en la protección de organizaciones contra ataques cibernéticos y robos de datos, estima que el porcentaje de intentos de "phishing" en todo el tráfico de correo electrónico se redujo a 0.5 % en 2013, frente al 1.12 % de 2012.
La República Dominicana no figura entre los países más atacados. Kaspersky indica que el 64.05% de las víctimas fueron de Rusia, Estados Unidos, India, Alemania, Vietnam, Reino Unido, Francia, Italia, China y Ucrania. Mientras que Websense establece un conteo de las 10 principales naciones que hospedan las direcciones (URL) de páginas de Internet de "phishing": (1) China, (2) Estados Unidos, (3) Alemania, (4) Reino Unido, (5) Canadá, (6) Rusia, (7) Francia, (8) Hong Kong, (9) Holanda y (10) Brasil.
Las autoridades dominicanas no manejan las estadísticas de la cantidad de "phishing" que se envía cada día en el país, pero conocen cómo funcionan. El director del DICAT, coronel Licurgo Yunes, explica que una de las maneras empleadas es usar listas de correos masivos para tomar las direcciones y enviarles el correo malicioso.
En el caso de fraudes a bancos, en un amplio universo, puede coincidir que entre los destinatarios existan usuarios con una cuenta en la institución financiera falseada que, creyendo que es real, accedan a la página, y suministren sus datos, para darse cuenta después que fueron estafados.
Por su experiencia, el coronel Yunes afirma que aquellos con más bajo nivel educativo y financiero son los más propensos a caer en un "phishing".
¿Cómo detectarlos?
En su estudio: "Los 10 países que más hospedan phishing y las 5 líneas de asunto más peligrosas", Websense destaca que los ciberdelincuentes están orientando sus ataques a usuarios, a quienes han investigado a través de las redes sociales, y les han creado un perfil.
La empresa destaca que, según investigaciones realizadas entre enero a septiembre de 2013, las cinco principales líneas de asunto en los correos electrónicos "phishing" son invitación a conectarse en la red social de contactos profesionales LinkedIn; "La entrega del mensaje ha fallado: devolver el mensaje al remitente", "Querido cliente del banco", "Comunicación importante" y "Mensaje no entregado devuelto al remitente".
Los atacantes crean una copia detallada de la página falseada, con una URL similar, a la que reemplazan uno o varios caracteres, que a veces son imperceptibles a primera vista.
DL consultó a la empresa dominicana Wepsys, dedicada a ingeniería de softwares bancarios, y a Engel Rivas, docente en el Diplomado de Seguridad de la Información del Instituto Tecnológico de las Américas (ITLA), para conocer el proceso de un ataque "phishing", y cómo se determina la falsedad de la URL de una página. Para mejor entendimiento, suministraron a este medio unas gráficas que acompañan este reportaje.
El Banco Popular, uno de los bancos del país con más cartera de clientes, recomienda "siempre ignorar y borrar" los correos "phishing". "Las entidades financieras no piden informaciones similares por esta vía. En caso de haber pinchado los enlaces, aconsejamos entonces pasar de inmediato un programa antivirus, ya que el equipo puede estar comprometido".
La entidad financiera maneja un software de seguridad denominado Vigía Web, que alertará al cliente si su computadora está siendo vulnerada.
Sin embargo, a pesar de los esfuerzos contra el "phishing", Websense asegura: "Esta técnica de ataque nunca desaparecerá, y seguirá siendo una de las causas de dolor de cabeza de los profesionales de seguridad".
Cómo prevenir
- Nunca revele información por la Internet sobre su nombre de usuario, contraseña y números de cuentas.
- Si entra a la página de un banco, asegúrese de que en la URL aparezca un símbolo de seguridad, como un candado amarillo.
- Esté pendiente de que la dirección URL no tenga errores.
- Si un amigo o desconocido le envía un enlace en las redes sociales o mensajería instantánea, trate de identificar primero hacia dónde dirige.
