La última década ha sido testigo del nacimiento y el auge de las estafas a través de la red. El phishing y el framing se han convertido en las formas más habituales de estafas a través de internet en detrimento a las estafas tradicionales, ya que comportan una mayor complejidad y resulta mucho más difícil atrapar a los que cometen este tipo de delito.
Durante los últimos años el incremento de las estafas a través de internet ha experimentado un aumento exponencial debido a la mejora de las tácticas utilizadas por parte de los hackers especializados en este tipo de fraude, comúnmente denominado “phishing”. Sin embargo, los expertos en el estudio y persecución de las estafas a través de internet señalan que gran parte del éxito de las estafas en la red se debe sobre todo al desconocimiento de un alto porcentaje de los usuarios, además del continuo perfeccionamiento de las técnicas de phishing.
Para combatir este tipo de estafas a través de internet las entidades bancarias disponen de unos departamentos especializados cuyo objetivo es descubrir los intentos de fraude antes de que sea demasiado tarde. No siempre es fácil, puesto que el éxito o fracaso de una estafa por internet no solo depende del tipo de técnica que utilicen los hackers, también de la habilidad que éstos tienen para utilizar a su favor el propio funcionamiento de los sistemas bancarios. El tiempo, por supuesto, siempre juega en su contra en el momento en que se alerta de estafas a través de internet.
Este reportaje analiza el funcionamiento del departamento de prevención de fraude de una entidad, con sedes en España y el resto del mundo, que cuenta con uno de los sistemas de prevención de fraude mejor construido para combatir los ataques a través de la red.
En general, estamos acostumbrados a conocer a través de los medios de comunicación, casos de diferentes tipos de estafas, entre ellas, las estafas por internet. Lo que ya no es tan habitual es que se ahonde en el funcionamiento de esta clase de estafas a través de internet. Esto conlleva que gran parte de los usuarios desconozca la definición de los términos “phishing” o “pharming”.
Xavier, Patricia e Irene son tres de los diez integrantes que componen el departamento de prevención y control de fraude del banco. Esta división está obligada a funcionar constantemente: “los ataques contra la seguridad del banco no tienen un horario establecido y es imposible que adivinemos cuándo se van a producir” – explica Irene-. Su trabajo, pues, se lleva a cabo de lunes a domingo los 365 días del año.
Evidentemente, es un trabajo que resulta laborioso. Los filtros de los sistemas mediante los cuales se efectúa el control de operaciones durante el día contribuyen en gran medida a agilizar las tareas de este equipo, pero a pesar de esto, su labor requiere muchas veces un análisis muy preciso y ágil al mismo tiempo para poder detectar un intento de fraude. “Cada día se producen miles y miles de transacciones a través del sistema de banca por internet. Lógicamente no podemos ir cliente por cliente haciendo un control exhaustivo porque es materialmente imposible y antes de alarmar a una persona innecesariamente tenemos que comprobar si la operación que se ha realizado resulta verdaderamente sospechosa o no”, comenta Patricia.
Es entonces cuando la figura de estos chicos entra en juego. Si detectan algo extraño en las cuentas de un cliente del banco su deber es contactar con él con la mayor celeridad posible y verificar la operación.
Un lunes a las 9 de la mañana el trajín de operaciones es inmenso. Primera alarma. Una transferencia bancaria de aproximadamente 3000€. Cuando Xavier por fin logra localizar mediante llamada telefónica a la clienta se produce un momento de alivio: “¡es correcta!” -sonríe-. Cuenta que en algunas ocasiones los clientes se quedan un poco desconcertados e incluso se muestran recelosos “a veces no se fían de nuestra identidad o les sorprende que les llamen únicamente para comprobar si han sido ellos los que han dado de alta la operación por internet”. Por suerte esta vez solo ha sido una falsa alarma y la clienta se muestra agradecida por la dedicación del departamento.
No ocurre lo mismo un par de horas más tarde. Esta vez es una transferencia bancaria internacional, a un país del este de Europa y de más de 2000€. “Esto es muy raro” dice Xavier. Y efectivamente, cuando por fin se le notifica al cliente se confirma la sospecha: él no ha hecho la operación por internet.
