A través de una nueva función, la billetera virtual permite agregar contactos de confianza para reportar la pérdida/robo del celular y así evitar accesos de terceros.
La inseguridad y el robo de celulares, es una de las situaciones a las que nos podemos enfrentar día a día. Solo en la zona del AMBA se registraron unos 13 mil hurtos de teléfonos móviles, de acuerdo a fuentes judiciales.
Sumado a esto, las estafas virtuales también están muy vigentes, apuntando a usuarios de diferentes billeteras digitales, quienes dejan de tener acceso a sus cuentas una vez que caen en estafas por phishing u otra técnica delictiva.
Ante esto, Mercado Pago ofrece una función que puede salvar a sus clientes en caso de robo, pérdida del móvil, incluso marcar una diferencia ante una estafa.
¿En qué consiste?
A través de la función de “personas de confianza”, los usuarios de Mercado Pago tienen la posibilidad de designar hasta cinco amigos o familiares en quienes confíen para que reporten el robo o pérdida de su dispositivo.
Estos perfiles, pueden ayudar a cerrar inmediatamente todas las sesiones del afectado y desvincular los dispositivos, de forma que no se pueda acceder a ellos.
Para configurar esta función, hay que ingresar a la app, seleccionar Mi perfil >Seguridad >Personas de Confianza > Invitar persona de confianza. Luego, hay que ingresar el e-mail de los usuarios elegidos y esperar a que acepten.
Si te robaron o perdiste tu teléfono, tenés que reportarlo de inmediato para que tomemos medidas de seguridad sobre tu cuenta. Por eso, presentamos la herramienta Personas de Confianza para que tengas una alternativa para hacerlo. Abrimos hilo. #CiberCuidadospic.twitter.com/MZfdI2TwpV
Esto es un refuerzo de seguridad que lanzó la plataforma. Pero lo que se debe realizar es el bloqueo preventivo de la cuenta, ingresando a la web de Mercado Pago, Ayuda > Seguridad > ¿Qué hago si pierdo o roban mi celular?.
De esta manera, la billetera puede cerrar todas las sesiones activas de la cuenta y cualquier inicio de sesión nuevo, deberá ser mediante reconocimiento facial.
Además, la plataforma recomienda activar los diferentes métodos de verificación para corroborar que sea el titular de la cuenta quien está operando. Lo que incluye:
Reconocimiento Facial
Código QR, el usuario utiliza la app de MP para escanear el código que se vea en la pantalla de una computadora y utilizar la cuenta de forma segura.
Usar con precaución los códigos de verificación que recibís por SMS o WhatsApp, corroborar que el mensaje coincida con lo que se hace en la cuenta. Los códigos no se deben compartir con nadie.
La nueva estafa tiene que ver con Netflix, que afirma una cancelación en la cuenta del usuario.
Desde hace un tiempo, Netflix anunció para otros países la anulación de la cuenta de aquellos usuarios que comparten cuentas, aunque aún no define cómo a va a gestionar esta situación en todos los países donde presta servicio.
La plataforma explica que aquellos usuarios que compartan cuentas, van a tener que verificar que un usuario se encuentra dentro del mismo domicilio que la cuenta principal, para eso será necesario conectarse de la misma red Wi-Fi de la cuenta principal al menos una vez al mes. De lo contrario, se bloqueará el acceso al perfil secundario.
Si bien en principio, esta medida no afectaría al país, la empresa está evaluando hacer extensiva la misma para que también afecte a países como Argentina.
La poca información al respecto generó que haya dudas entre varios usuarios sobre cómo se llevaría a cabo efectivamente el nuevo plan control a las subscripciones. A partir de este desconocimiento, los ciberdelincuentes organizaron una nueva estafa que es muy difícil de detectar y en la que muchos usuarios caen al tratarse de una estafa por phishing.
Phishing es un método de estafa donde los ciberdelincuentes intentan que los usuarios hagan alguna acción, en un enlace que es copia de un sitio original.
Si los usuarios ingresan al link, ingresan a un sitio que emula la página de Netflix. Una vez dentro del sitio web falso, piden datos de pago para restablecer la cuenta y seguir disfrutando de Netflix: pero el verdadero objetivo es robar las credenciales bancarias.
Netflix, no hace envíos de mensajes de textos ni vuelve a pedir los datos de pago. Quien caiga en esta estafa, debe inmediatamente llamar al banco para solicitar el bloqueo de la tarjeta e intentar reducir los posibles daños.