- Si recibe un mensaje con un hipervínculo, las plataformas de "emails" (y los "browsers") permiten que si se posiciona sobre el enlace, le aparezca en una esquina de la pantalla la dirección hacia dónde lo llevará el vínculo. Si no hay congruencia, usted está frente a un correo "phishing".
- Si sospecha que fue víctima, cambie sus contraseñas y acuda a su banco.
- Remita cualquier correo o mensaje phishing a dicat@policianacional.gov.do o a la cuenta de Twitter @DICAT_PN.
Relacionado/ Febrero 11, 2014
Fraudes bancarios en RD son el 80% de los ciberdelitos
En tres años, la Superintendencia de Bancos recibió 9,861 reclamaciones de transacciones fraudulenta.
Para hablar con su amigo sobre lo que le atormentaba, primero le hizo una exigencia: "Retira la batería de tu celular". Estaba paranoico; creía que lo observaban. Su tranquilidad se esfumó cuando se enteró que robaron sus datos bancarios, clonaron sus tarjetas de crédito, y hasta tomaron préstamos a su nombre.
Su caso está dentro del universo de clientes víctimas de fraude a través del robo de su información bancaria, que si bien para 2012 se redujo en América Latina y el mundo de 18 centavos perdidos por cada US$100 pagados, a 5 centavos por cada US$100, el delito sigue siendo una amenaza. En la región, México, Brasil, Colombia y Venezuela han llegado a liderar las tasas de estafas.
En República Dominicana, atacar a los clientes de las instituciones financieras supone el 80% de los casos del ciberdelito, según la Procuraduría, siendo las consecuencias principales la clonación de tarjetas y transferencia de dinero, sin dejar a un lado el muy usado "phishing".
Entre octubre de 2010 y diciembre de 2013, la Superintendencia de Bancos recibió 9,861 reclamaciones de transacciones fraudulentas de los usuarios. Y para conocer la situación de los lectores, DL realizó una encuesta en su página web que arrojó que de 131 participantes, el 44% alguna vez fue víctima de robo de sus datos bancarios.
Para 2013, la cantidad de tarjetas de crédito en República Dominicana era de aproximadamente 2.5 millones. En los últimos 10 meses, la nueva Procuraduría Especializada contra Crímenes y Delitos de Alta Tecnología decomisó más de 3 mil plásticos que estaban en manos de delincuentes, según informa el titular de esa dependencia, John Henry Reynoso Ramírez. En ese mismo período, recibió 562 denuncias de clonación.
Un negocio rápido y sigiloso
Tras cenar en un restaurante, "Susana" y "Alberto" pagaron el consumo con sus respectivas tarjetas de crédito. Días después, el banco llamó al padre de "Susana", para advertirle que la tarjeta de su hija se usó en una estación de gasolina. El detalle es que ella ni vehículo poseía. El resultado: las tarjetas de ella y "Alberto" fueron clonadas donde cenaron.
El coronel Licurgo Yunes, director del Departamento de Investigación de Crímenes y Delitos de Alta Tecnología (Dicat) de la Policía Nacional, es reservado al explicar cómo operan las bandas clonadoras. Explica que utilizan un instrumento llamado "beeper" para copiar los datos de la cinta magnética de la tarjeta.
Aunque con la clonación se pueden hacer estafas cuantiosas, el comandante dice que los delincuentes no tienen que esforzarse en instalar un sistema complejo. "Cuando se trata de fraude bancario estamos hablando de bandas que ya conocen cómo funciona este sistema, y que lo único que desean es obtener dinero de una u otra forma. Son jóvenes (en su mayoría) entre los 20 y 30 años, luego pasan de 30 a 50 años, pero es más un delito juvenil, de tecnología, de conocimiento", dice Yunes.
En mayo de 2013, las autoridades de Estados Unidos acusaron a siete dominicanos de integrar un grupo internacional de piratas informáticos que usó datos de tarjetas de débito para robar US$45 millones.
A principios de enero de 2014, la Dirección Central de Investigaciones Criminales (Dicrim) desmanteló dos laboratorios clandestinos en los sectores 27 de Febrero y Espaillat, utilizados para clonar tarjetas de crédito y débito, y luego estafar bancos, comercios y usuarios. Fueron ocupados 697 plásticos listos para usarse o en proceso, y equipos electrónicos para clonar las bandas magnéticas y numerar.
