BBVA México: Cómo Proteger A Los Clientes Corporativos Contra Los Ataques De Ingeniería Social Y Otros Ataques Similares

En un reciente seminario web, Cómo proteger a sus clientes contra los ataques de ingeniería social, hablamos con BBVA México sobre las tecnologías de ciberseguridad que utilizan para proteger a sus clientes corporativos contra estafas de phishing y otros tipos de ataques relacionados con el fraude.

BBVA es una de las instituciones financieras más grandes del mundo con operaciones en todo el mundo, lo que incluye América Latina. En 2020, BBVA fue seleccionado por la revista Euromoney como el mejor banco de América Latina. BBVA es también el banco más grande de México y precisamente ahí es donde trabaja nuestro invitado, Omar Bolaños. El Sr. Bolaños es Vicepresidente de Cash Management en Corporate & Investment Banking (CIB) para BBVA México.

Durante la conversación, el Sr. Bolaños explicó cómo BBVA se enfoca a que la banca digital sea segura y conveniente para sus clientes comerciales, particularmente en lo que respecta a los ataques de ingeniería social y los ataques llamados «person-in-the middle» o «man-in-the-middle». Si se perdió esta popular presentación, a continuación podrá ver un resumen de 5 minutos. También puede acceder a la presentación completa en cualquier momento.

¿Qué es la Ingeniería Social?

Cuando los delincuentes cibernéticos manipulan a las personas para robarles información valiosa, como sus datos personales o contraseñas, se habla de un ataque de ingeniería social.

Uno de los ciberataques de ingeniería social más comunes es el phishing. En estos casos, se utiliza la ingeniería social para defraudar al titular de una cuenta en línea y obtener su información personal financiera o credenciales de inicio de sesión fingiendo ser una identidad confiable, por ejemplo, un banco.

El phishing es una forma de ingeniería social que se aprovecha de la tendencia humana a confiar en los demás para obtener información confidencial. Las estafas de phishing a menudo utilizan la identidad de marcas conocidas y personas de confianza, y, cuando se llevan a cabo cuidadosamente, pueden ser muy creíbles. El phishing se realiza de múltiples maneras, y también a través de llamada telefónica, (también conocido como «vishing»),mensajes de texto SMS (el llamado «smishing»), servicios de mensajería como Skype y mensajes en las redes sociales.

La forma más común de phishing es a través de correo electrónico. Un mensaje de phishing tiene como objetivo crear una sensación de urgencia, a menudo fingiendo que la cuenta del usuario está en peligro. Luego los cibercriminales persuaden a las personas para que hagan clic en enlaces que:

• Los redirigen a un sitio web de banca falso diseñado para capturar sus sus datos bancarios, datos confidenciales o de inicio de sesión, o
• Le piden al destinatario que abra un archivo adjunto que, en realidad, lo que hace es instalar una pieza de software malicioso que recopila sus credenciales. (En el caso de los usuarios de dispositivos móviles, ni siquiera tienen que descargar un archivo adjunto. En lugar de eso, un enlace malicioso dentro de un mensaje de texto puede dirigir a un usuario a una página web que automáticamente descarga malware en su dispositivo).

El malware también puede interceptar las comunicaciones entre el cliente y el banco y enviar la información de regreso al atacante. 

Formas de ayudar a prevenir la ingeniería social

Las transacciones realizadas por los clientes de la banca corporativa suelen ser mucho más significativas y más frecuentes que las de los clientes de la banca personal. Esto ha llevado a un aumento en el phishing selectivo, que es una forma de ataques de phishing más precisa que apunta a objetivos específicos de alto valor, en lugar de tener como víctima a cualquier individuo.

La mayoría de los bancos confían en aplicaciones y dispositivos de autenticación de dos factores (2FA) para la autenticación del usuario cuando inicia sesión, así como para autorizar transacciones como pagos y transferencias de dinero y así aumentar la seguridad de la información. Los códigos de acceso de un solo uso emitidos por una aplicación de autenticación o un dispositivo de autenticación basado en hardware como Digipass también se utilizan para defenderse de los ataques de ingeniería social.

La tecnología Cronto de OneSpan va un paso más allá, sin renunciar a la comodidad. Los códigos Cronto son similares a los códigos QR y contienen datos cifrados específicos de cada transacción. Cuando los códigos Cronto se muestran en el portal en línea de un banco, el cliente los escanea con su dispositivo Digipass de OneSpan o con un teléfono inteligente confiable verificado, desbloqueando un código de acceso único que solo puede leer ese cliente específico en su número de teléfono específico. Luego, el código autoriza el pago, la transferencia de dinero de una cuenta bancaria u otra transacción financiera.