En un nuevo Black Friday, una de las tradiciones comerciales más importantes de Estados Unidos, que marca el inicio de las compras navideñas y para muchos comercios supone buena parte de su facturación anual, también inician los ciberdelincuentes con sus estrategias de plagio.
Ante esto, Check Point Software Technologies, un proveedor de seguridad cibernética, advierte a los compradores de Black Friday que tengan cuidado con las estafas de phishing, ya que las marcas reconocidas DHL y Luis Vuitton están en la mira de los ciberdelincuentes.
En DHL, los especialistas descubrieron una campaña de correo suplantando a la empresa de entregas. Los correos se enviaron desde una dirección de correo electrónico “support@consultingmanagementprofessionals[.]com”, que se falsificaron para que aparecieran como si hubieran sido enviadas desde el sector de “seguimiento de envíos”.
El correo, que tenía una URL maliciosa adjunta, estaba diseñada para robar la identidad de la víctima, además de solicitar un pago por la entrega.
Por otra parte a Luis Vuitton, un CPR identificó un correo malicioso que se hacía pasar por la marca con el asunto “Black Friday”. “A partir de U$S100. Te enamorarás de los precios”, indicaba en el correo. después de hacer click, conducía al usuario a un sitio malicioso.
Durante el último mes el número de incidentes en estos dominios llegó a casi 15000.
Recomendaciones para comprar en línea en Black Friday
1-Cuidado con las ofertas: Durante esta temporada aumentan los correos de promociones y ofertas, aunque muchos de ellos son falsos. Para evitar ingresar a un enlace infectado, no hay que hacer click en los mismos, sino ingresar a la página principal del oferente, de preferencia digitando la dirección URL completa.
2-Proteger datos personales: “toda información que se comparte en redes sociales, datos, direcciones, gustos y preferencias, son de gran importancia para las tiendas online, también para los cibercriminales”, explicó Omer Dembinsky, de Check Point Sotfware.
Se debe colocar solo los datos obligatorios, no los opcionales, de ninguna plataforma, para evitar vincular las redes con tiendas online, así se evita que los datos se utilicen al responder preguntas de seguridad.
3-Tener cuidado con los permisos de las apps: Es sumamente importante controlar los permisos que solicita cada aplicación para descargarla, ya que muchas solicitan acceso y control sobre los SMS, el bluetooth o las fotos almacenadas en el dispositivo.
4-Utilizar redes privadas: Brindar conexiones desde dispositivos propios, en el caso de aplicaciones de compra se debe validar que estén verificadas por el establecimiento o marca que distribuye el producto. Si se utilizan redes gratuitas en lugares públicos, se debe hacer un uso limitado y con un bloqueador VPN.
5-En caso de utilizar PC mantener actualizado el antivirus: La protección antivirus, así como un detector de malware, debe ser utilizado en oficinas en los dispositivos personales.
Brindar las claves bancarias voluntariamente, no eximió a la entidad bancaria de su responsabilidad, así lo dictaminó la Cámara II en lo Civil y Comercial de La Plata, que se expidió sobre el caso de una docente jubilada que fue engañada por ciberdelincuentes.
Phishing viene del concepto de pesca (fishing) en inglés. Se reemplaza la f por la ph por cómo se hacían llamar los primeros hackers (Phreack) de la conjunción nace el término: Phishing.
Una docente jubilada de 65 años, oriunda de Quilmes, logró un revés judicial en materia de phishing, durante el juicio que está llevando a cabo contra el Banco Provincia. La justicia determinó que aunque ella brindó voluntariamente sus claves -mediante engaños- esto no exime la responsabilidad de la entidad bancaria en cuanto a la falta de actualización de las medidas de seguridad necesarias para evitar este delito.
Todo comenzó, en agosto del 2020 cuando la jubilada recibió un llamado telefónico de un supuesto empleado del Banco Provincia, que la convenció para le brindara un usuario y contraseña de homebanking, con la excusa que debía actualizar sus datos.
Días después, la señora constató que habían desaparecido unos $9 Mil pesos que habían depositado en concepto de adelanto de haberes, además que habían solicitado a su nombre un préstamo por $264 mil. El monto del préstamo había sido transferido a cuatro cuentas, desconocidas por ella, de dos bancos diferentes. Todo esto sin su consentimiento.
Debido a esta situación, la docente jubilada, presentó una denuncia penal correspondiente, además de solicitar al banco que dejara de cobrar las cuotas del préstamo que habían solicitado los ciberdelincuentes, obteniendo una respuesta negativa por parte del Banco Provincia.