¿Qué falla en el sistema?
Sólo en 2011, los fraudes con tarjetas de crédito costaron RD$341.56 millones al sistema financiero dominicano.
El magistrado Reynoso indica que se han dado casos en que la falta de controles internos del personal que labora en un determinado banco, ha permitido la sustracción de datos personales. En ese sentido, afirma que la Procuraduría se ha reunido con la Asociación de Bancos Comerciales de la República Dominicana (ABA), y sus afiliados han reforzado su seguridad interna.
DL insistió con la ABA para conocer los esfuerzos para proteger los datos de la cartera de clientes, y cómo afectan los fraudes al sector, pero la Asociación prefiere no conversar sobre el tema. Alega que es delicado para la banca.
Ante la negativa, este medio consultó a varios bancos para conocer sus prácticas de seguridad. En el Popular, que posee una de las mayores carteras de clientes del país, Esteban Martínez-Murga, su Gerente de Comunicaciones, explicó que la compañía es la primera entidad financiera de la nación en implementar la tecnología de chip en sus tarjetas, introduciendo la Tarjeta Visa Débito con este dispositivo en enero de 2012.
"Según datos suministrados por las marcas internacionales de tarjetas, en los mercados en los que se ha extendido el uso del chip, los fraudes por falsificación se han reducido a su mínima expresión, porque clonar el chip resulta muy difícil", indicó.
Mercedes Canalda, presidenta ejecutiva del Banco de Ahorro y Crédito Adopem, señaló que aunque la banca hoy día es supervisada y ejerce controles internos, la devolución de los montos robados le afecta. "Se estima que el 50 por ciento del total de los fraudes que pasan con tarjetas de crédito deben de reponerle el dinero al cliente, y generan una pérdida para los bancos", dijo.
Jesús Benedicto Díaz, presidente de Banesco Dominicana, un banco internacional con presencia en países de América y España, manifestó que los delitos que se cometen con las tarjetas de crédito "constituyen un problema, no sólo para los clientes y para las entidades financieras, sino también para el sistema económico nacional e internacional".
"En Banesco hacemos importantes y constantes inversiones en innovaciones tecnológicas y mecanismos de seguridad con el fin de minimizar el impacto y mitigar daños. También trabajamos con mentalidad de adelantarnos a quienes delinquen", aseguró.
¿Qué hacen los bancos?
Para conocer algunos de los mecanismos de protección de datos usados en el país, DL consultó a una persona ligada a la tecnología bancaria, quien explicó que las entidades financieras cuentan con sistemas de seguridad, que si bien hay más costosos que garantizan un mayor nivel de protección, son los más aplicados a nivel local.
Citó la autenticación del usuario con contraseñas fijas y variables, entre éstas últimas el denominado "token", que genera claves aleatorias con base en algoritmos.
Otra modalidad son aplicaciones para el análisis predictivo de comportamiento fraudulento que establece un patrón que sugiere eventos de riesgo, un mecanismo menos costoso, y que permite que un representante contacte al usuario si ve un movimiento sospechoso.
Éstos y otros procesos mantienen a la banca en una constante renovación para enfrentar el robo de los datos que manejan de miles de usuarios, un delito que las autoridades afirman que persiguen.
Cómo evitar fraude
Julio Muñoz, director de Prousuario de la Superintendencia de Bancos, indica que la institución vigila que los bancos cumplan con el sistema de protección de datos, e insta a los clientes a reclamar cuando entiendan que han sido afectados. Los pasos para resolver un fraude incluyen varios entes, como el mismo banco, Prousuario, el Dicat, la Procuraduría y el Indotel.
Algunas sugerencias de la Procuraduría y Prousuario para evitar un fraude son:
- No pierda de vista qué hace con su tarjeta quien la toma para cobrar lo consumido, inclusive si es en un restaurante.
