Palabras clave contra la ingeniería social, una estrategia bancaria en auge
Los bancos ya emplean palabras clave contra la ingeniería social para evitar que empresas y ciudadanos faciliten datos financieros a delincuentes que suplantan la identidad de personal de las entidades
«No viene de España, pero es toa’ una Bad Gyal» dice una canción de Bad Bunny, uno de los artistas más escuchados del planeta, que se hizo en viral en TikTok hace poco más de un año. O eso parecía a simple escucha. Porque la realidad es que NostalgIA no es una canción compuesta y cantada por el músico puertorriqueño, sino por una Inteligencia Artificial. El resultado es tan realista que hasta la propia Bad Gyal se lo creyó.
Ya hay en el mercado IA generativas de voz tan precisas que no solo pueden emular la forma de cantar o hablar de famosos, sino también de ciudadanos comunes y corrientes. Y no solo nos referimos al tono de voz, sino también a las inflexiones y al resto de cualidades que provocan que se pueda identificar a una persona con solo escucharla.
Estas herramientas se pueden emplear de manera legítima y productiva, como hizo Cruzcampo al traer de vuelta la voz y el rostro de Lola Flores para realizar un icónico anuncio de cerveza; pero también es posible usarlas de manera perniciosa o maledicente. Así, en los últimos dos años han proliferado los fraudes digitales a ciudadanos que recurren a deepfakes de voz para suplantar la identidad de personas y conseguir que las víctimas realicen acciones peligrosas: facilitar contraseñas o datos financieros, realizar transferencias bancarias…
Esta nueva tendencia incrementa los peligros a los que se enfrenta la ciudadanía y aumenta el riesgo de sufrir estafas. ¿Qué pueden hacer los bancos y las personas para evitar los fraudes?
Las principales entidades financieras de nuestro país están probando a usar palabras clave contra la ingeniería social para ofrecer garantías a sus clientes a la hora de hablar con ellos por teléfono. ¿Es eficaz esta estrategia?
A continuación, desgranamos cómo funcionan los deepfakes de voz y analizamos los beneficios de usar palabras clave contra la ingeniería social en la relación entre los bancos y los consumidores.
Los ciudadanos nos hemos acostumbrado al phishing, al smishing y al vishing
¿Cuántos emails recibes anunciándote que has ganado un premio o conminándote a que hagas clic en un enlace o introduzcas credenciales de acceso a un e-commerce? ¿Y SMS que provienen, supuestamente, de tu banco, de una empresa o de paquetería o de tu compañía energética alertándote sobre problemas con tu cuenta, tu pedido o tu suministro de luz? ¿Has recibido últimamente alguna llamada telefónica de un supuesto servicio de atención al cliente de tu compañía de internet que te solicita tus datos financieros por una incidencia con la facturación de sus servicios?
Los intentos de fraudes nos acosan por tierra, mar y aire. Es rara la semana que no recibamos una llamada, un mail o un SMS malicioso.
¿Qué es lo único bueno de esta pandemia de ciberestafas? Que gran parte de la ciudadanía desconfía ya de los mensajes que:
- Buscan causar miedo.
- Intentan generar una sensación de alerta e inmediatez.
- Redirigen a los consumidores a páginas donde deben facilitar datos privados o los solicitan directamente a través de llamadas.
De la pesca de arrastre a la caza selectiva: Las estafas se están sofisticando
Precisamente, el incremento de la suspicacia de los ciudadanos ha llevado a los ciberdelincuentes a diseñar estrategias más sofisticadas, complejas y personalizadas.
Junto a las campañas de phishing o smishing masivo que envían a decenas de miles de personas el mismo mensaje, han ido surgiendo campañas que se centran en targets específicos.
Así, las ciberestafas bancarias a empresas, los fraudes del CEO o timos dirigidos a profesionales y ciudadanos con recursos se han convertido, ya, en el pan nuestro de cada día. ¿Por qué? Mediante estas técnicas, los delincuentes pueden monetizar su trabajo de una forma relativamente sencilla e inmediata. Además, esta clase de objetivos disponen de más dinero en sus cuentas y, por ende, pueden ser objeto de transferencias económicas de mayor cuantía.
Sin embargo, realizar esta clase de ataques con éxito también es más difícil. Puesto que estos perfiles tienen más conocimientos y actúan con mayor cautela.
Por ello, los delincuentes tienen que diseñar estafas más complejas y personalizadas para seducir a las víctimas sin levantar suspicacias y lograr que realicen la acción que desean: introducir sus contraseñas en una página de login falsa, facilitarlas vía telefónica, etc.
Las IA también pueden emular la voz de personas anónimas
Para conseguir que las estafas online personalizadas tengan éxito, los malos no solo tienen que realizar una investigación de la víctima (información de contacto, lugar de residencia, ocupación profesional, banco con el que trabaja…), sino que necesitan sacarle el máximo partido a la tecnología que tienen a su alcance.
En este sentido, en la Dark Web se comercializan paquetes para atacar a personas y empresas que incluyen servidores para las páginas de login falsas e, incluso, malware.
Pero, además, los delincuentes le están ya sacando partido a la IA generativa para escribir los mensajes, emular la imagen corporativa del banco al que pretenden suplantar o, lo que es mucho más preocupante, realizar deepfakes de voz para hacerse pasar por trabajadores de una entidad financiera.
Así, un ciudadano cualquiera puede recibir una llamada de teléfono de su gestor de confianza. ¿Por qué le llama? Para informarle de un nuevo producto financiero que se adapta a sus necesidades y objetivos o para alertarle de un problema con su cuenta. La persona que realiza la llamada habla exactamente igual que el gestor. ¿Por qué iba a desconfiar el ciudadano?
