Tras la oleada de ciberataques a empresas, llega el 'turno' de los clientes: "Nos engañaron porque tenían datos que sólo sabía nuestro banco"

Llegan los asaltos a las "autopistas de la información":​

​

Tras la oleada de ciberataques a empresas, llega el 'turno' de los clientes: "Nos engañaron porque tenían datos que sólo sabía nuestro banco"​

Aunque no se filtraron contraseñas, la información obtenida permite realizar estafas más sofisticadas y dirigidas a los usuarios de los servicios de estas compañías


Varias personas utilizan un cajero automático en Madrid.FELIPE DÍAZ DE VIVAR

Guillermo del Palacio

Actualizado Lunes, 3 junio 2024 - 22:51
Tras los ataques a empresas como Iberdrola, Santander o Telefónica, las compañías se apresuraron en asegurar que no se había comprometido información sensible de los cientos de miles de afectados. Sin embargo, los criminales no necesitan únicamente contraseñas para beneficiarse y, de hecho, los expertos en ciberseguridad ya advierten que la filtración de estos datos podría tener consecuencias próximamente.
La clave está en la sofisticación de las estafas. Hace tiempo que el timo del príncipe nigeriano ha quedado en segundo plano y ha dado paso a ataques mucho más dirigidos y profesionalizados. El phishing, por ejemplo, consiste en hacerse pasar por una entidad de confianza para que el usuario instale programas maliciosos o proporcione sus claves creyendo que está interactuando, por ejemplo, con su banco o con una empresa de mensajería. De ahí que se multipliquen en Navidad, cuando es más probable caer al recibir un mensaje que avisa de que hay un problema con un paquete sin saber exactamente cuál es.

Thank you for watching
Sin embargo, no sirve de mucho si a un cliente de una entidad le llega un correo de otra con la que no ha contratado servicios. Pero tiene más probabilidades de éxito si es exactamente su banco quien, en teoría, le escribe y, además, lo hace hablándole de sus cuentas o aportando información personal como DNI o dirección postal. La nueva versión de este tipo de estafas toma forma de llamada -en la que se puede llegar a suplantar el número de teléfono de una sucursal- en la que los delincuentes se hacen pasar por el banco.
"Cuando te enfrentas a un robo de datos, lo que puedes esperar del robo de datos es que se vendan en la dark web", ilustra José Rosell, socio fundador de la empresa especializada en ciberseguridad S2 Grupo. "Evidentemente, esos datos se compran y se pagan por algo; siempre que hay un robo de datos en un proveedor hay un interés económico detrás", resume.



El comprador, explica, "lo que va a buscar es obtener datos para diseñar nuevos ataques". Puede ser phishing o puede servir, incluso, para chantajear -en el caso de historiales médicos, por ejemplo- o para acceder a los sistemas de una empresa, infectar los equipos, bloquearlos, cifrar todo el contenido que almacenaban y pedir un rescate para recuperar la información, como ocurrió hace años con WannaCry.
"En nuestro caso, recibimos una llamada por un supuesto empleado del equipo de seguridad de ING", rememora Miguel Ángel, que hace seis meses perdió todos sus ahorros tras una de estas llamadas. "El número desde el que nos llamó era el de la sucursal de O'Donnell de esta entidad bancaria, algo que comprobamos durante la llamada buscando la información por internet y haciendo una llamada desde otro smartphone", explica.
A pesar de que desconfió durante bastante tiempo, el estafador les dio "detalles privados de nuestros servicios contratados con ING y algunos de nuestros movimientos: número de cuentas, últimos dígitos y cotitulares de éstas, saldo disponible, etc". "Consiguió quebrar nuestra desconfianza para robarnos más de 10.000 euros", lamenta hoy en conversación con EL MUNDO.
Ellos, explica, no habían sufrido un ataque para hacerse con sus datos -de hecho, el banco se lo confirmó-, por lo que cree que "el banco o algún proveedor de éste ha debido sufrir una filtración de datos masiva, como ya ha ocurrido en el sector bancario con anterioridad y cómo está pasando en empresas de telefonía en los últimos días".
De cara a la utilización de estos datos para realizar ataques sofisticados, Rosell da una palabra clave: "Desconfiar". "Los malos son malos, no son orates y saben bastante bien lo que hacen; es su trabajo", continúa. "Son profesionales de su trabajo y saben muy bien lo que tienen que hacer, con lo cual lo que tenemos que hacer es identificar la situación de riesgo en la que estamos", incide Rosell. "Tenemos que aprender que la privacidad ya no existe y, por tanto, aunque la gente sepa tus datos no se debe dar información".
MÁS EN EL MUNDO


En este sentido, recuerda que cuando le roban datos a una compañía, tiene la obligación de notificar al cliente que esto ha sucedido. Por supuesto, esto supone también que es "absolutamente fundamental" cambiar las contraseñas si se han visto comprometidas, pero también saber a qué atenerse. Y, además, no dar nunca información por teléfono, evitar seguir enlaces ni descargar archivos en el correo electrónico si no se han solicitado y, ante la duda, acudir a una oficina o contactar directamente con el banco o entidad a través del teléfono que aparezca en su web.
"Varias personas ya me han dicho que por unos 1.000 euros se pueden conseguir datos privados de más de 30.000 usuarios de ING en la Deep Web", lamenta por su parte Miguel Ángel. "Los datos de los ciudadanos no están siendo bien custodiados y nosotros solo pedimos que los bancos asuman parte de responsabilidad en esta lacra".

lo hace hablándole de sus cuentas o aportando información personal como DNI o dirección postal.



"Hola Paco, pon tu número de cuenta y la clave en la casilla siguiente".

País de estultoes.