A partir de este momento empieza la contrarreloj, es necesario hacer todas las gestiones posibles para evitar que el dinero “viaje” a otro país, ya que una vez allí, las posibilidades de recuperarlo son más bien escasas. El analista que ha detectado el intento de fraude le intenta hacer entender al cliente que es lo que ha pasado. Según las explicaciones que da el propio afectado, hace escasos días se le solicitaron todos los códigos de su tarjeta de claves para la banca online, cuando intentó acceder a sus cuentas a través de la página web del banco. Lo que en realidad ha sucedido es que la identidad del banco se ha suplantado mediante la creación de una página falsa de internet. Coloquialmente los compañeros conocen esta operativa como “pharming”.
Conocer las técnicas más habituales
El pharming consiste en realizar una copia de una página web bancaria. En este caso el robo de datos y contraseñas se produce por el contagio al ordenador de un virus troyano. Este tipo de virus recibe este nombre porque su función principal es la de crear una puerta trasera que permite la administración remota a un usuario no autorizado, de manera que el hacker o “phisher” puede navegar por el sistema del cliente y sustraer todo tipo de datos. En general, la propagación de este virus se debe a la descarga de archivos o programas desde páginas de internet no seguras. Otra de las características de este virus es que cuando detectan que el usuario de un PC infectado accede a una de las webs de banca por internet, para las que están programados, capturan los datos de acceso y los envían a un servidor controlado por terceras personas.
Otra de las técnicas más usadas es el phishing. Normalmente la víctima suele recibir un email (supuestamente remitido por su banco) que contiene un link y que le indica que debe ir a esa dirección para actualizar los datos de cliente o se hacen pasar como peticiones de “chequeos de seguridad”. Esto no es más que un sencillo cebo para que los clientes se dirijan a esa página y una vez dentro se le pidan todos los datos y contraseñas. Al haber recibido un email que suplanta la identidad del banco (ya que copia casi de forma idéntica los logos corporativos de la entidad), el cliente suele facilitar los datos sin sospechar nada extraño. Poco después, los hackers no tienen ningún obstáculo para poder acceder a la cuenta de la víctima y hacer cualquier tipo de operación.
Una vez se ha producido el fraude el cliente no tiene más remedio que iniciar una serie de trámites si quiere recuperar su dinero. En primer lugar, es imprescindible que interponga una denuncia policial que deberá presentar en su banco con la correspondiente reclamación por escrito. Después, los operarios del departamento de prevención de fraude volverán a contactar con él para realizar una serie de comprobaciones técnicas en su ordenador. Estas comprobaciones están destinadas sobre todo a averiguar cómo se ha producido la estafa. A partir de aquí la labor de recuperación de los fondos depende mucho de la comunicación entre bancos. Los integrantes del grupo antifraude deben contactar inmediatamente con la entidad receptora de la transferencia fraudulenta para intentar retener los fondos en la cuenta de destino. De esta manera se evita que el beneficiario pueda retirar el efectivo y se pierda definitivamente el dinero.
Por otro lado, la tarea de encontrar a los responsables de la estafa queda en manos de la policía y del departamento de seguridad del banco, quienes se encargarán de seguir el rastro de las direcciones IP de los ordenadores desde donde se han ejecutado las operaciones fraudulentas. Lamentablemente siempre es muy difícil llegar al origen del entramado, ya que este tipo de delitos se organizan a través de redes de phishers, que no actúan desde emplazamientos fijos e incluso muchas veces utilizan servidores de otros países para hacer más difícil su localización. Conjuntamente, existen una serie de empresas que colaboran directamente con las entidades bancarias en la labor de prevención y detección de fraudes en internet. Estas compañías tienen la función primordial de estudiar los tipos de “mutaciones” que sufren los virus que atacan a los servidores, así como detectar aquellos sitios dentro de la red contaminados de “malware” para poder comunicarlo tanto a la policía como a los bancos.
Las consecuencias
No siempre se llega a tiempo para poder detener una operación bancaria que se ha ejecutado de forma fraudulenta por internet. El testimonio de una de las víctimas afectadas por phishing demuestra que se trata de algo realmente preocupante: “En mi caso no hubo manera de recuperar el dinero. Hicieron una transferencia a una cuenta de mi mismo banco, de manera que en una sola mañana, el dinero llegó a la cuenta beneficiaria y el receptor pudo retirar su totalidad en efectivo”. Los integrantes del grupo antifraude del banco dan una explicación para esto: “al tratarse de una transferencia entre cuentas del mismo banco, el dinero se traspasa prácticamente al momento; entonces el “mulero” solo tiene que dirigirse a la oficina y sacar todo el dinero en efectivo para que nosotros ya no tengamos tiempo de retener la operación”.