- Seleccione PINs difíciles de detectar.
- Al finalizar sus operaciones, asegúrese de cerrar su sesión correctamente.
- Modifique sus códigos de contraseña periódicamente.
- Nunca guarde sus códigos en su computadora personal.
- Destruya las facturas, estados de cuenta, recibos de cajeros automáticos y ofertas de tarjetas de crédito antes de botarlos.
- Revise sus informes de crédito.
En los últimos seis años, 432 casos de robo de datos bancarios a través de páginas web o correos electrónicos fraudulentos pusieron en juego más de RD$120 millones de cuentas en República Dominicana.
De 11 entidades bancarias con fraudes reportados, los clientes de dos fueron los más perjudicados. Sólo una compañía financiera fue víctima de 168 casos que involucraron RD$14,843,745; US$74,429.89 y €1,000. La otra totalizó 139, envolviendo RD$8,780,704.
El Departamento de Investigación de Crímenes y Delitos de Alta Tecnología (DICAT), de la Policía Nacional, reporta que estos 432 casos fueron resueltos y los montos recuperados. Sin embargo, ¿cómo lograron desviarlos?
La modalidad usada fue la denominada "phishing" (del inglés fishing: pesca), un término informático, que Microsoft define como un tipo de robo de identidad en línea, a través del correo electrónico y páginas de Internet fraudulentas diseñadas para robar información personal, como números de tarjetas de crédito, contraseñas y datos de cuentas.
Entre 2007 y principios de 2013, el DICAT manejó 860 denuncias de "phishing". Sin embargo, desde febrero de ese año, cuando se creó la Procuraduría Especializada contra Crímenes y Delitos de Alta Tecnología, hasta finales de 2013, se recogieron 963. Esto significa que en sólo seis años, se han conocido 1,823 querellas, resolviéndose 1,050, para el 57.5%.
Miles al día
Años atrás, un correo electrónico "phishing" podría considerarse como uno más de la lista de "basura". Aunque las estadísticas indican que el e-mail es menos usado para estos ataques, los "phishers" han perfeccionado los mensajes hasta hacerlos parecer confiables.
Una víctima contó a DL que consideró fidedigno un correo que llegó a su bandeja, solicitándole que renovara su tarjeta de códigos para transacciones bancarias. Suministró la información, y de inmediato le sustrajeron su quincena de RD$12,700.
Mejor suerte corrió otro usuario. Recibió un correo de su "propio" banco para rehabilitarle su tarjeta de claves. Se dio cuenta de que el mensaje comprendía una imagen alojada en una dirección de una página de Internet sobre diabetes, y lo descartó.
Entre mayo de 2011 y abril de 2013, unos 37.3 millones de usuarios a nivel mundial fueron sujetos de un ataque de "phishing"; el 20% se identificaba como una entidad bancaria. Así lo reporta el estudio "Evolución de los Ataques Phishing 2011-2013", de Kaspersky Lab, una empresa internacional especializada en productos para la seguridad informática.
Kaspersky señala que 102,100 internautas recibieron ataques "phishing" cada día entre 2012-2013. En tanto que Websense, una compañía que trabaja en la protección de organizaciones contra ataques cibernéticos y robos de datos, estima que el porcentaje de intentos de "phishing" en todo el tráfico de correo electrónico se redujo a 0.5 % en 2013, frente al 1.12 % de 2012.
La República Dominicana no figura entre los países más atacados. Kaspersky indica que el 64.05% de las víctimas fueron de Rusia, Estados Unidos, India, Alemania, Vietnam, Reino Unido, Francia, Italia, China y Ucrania. Mientras que Websense establece un conteo de las 10 principales naciones que hospedan las direcciones (URL) de páginas de Internet de "phishing": (1) China, (2) Estados Unidos, (3) Alemania, (4) Reino Unido, (5) Canadá, (6) Rusia, (7) Francia, (8) Hong Kong, (9) Holanda y (10) Brasil.