Phishing es una técnica de plagio de la identidad mediante ingeniería social, por parte de ciberdelincuentes.
Casi dos años después el Juzgado en lo Civil y Comercial Número 16 de La Plata hizo lugar a una medida cautelar interpuesta por la defensa de la damnificada, para que el banco se abstenga del cobro hasta que no haya una sentencia de fondo.
No conforme con esta resolución, la entidad bancaria apeló a la medida ante la Cámara II en lo Civil y Comercial de La Plata. Argumentando que la “culpa o la torpeza”, fue de su clienta al haber brindado de manera voluntaria las claves de su homebanking y que de ninguna manera incumplió la normativa y las exigencias del Banco Central en materia de seguridad informática. Para ello habría llevado adelante numerosas campañas de marketing alertando a sus clientes sobre el phishing.
Más allá de estas campañas, “la realidad es que muchos de ellos (hablando sobre las estafas) se concretan porque las personas ceden sus claves y datos sensibles a terceros”, expresaron desde el Banco Provincia.
Si bien admitieron que esta modalidad tomó impulso gracias a la masiva digitalización de operaciones bancarias post pandemia, aseguraron que el banco “incrementó desde 2020 los mensajes en sus diferentes canales de comunicación (redes sociales, prensa, web, institucional y correos electrónicos) para difundir las recomendaciones de seguridad a la hora de operar a través de canales digitales y electrónicos”.
Como parte de estas políticas de prevención, detallaron que “incorporaron mecanismos de doble validación de identidad para operar en canales digitales” y en lo judicial formularon denuncias penales ante las autoridades jurisdiccionales en aquellos casos en que el banco pudo reconstruir la trazabilidad de las operaciones fraudulentas.
Más allá de estas explicaciones, el Banco Provincia, obtuvo un revés judicial que sentó jurisprudencia. “El Banco Provincia, erradamente apeló la medida y ese error los ha llevado a un camino infinito de precedentes que han sido muy favorables a mi representada. La gran brecha jurisprudencial se fija primero con las cautelares y luego con las sentencias de fondo”, expresó el abogado Marcelo Szelagowski.
Los magistrados Leandro Banegas y Francisco Hankovits entendieron que “los argumentos brindados por el banco no resultan suficientes”, asegurando que “parecería que las medidas bancarias vigentes se tornan obsoletas e insuficientes”. Además, solicitaron al Banco Provincia que encuentre “nuevas medidas de seguridad complementarias y superadoras de las vigentes”.
Szelagowski relató que el crédito se otorgó a los ciberdelincuentes de manera inmediata, luego de que los estafadores modificaran el perfil financiero de su clienta y que en cuestión de minutos ese dinero fue transferido a cuentas con la que la jubilada nunca había operado.
“Esto lleva a concluir que la palabra ‘seguridad electrónica bancaria’ es absoluta desconocida por el Banco Provincia ya que aprobó el crédito sin validad la identidad de la persona que lo solicitaba”remarcó el letrado.
Lo trascendente del caso es que marca jurisprudencia ante el argumento que se suele utilizar de que el cliente es el único culpable. Hoy está demostrado que la responsabilidad también podría ser de la entidad bancaria.
Los ciberdelincuentes utilizan los celulares como una fuente de acceso rápida y efectiva para lograr vulnerabilidades. Conoce cómo evitarlo
El teléfono funciona más lento y las aplicaciones fallan, son dos señales de alerta a las que hay que prestar atención. Es probable que se haya hackeado el equipo y accedido a la base de las claves vinculadas a las finanzas personales.
Se trata de una tendencia global, donde los criminales apuntan a usuarios que se volcaron masivamente al mundo digital.
El 43% de las fallas son errores humanos. Foto: Archivo.
¿Cuáles son las técnicas más utilizadas?
Según los expertos, una de las técnicas más utilizadas para acceder a los datos es el phishing, el envío de mensajes falsos vía e-mail, SMS, WhatsApp o redes sociales, haciéndose pasar por una compañía o servicio conocido.
Una vez hecho el contacto, que replica la estética de una organización, lo más frecuente es pedir a la persona que haga clic en un link para cambiar una clave, o información. Pueden llegar desde mensajes de Netflix, hasta bancos, billeteras, sitios de e-commerce y compañías de teléfono.
Una vez que la “presa” entra en el vínculo, se solicita información sensible: nombre de usuario, contraseña de home banking o datos de tarjeta. “aunque no lo parezca, mucha gente todavía sigue ingresando sus datos y eso nunca hay que hacerlo”, advierte Miguel Rodríguez, director de seguridad informática en la empresa Megatech.