Como consecuencia de ello, si el falso gestor le pide información crítica que permitiría el acceso a la cuenta o la validación de transferencias, es muy probable que la víctima se la otorgue sin percatarse de que está sufriendo una estafa. Y, así, el falso gestor podrá tener pleno acceso a su cuenta y realizar transferencias desde ella.
Emplear palabras clave contra la ingeniería social, una estrategia de los bancos frente al fraude y las reclamaciones de sus clientes
Ante este peligroso panorama, los bancos españoles han decidido implementar una nueva estrategia: usar palabras clave contra la ingeniería social. ¿En qué consiste?
Se le facilita a los clientes desde su entidad una palabra clave concreta. De tal forma que en el transcurso de una llamada, un ciudadano pueda hacer una determinada pregunta y el profesional al otro lado de la línea le conteste con la palabra clave establecida previamente. Así, el consumidor podrá saber a ciencia cierta que está hablando con un gestor de su banco y que no está siendo víctima de un fraude financiero.
¿Por qué los bancos han optado por establecer palabras clave contra la ingeniería social? El creciente número de ataques contra empresas y ciudadanos los han puesto en alerta. Puesto que esta clase de fraudes dañan su reputación de cara a los clientes y, además, pueden conllevar reclamaciones y conflictos legales con ellos.
De hecho, muchos ciudadanos que sufren fraudes bancarios además de presentar la pertinente denuncia ante la Policía, proceden a reclamar el dinero de una estafa online a sus bancos al entender que no implementaron los mecanismos de seguridad necesarios para evitar las estafas.
Así, el uso de palabras clave contra la ingeniería social permite a los bancos dotar de una capa de seguridad extra al acceso a las cuentas online de sus clientes y a la realización de transferencias. Una capa especialmente valiosa en lo que respecta a la lucha contra los deepfakes que, previsiblemente, serán cada vez más numerosos e inidentificables.
Por qué es efectivo usar palabras clave contra la ingeniería social y los deepfakes
Es curioso que para combatir el uso malicioso de una tecnología disruptiva se recurra a una estrategia clásica que la humanidad ha usado durante siglos. Al fin y al cabo emplear palabras clave contra la ingeniería social viene a ser una actualización del uso de contraseñas para dejar acceder a una persona a un local, casa o fortaleza.
Al pactar con el cliente que se van a usar palabras clave contra la ingeniería social en las llamadas, se añade un factor que solo pueden conocer los ciudadanos y los profesionales de la entidad financiera. ¿Por qué? La palabra clave figura solo en la ficha del cliente en los sistemas del banco.
Por lo tanto, para que los delincuentes pudieran acceder a esta información necesitarían colarse en los sistemas corporativos de la entidad bancaria y esto no es, precisamente, sencillo ni barato. Al fin y al cabo, el sector financiero está a la vanguardia en lo que respecta a la ciberseguridad y sus mecanismos de protección son los más complejos y eficaces del mercado.
Así que usar palabras clave contra la ingeniería social puede parecer una medida de seguridad rudimentaria, pero en realidad es muy inteligente y eficaz.
El valor del sentido común, la cautela y estar alerta para descubrir nuevas estafas
Además de implementar mecanismos como el uso de palabras clave contra la ingeniería social, ¿qué más puede hacer un ciudadano para protegerse frente a los intentos de estafas bancarias?
- Actuar siempre con sentido común. Muchos fraudes se producen porque no solemos creer que podemos ser víctimas de ellos y, por lo tanto, realizamos acciones peligrosas como hacer clic en enlaces de emails o mensajes sin comprobar que el remitente es real o facilitar nuestra clave de la banca online en una llamada telefónica sin estar 100% seguros de que quién nos llama es quién dice ser.
- Tener templanza y cautela. Las técnicas de ingeniería social siempre buscan generar en sus víctimas una angustiosa sensación de urgencia. De ahí que hagan hincapié en la existencia de problemas que es imprescindible resolver cuanto antes o que ofrezcan teóricos beneficios que se perderán si no se actúa de inmediato. Los ciudadanos tiene que imponerse a estas estrategias y actuar con sangre fría. Usar palabras clave contra la ingeniería social es una forma de validar de manera inmediata la identidad del emisor de una llamada telefónica. Otra alternativa frente a supuestos mensajes o llamadas es que el consumidor se ponga en contacto directamente con su oficina o con el servicio de atención al cliente oficial del banco para confirmar la veracidad de la información.
- Vivir conectado al mundo. Actualmente, los cambios se producen a una velocidad vertiginosa en todos los frentes, pero aún más en lo que respecta a la ciberseguridad. Una excelente forma de prevenir los fraudes es estar al corriente de las últimas tendencias y saber qué técnicas emplean los malos para estar ojo avizor.
En definitiva, los ciudadanos nos enfrentamos a una oleada de fraudes sin precedentes. Por eso, es importante tomar todas las medidas de precaución necesarias para evitar las estafas bancarias como puede ser el uso de palabras clave contra la ingeniería social.
Además, en caso de que una estafa se produzca, es imprescindible que la víctima, en primer lugar, acuda a poner la denuncia a la Policía. Y, en segundo lugar, es fundamental buscar el asesoramiento de un abogado especializado en Derecho Bancario y Tecnología. Este jurista estudiará el caso y estimará si es posible reclamar al banco el dinero sustraído ilegítimamente porque no dispuso de todos los mecanismos de seguridad necesarios para evitar el fraude, a pesar de que la víctima actuó con cautela y no realizó ninguna actuación negligente.
No hagas como Bad Gyal, si escuchas tu nombre a través del teléfono desconfía, aunque reconozcas la voz que lo pronuncia.