Las autoridades dominicanas no manejan las estadísticas de la cantidad de "phishing" que se envía cada día en el país, pero conocen cómo funcionan. El director del DICAT, coronel Licurgo Yunes, explica que una de las maneras empleadas es usar listas de correos masivos para tomar las direcciones y enviarles el correo malicioso.
En el caso de fraudes a bancos, en un amplio universo, puede coincidir que entre los destinatarios existan usuarios con una cuenta en la institución financiera falseada que, creyendo que es real, accedan a la página, y suministren sus datos, para darse cuenta después que fueron estafados.
Por su experiencia, el coronel Yunes afirma que aquellos con más bajo nivel educativo y financiero son los más propensos a caer en un "phishing".
¿Cómo detectarlos?
En su estudio: "Los 10 países que más hospedan phishing y las 5 líneas de asunto más peligrosas", Websense destaca que los ciberdelincuentes están orientando sus ataques a usuarios, a quienes han investigado a través de las redes sociales, y les han creado un perfil.
La empresa destaca que, según investigaciones realizadas entre enero a septiembre de 2013, las cinco principales líneas de asunto en los correos electrónicos "phishing" son invitación a conectarse en la red social de contactos profesionales LinkedIn; "La entrega del mensaje ha fallado: devolver el mensaje al remitente", "Querido cliente del banco", "Comunicación importante" y "Mensaje no entregado devuelto al remitente".
Los atacantes crean una copia detallada de la página falseada, con una URL similar, a la que reemplazan uno o varios caracteres, que a veces son imperceptibles a primera vista.
DL consultó a la empresa dominicana Wepsys, dedicada a ingeniería de softwares bancarios, y a Engel Rivas, docente en el Diplomado de Seguridad de la Información del Instituto Tecnológico de las Américas (ITLA), para conocer el proceso de un ataque "phishing", y cómo se determina la falsedad de la URL de una página. Para mejor entendimiento, suministraron a este medio unas gráficas que acompañan este reportaje.
El Banco Popular, uno de los bancos del país con más cartera de clientes, recomienda "siempre ignorar y borrar" los correos "phishing". "Las entidades financieras no piden informaciones similares por esta vía. En caso de haber pinchado los enlaces, aconsejamos entonces pasar de inmediato un programa antivirus, ya que el equipo puede estar comprometido".
La entidad financiera maneja un software de seguridad denominado Vigía Web, que alertará al cliente si su computadora está siendo vulnerada.
Sin embargo, a pesar de los esfuerzos contra el "phishing", Websense asegura: "Esta técnica de ataque nunca desaparecerá, y seguirá siendo una de las causas de dolor de cabeza de los profesionales de seguridad".
Cómo prevenir
- Nunca revele información por la Internet sobre su nombre de usuario, contraseña y números de cuentas.
- Si entra a la página de un banco, asegúrese de que en la URL aparezca un símbolo de seguridad, como un candado amarillo.
- Esté pendiente de que la dirección URL no tenga errores.
- Si un amigo o desconocido le envía un enlace en las redes sociales o mensajería instantánea, trate de identificar primero hacia dónde dirige.
- Si recibe un mensaje con un hipervínculo, las plataformas de "emails" (y los "browsers") permiten que si se posiciona sobre el enlace, le aparezca en una esquina de la pantalla la dirección hacia dónde lo llevará el vínculo. Si no hay congruencia, usted está frente a un correo "phishing".
- Si sospecha que fue víctima, cambie sus contraseñas y acuda a su banco.
- Remita cualquier correo o mensaje phishing a dicat@policianacional.gov.do o a la cuenta de Twitter @DICAT_PN.
Relacionado/ Febrero 11, 2014
Fraudes bancarios en RD son el 80% de los ciberdelitos
Para hablar con su amigo sobre lo que le atormentaba, primero le hizo una exigencia: "Retira la batería de tu celular". Estaba paranoico; creía que lo observaban. Su tranquilidad se esfumó cuando se enteró que robaron sus datos bancarios, clonaron sus tarjetas de crédito, y hasta tomaron préstamos a su nombre.