En los casos en que se produce esto la cosa se complica bastante más. El mulero (que es quien recibe los fondos sustraídos) suele sacar el dinero en efectivo de la cuenta y enviarlo a través de compañías como Western Union para que los bancos no puedan interceptarlo. Esto supone un grave perjuicio tanto para el banco, que tendrá un quebranto en sus cuentas, como para el cliente, que tardará mucho más en recuperar el dinero, en el mejor de los casos. Cabe la posibilidad de que solo se le pueda devolver una parte o que incluso no se le devuelva nada, dependiendo de la rapidez y la efectividad de los trámites realizados por parte de las entidades implicadas.
La otra cara del problema: los muleros
Las redes de hackers se nutren de un sistema de captación de muleros, imprescindibles para ejecutar los fraudes. Se entiende por mulero la persona que recibe en su cuenta el dinero que el pisher ha sustraído a la víctima del fraude. Normalmente se encarga solo de la recepción del dinero y de su retirada en efectivo. Poco después el mulero recibe la orden de desviar los fondos a través de cadenas de envío de dinero, tarea por la cual recibe un determinado porcentaje de beneficio.
Hace unos años Pablo se vio implicado en un caso de fraude como presunto mulero. Un día recibió un email en el que se le ofrecía un trabajo sencillo que podía realizar desde su casa. El trabajo solo consistía en realizar transacciones bancarias para una empresa. Según dice, “todo parecía muy normal, además, les tuve que facilitar todos mis datos: currículo, domicilio, incluido mi número de cuenta bancaria”. A Pablo le pareció una buena alternativa en ese momento para ganar un dinero extra, y ya que no sospechó nada, decidió responder al correo inicial. Cuando le contestaron, le pasaron el contacto de una persona que solo se comunicaba con él a través de un sistema de chat llamado ICQ. “La entrevista y la explicación de lo que iba a ser mi trabajo se hizo todo a través del chat, no llegué a contactar ni si quiera por teléfono”, continua explicando Pablo. El primer y único trabajo que llegó a realizar con esta empresa fantasma se produjo al cabo de una semana: “me avisaron de que iba a recibir un importe de dinero en mi cuenta y que debería reenviarlo una vez hubiera descontado la comisión que me correspondía a mí como beneficio”. Al pasar dos semanas le avisaron de que el dinero había llegado a la cuenta y que era necesario que lo sacara en efectivo. Para su sorpresa, cuando Pablo llegó a su oficina y quiso retirar los fondos, le comunicaron que su cuenta había sido bloqueada y que la policía le estaba esperando junto con el director del banco. “De entrada no me creyeron y menos siendo informático, no pensaron que algo así se me pudiera escapar”. Para demostrar su inocencia fue necesario mostrarle a la policía el registro de las conversaciones mantenidas por chat con los hackers y también poner una denuncia conforme él también había sido víctima de una estafa y no cómplice, como parecía al principio.
Historias como las de Pablo hay muchas. El atractivo de realizar un trabajo desde casa, que no conlleve mucho tiempo y que aporte unos ingresos adicionales hace que las redes de estafadores tengan más fácil el captar a personas que necesiten un dinero extra en un determinado momento. Aunque por otro lado, existen también casos demostrables de colaboradores o muleros que han retirado el dinero y han desaparecido, según datos aportados por el mismo departamento antifraude.
Es conveniente decir que, a pesar de que el número de fraudes se haya incrementado en los últimos tiempos y parezca muy sencillo cometer estos delitos por internet, cada vez es menor su incidencia. Los datos estadísticos revelan que se producen más intentos de fraude pero con menos margen de éxito gracias a la mejora de los sistemas de seguridad de las empresas (incluidos los bancos) como a la difusión de este tipo de fraudes entre los usuarios, que poco a poco van tomando más precauciones. Aun así, España cuenta como uno de los países más “infectados” con virus troyanos y con mayor impacto por casos de phishing según las empresas de desarrollo de software antivirus.
Licenciada en Ciencias Políticas por la Universidad Autónoma de Barcelona y especializada en periodismo y comunicación digital.