Pero los bancos tienen otros controles y medidas de seguridad, por lo que, en estos casos, el hacker prefiere quedarse en la computadora de la víctima y puede permanecer paciente durante meses. Y cuando concreta el ataque, pueden pasar días para detectarlo, asegura José Amado, director de Ciberseguridad Outsourcing para Sistemas Aplicativos (Sisap).
Con base en esa evidencia, algunos bancos han implementado iniciativas de concienciación, enviando correos electrónicos de manera frecuente con recomendaciones para el usuario. Algunos también incluyen esos mensajes en los canales oficiales de la entidad, en la aplicación móvil y en la página web, con la finalidad de educar a los clientes.
A esta dinámica se le conoce como “educación al eslabón más débil”, como se le considera en ciberseguridad al usuario, pues la metodología puede estar bien, al igual que los procesos y la tecnología, pero no se puede controlar cómo y cuándo, el usuario va a dar clic aun correo malicioso.
Por lo tanto, se recomienda utilizar un doble factor de autenticación, lo cual dificulta la vulneración de un acceso biométrico. Y para transacciones voluminosas, se recomienda a los clientes particulares y organizaciones, establecer controles de verificación.
Hay una tendencia mundial a ya no utilizar contraseñas, pues representan una carga administrativa fuerte y conmina a los usuarios a utilizar a su favor los accesos biométricos como los que ofrecen los dispositivos móviles.
Otra recomendación es establecer controles de prevención, como una verificación fuera de línea para que el usuario haga las confirmaciones del caso cuando necesite realizar determinada operación.
La temporalidad de las campañas antiphishing, se caracteriza por tener toda una infraestructura de soporte. Las cuentas falsas se mantienen constantes y aparte de eso, tienden a llevar mensajes de origen sospechoso, lo cual es una alerta para no abrir el mensaje, advierte el experto.
Las recomendaciones
Lo fundamental es hacer conciencia entre los clientes y usuarios finales, para que sepan los procedimientos de ingeniería social que utilizan los atacantes. Por eso, las campañas constantes de las instituciones financieras a través de boletines, eventos y otras son tan importantes.
Las entidades bancarias hacen lo propio para orientar a sus clientes en cuanto a las prácticas delictivas que pululan en el espacio cibernético, con mensajes en el correo electrónico o en el portal web de la entidad, así como en los puntos de atención en las agencias bancarias.
Entre estos, subrayan el hecho de que el banco nunca les solicitará información confidencial como contraseñas, pin, códigos o tokens, así como por correo electrónico, llamada telefónica o por medio de encuestas o promociones.
Niveles de pérdidas
Las pérdidas que resultan de los ataques, dependen del impacto que este genera. Uno de ellos es el daño o destrucción de información confidencial de los bancos. Otro es el dinero robado, lo que es mucho más fácil cuantificar; así como la interrupción de la actividad de la función móvil; o que la web del banco no esté disponible.
Al pasar la contingencia, hay una investigación que también tiene un costo, más el de restauración del equipo y los servicios, que puede incluir otras medidas de ciberseguridad que muchas veces resultan en productos. Esto puede conllevar a una inversión en tecnología que no se tenía contemplada, lo cual aumenta la cuantificación.