Su caso está dentro del universo de clientes víctimas de fraude a través del robo de su información bancaria, que si bien para 2012 se redujo en América Latina y el mundo de 18 centavos perdidos por cada US$100 pagados, a 5 centavos por cada US$100, el delito sigue siendo una amenaza. En la región, México, Brasil, Colombia y Venezuela han llegado a liderar las tasas de estafas.
En República Dominicana, atacar a los clientes de las instituciones financieras supone el 80% de los casos del ciberdelito, según la Procuraduría, siendo las consecuencias principales la clonación de tarjetas y transferencia de dinero, sin dejar a un lado el muy usado "phishing".
Entre octubre de 2010 y diciembre de 2013, la Superintendencia de Bancos recibió 9,861 reclamaciones de transacciones fraudulentas de los usuarios. Y para conocer la situación de los lectores, DL realizó una encuesta en su página web que arrojó que de 131 participantes, el 44% alguna vez fue víctima de robo de sus datos bancarios.
Para 2013, la cantidad de tarjetas de crédito en República Dominicana era de aproximadamente 2.5 millones. En los últimos 10 meses, la nueva Procuraduría Especializada contra Crímenes y Delitos de Alta Tecnología decomisó más de 3 mil plásticos que estaban en manos de delincuentes, según informa el titular de esa dependencia, John Henry Reynoso Ramírez. En ese mismo período, recibió 562 denuncias de clonación.
Un negocio rápido y sigiloso
Tras cenar en un restaurante, "Susana" y "Alberto" pagaron el consumo con sus respectivas tarjetas de crédito. Días después, el banco llamó al padre de "Susana", para advertirle que la tarjeta de su hija se usó en una estación de gasolina. El detalle es que ella ni vehículo poseía. El resultado: las tarjetas de ella y "Alberto" fueron clonadas donde cenaron.
El coronel Licurgo Yunes, director del Departamento de Investigación de Crímenes y Delitos de Alta Tecnología (Dicat) de la Policía Nacional, es reservado al explicar cómo operan las bandas clonadoras. Explica que utilizan un instrumento llamado "beeper" para copiar los datos de la cinta magnética de la tarjeta.
Aunque con la clonación se pueden hacer estafas cuantiosas, el comandante dice que los delincuentes no tienen que esforzarse en instalar un sistema complejo. "Cuando se trata de fraude bancario estamos hablando de bandas que ya conocen cómo funciona este sistema, y que lo único que desean es obtener dinero de una u otra forma. Son jóvenes (en su mayoría) entre los 20 y 30 años, luego pasan de 30 a 50 años, pero es más un delito juvenil, de tecnología, de conocimiento", dice Yunes.
En mayo de 2013, las autoridades de Estados Unidos acusaron a siete dominicanos de integrar un grupo internacional de piratas informáticos que usó datos de tarjetas de débito para robar US$45 millones.
A principios de enero de 2014, la Dirección Central de Investigaciones Criminales (Dicrim) desmanteló dos laboratorios clandestinos en los sectores 27 de Febrero y Espaillat, utilizados para clonar tarjetas de crédito y débito, y luego estafar bancos, comercios y usuarios. Fueron ocupados 697 plásticos listos para usarse o en proceso, y equipos electrónicos para clonar las bandas magnéticas y numerar.
¿Qué falla en el sistema?
Sólo en 2011, los fraudes con tarjetas de crédito costaron RD$341.56 millones al sistema financiero dominicano.
El magistrado Reynoso indica que se han dado casos en que la falta de controles internos del personal que labora en un determinado banco, ha permitido la sustracción de datos personales. En ese sentido, afirma que la Procuraduría se ha reunido con la Asociación de Bancos Comerciales de la República Dominicana (ABA), y sus afiliados han reforzado su seguridad interna.
DL insistió con la ABA para conocer los esfuerzos para proteger los datos de la cartera de clientes, y cómo afectan los fraudes al sector, pero la Asociación prefiere no conversar sobre el tema. Alega que es delicado para la banca.