La tecnología Cronto también proporciona un nivel adicional de seguridad contra los ataques de «person in the middle». En estos ataques, los ciberdelincuentes interceptan transacciones digitales a través de malware o configurando puntos de acceso Wi-Fi maliciosos. De ambas maneras, cualquier información sensible transferida puede verse comprometida e incluso alterado maliciosamente.

¿Cómo ayuda Cronto a defenderse en estos casos? Si los datos de la transacción han sido alterados por un atacante (al que se conoce como persona en el medio porque el atacante ha entrado en la comunicación entre el cliente y el banco sin que ellos lo sepan), el código Cronto no coincidirá y no será posible autorizar esa transacción.

Las soluciones de Cronto hacen esto mediante la creación de una firma bancaria digital que es única para cada transacción, utilizando detalles como el número de cuenta, el monto de la transacción o cualquier otro texto o mensaje que el banco quiera enviar. Mantiene la integridad de los datos y garantiza la autenticidad. Esto significa que si una persona maliciosa intercepta una transacción financiera mientras va desde la computadora del cliente al servidor del banco, y altera los detalles de la transacción para aumentar la cantidad y redirigir los fondos a una cuenta diferente, no será posible autorizar la transacción y el banco la cancelará.

Al implementar las buenas prácticas y soluciones Cronto de OneSpan, el banco está a cargo del proceso de autorización de transacciones. Solo el banco puede iniciar la creación de un código Cronto y solo el dispositivo del destinatario puede escanear el código. Todos los datos están cifrados y la comunicación entre el cliente y el banco es segura.

Lo que opinan los clientes corporativos de BBVA sobre la tecnología Cronto

BBVA se actualizó pasando a los Autenticadores 760 y 785 de Digipass con tecnología Cronto por dos motivos.

“Primero, es muy importante para nosotros utilizar la última tecnología. En BBVA invertimos continuamente en seguridad e innovación. En segundo lugar, es porque Cronto es muy visual. Lo que se ve es lo que se firma. Nuestros clientes pueden ver su transacción en la pantalla y confirmar que coincide con lo que ven en su dispositivo de autenticación”, dice el Sr. Bolaños.

El código tipo QR puede incluso transmitir mensajes adicionales al cliente. Por ejemplo, digamos que el tesorero de una organización está transfiriendo dinero a la cuenta de un proveedor. Si el banco ya ha identificado esta cuenta como una cuenta mula, el banco puede usar la tecnología de Cronto para advertir al cliente en un mensaje y pedirle que tenga cuidado porque la cuenta a la que quiere transferir dinero ha sido identificada como una cuenta asociada a fraudes.

Algunos profesionales de finanzas corporativas que son clientes de BBVA explicaron que la sencillez y seguridad que ofrece la tecnología de OneSpan han ayudado a fortalecer la lealtad hacia BBVA. Un tesorero de México mencionó que era mucho más rápido usar un autenticador Digipass para autorizar una transacción, y explicó que es más rápido que los procesos que usan otros bancos.

Además, descubrieron que la tecnología Cronto de OneSpan ofrece un alto nivel de facilidad de uso. El enfoque visual de Cronto para la autorización de transacciones simplifica la experiencia porque reduce la interacción del usuario al verificar los detalles de la transacción. Los clientes simplemente apuntan su dispositivo autenticador Digipass a la pantalla (o lo hacen con su teléfono inteligente confiable verificado) e ingresan un código de respuesta en el navegador. Esto permite que todos los detalles de la transacción cifrada se comuniquen entre el banco y el cliente sin el riesgo de que haya hackers que los intercepten o alteren.

El balance final

Esta presentación explicó cómo los dispositivos Digipass de OneSpan, combinados con la tecnología Cronto patentada de OneSpan, ayudan a los bancos (y a sus clientes) a adelantarse a los delincuentes cibernéticos que utilizan técnicas de ingeniería social para engañar a individuos y organizaciones. Los clientes de BBVA expresaron confianza y satisfacción con las sólidas políticas y tecnologías de seguridad que BBVA ha implementado, y declararon que tienen la intención de usar BBVA con más frecuencia en el futuro.

Puede obtener más información sobre la asociación de OneSpan con BBVA y sobre cómo se utiliza la tecnología para proteger a los usuarios contra ataques de fraude viendo el seminario web en cualquier momento.