Otra modalidad es que al clickear en el link, se instala un malware, es decir un programa para hacer daño, que permanece en el celular, vigila las acciones del usuario, roba información y la envía a los criminales.
Si el objetivo es una empresa u organismo estatal, el ataque elegido es el ransomware: se encripta la información de los servidores, la propia organización no puede acceder y exige el pago de un rescate para recuperarlo. En ocasiones, se amenaza con hacer públicos los datos.
¿Cómo prevenir el robo?
Para evitar que cualquier malware ingrese en los equipos, se puede utilizar algún antivirus y otras aplicaciones de seguridad, además de mantenerlos actualizados, ya que las técnicas avanzan todo el tiempo y con mayor sofisticación.
Por lo pronto, los malware y ransomware son las modalidades preferidas. “Hay demasiados ciberdelincuentes que obtienen acceso a través de paquetes de softwares infectados con credenciales comprometidas”, detalla Dimitri Zaroubine ejecutivo en Veem.
Esta empresa recopiló las siguientes cifras:
-9 de cada 10 ataques de ransomware apuntaron a afectar repositorios de backup.
-Del total 75% tuvo éxito.
-El 43% de las fallas son errores humanos: clics en enlaces maliciosos, visitas a sitios no seguros o e-mails falsos.
¿A qué señales prestar atención para evitar robos de información?
Los expertos nombran 3 señales que nos pueden alertar sobre un posible hackeo:
-Sobrecalentamiento del equipo, aún cuando no se está utilizando intensamente.
-Descarga más veloz de la batería.
-Lentitud del funcionamiento.
“Todo esto puede deberse a una falla del equipo, o su antigüedad. Pero otras veces, como el envío de mensajes desde tu número que no hayas realizado o la apertura de ventanas emergentes son una clara señal de la intervención de un tercero”, remarca el experto.
Algunas medidas para reducir el riesgo de que el teléfono sea hackeado:
-Configurar un PIN o contraseña robusta para desbloquear el teléfono.
-Proteger con clave chip para evitar que delincuentes puedan acceder a información personal guardada en la SIM si roban el equipo.
-Evitar descargar aplicaciones dudosas o de tiendas no autorizadas, como App Store (IPhone) o Google Play (Android).
-Cifrar datos y utilizar mensajería que soporte cifrado punta a punta o end-to-end.
-No usar SMS como único método doble factor de autenticación en apps financieras como Mercado Pago o billeteras cripto.
-No almacenar información confidencial en el celular y prestar atención al uso de mobile banking.
-No usar aplicaciones en redes WiFi públicas (como un bar) y de hacerlo, conectarse a una VPN para tener mayor seguridad.
-No abrir archivos adjuntos, pulsar links que lleguen por correo u otra herramienta de mensajería si no conoce el remitente.
“Todo el tiempo se van descubriendo vulnerabilidades, incluyendo las de “día cero” o zero-day (recientes y poco prevenibles), que afectan a los dispositivos móviles. Por ello, los desarrolladores están constantemente lanzando actualizaciones y parches de seguridad para mitigarlas”, completa Javier Bernardo, Head of Striker Security.
En este mismo sentido Zabourine explica que “si el teléfono fue hackeado, puede que su dueño no haya tenido todos los cuidados necesarios o mantenido una buena higiene digital”.
¿En qué consiste el método 3-2-1?
Si el usuario ya tiene la certeza de que el celular fue comprometido, hay diferentes soluciones como instalar un antivirus o, la más radical, restaurar de fábrica al equipo. Expertos recomiendan que, ante la sospecha, se deben cambiar todas las contraseñas de las plataformas que se utilicen en el celular. Pero en este proceso pueden perderse muchos datos valiosos.
En este contexto, el consejo preventivo de los expertos es aplicar la regla 3-2-1, que consiste en:
-Crear tres copias de respaldo o backups de los datos.
-Dos de ellas, guardarlas en dos soportes diferentes.
-Una de ellas, mantenerla en un lugar seguro y sin conexión a internet.
Desde el punto de vista empresarial, los usuarios y elementos que usan para trabajar deben considerarse como una extensión del equipo de seguridad de la firma. Las compañías deben ofrecer una capacitación continua a sus colaboradores para evitar las fallas humanas.
La clave, en definitiva es estar atentos a que los datos estén seguros, el principal activo de los ciberdelincuentes.