Ante la negativa, este medio consultó a varios bancos para conocer sus prácticas de seguridad. En el Popular, que posee una de las mayores carteras de clientes del país, Esteban Martínez-Murga, su Gerente de Comunicaciones, explicó que la compañía es la primera entidad financiera de la nación en implementar la tecnología de chip en sus tarjetas, introduciendo la Tarjeta Visa Débito con este dispositivo en enero de 2012.
"Según datos suministrados por las marcas internacionales de tarjetas, en los mercados en los que se ha extendido el uso del chip, los fraudes por falsificación se han reducido a su mínima expresión, porque clonar el chip resulta muy difícil", indicó.
Mercedes Canalda, presidenta ejecutiva del Banco de Ahorro y Crédito Adopem, señaló que aunque la banca hoy día es supervisada y ejerce controles internos, la devolución de los montos robados le afecta. "Se estima que el 50 por ciento del total de los fraudes que pasan con tarjetas de crédito deben de reponerle el dinero al cliente, y generan una pérdida para los bancos", dijo.
Jesús Benedicto Díaz, presidente de Banesco Dominicana, un banco internacional con presencia en países de América y España, manifestó que los delitos que se cometen con las tarjetas de crédito "constituyen un problema, no sólo para los clientes y para las entidades financieras, sino también para el sistema económico nacional e internacional".
"En Banesco hacemos importantes y constantes inversiones en innovaciones tecnológicas y mecanismos de seguridad con el fin de minimizar el impacto y mitigar daños. También trabajamos con mentalidad de adelantarnos a quienes delinquen", aseguró.
¿Qué hacen los bancos?
Para conocer algunos de los mecanismos de protección de datos usados en el país, DL consultó a una persona ligada a la tecnología bancaria, quien explicó que las entidades financieras cuentan con sistemas de seguridad, que si bien hay más costosos que garantizan un mayor nivel de protección, son los más aplicados a nivel local.
Citó la autenticación del usuario con contraseñas fijas y variables, entre éstas últimas el denominado "token", que genera claves aleatorias con base en algoritmos.
Otra modalidad son aplicaciones para el análisis predictivo de comportamiento fraudulento que establece un patrón que sugiere eventos de riesgo, un mecanismo menos costoso, y que permite que un representante contacte al usuario si ve un movimiento sospechoso.
Éstos y otros procesos mantienen a la banca en una constante renovación para enfrentar el robo de los datos que manejan de miles de usuarios, un delito que las autoridades afirman que persiguen.
Cómo evitar fraude
Julio Muñoz, director de Prousuario de la Superintendencia de Bancos, indica que la institución vigila que los bancos cumplan con el sistema de protección de datos, e insta a los clientes a reclamar cuando entiendan que han sido afectados. Los pasos para resolver un fraude incluyen varios entes, como el mismo banco, Prousuario, el Dicat, la Procuraduría y el Indotel.
Algunas sugerencias de la Procuraduría y Prousuario para evitar un fraude son:
- No pierda de vista qué hace con su tarjeta quien la toma para cobrar lo consumido, inclusive si es en un restaurante.
- Seleccione PINs difíciles de detectar.
- Al finalizar sus operaciones, asegúrese de cerrar su sesión correctamente.
- Modifique sus códigos de contraseña periódicamente.
- Nunca guarde sus códigos en su computadora personal.
- Destruya las facturas, estados de cuenta, recibos de cajeros automáticos y ofertas de tarjetas de crédito antes de botarlos.
- Revise sus informes de crédito.
![](https://www.pinterest.com/pin/create/button/?url=https://www.sfmnews.com/2014/02/fraudes-bancarios-son-el-80-de-los.html&media=https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjU4igFANG5OkmJm3H-DXYQIIWA5_EpQq-8SBRREkPFsvODyvuCoaN0gNN6eTRBzUN44UZlyNq_xFOgxwNBrNA2VJuQfEW0xcmiSimgzElRjzSeFhYc7qCckhyphenhyphensDG15-vO6TKkaYTuNMXU/s1600/laptop.gif&description=Más de 2 mil sometidos por clonación tarjetas y "phishing" en RD ){kind=link}
0 Comentarios