La reciente oleada de denuncias por phishing (suplantación de identidad) en Unicaja, el banco en el que se integra lo que antes fue Liberbank y antes de eso Caja Cantabria, ha puesto de manifiesto las distintas fórmulas que aprovechan vulnerabilidades del sistema –en ese caso el cambio de la plataforma de un banco a otro a raíz de la nueva denominación- para acceder a los ahorros de los clientes.

En Cantabria, se ha cuantificado el impacto del phishing en unas 500 personas, agrupadas en plataforma, y un total de 3 millones de euros en pérdidas sólo durante la ‘mudanza’ de Liberbank a Unicaja, cuando se enviaron mensajes que aparentaban ser del banco de confianza de los usuarios, no detectados por la propia entidad.

La generalización de la banca digital, incrementada a raíz de la pandemia, y la complejidad de los sistemas ha generado un amplio listado de fórmulas que se aprovechan de las vulnerabilidades en las webs o apps bancarias para lograr la autorización de los clientes para acceder a sus cuentas sin ser estrictamente el banco, con el problema añadido de que al ser una estafa que no ha producido directamente el banco en cuestión, este no se considera responsable de la pérdida económica.

Además de Unicaja, ese listado de métodos, en constante evolución, afecta a otras entidades como el Santander , Openbak (filial del Santander), Caixabank, o Bbva, con métodos que viene detallando Luis Navas Fajardo, experto en peritaje informático y análisis forense, al frente de una empresa especializada de peritos informáticos.

FALLOS Y VULNERABILIDADES

Así, sus informes, consultados por EL FARADIO –y trasladados al Defensor del Pueblo, que emplaza a que los afectados se dirijan directamente– hablan de accesos conseguidos a Webs bancarias incluso sin registrarse nombre de usuario y contraseña, o de cómo no se tiene en cuenta el ordenador ni la dirección IP desde donde se realiza la conexión.

Entre las prácticas detectadas se consigan sesiones que permanecen activas, sin verificación de origen, con cookies que permanecen activas –se llegó a encontrar activa durante todo  un año, en un fallo que la entidad acabó corrigiendo-, etc, y que abren la puerta a la posibilidad de copiar la cookie.

Eso en lo que se refiere a Webs, pero también detectan vulnerabilidades en el uso del móvil, desde el que se puede acceder a cuentas de correo electrónico o números de tarjetas o aplicaciones a través de la que podría conseguirse la forma de enviar SMS al propio teléfono. (Hay apps populares que lo permitirían, y se han comprobado ventas masivas de datos en la dark web, el Internet de más difícil acceso), además de la propia duplicación de la tarjeta o la clave. Incluso hay apss que aparentan ser la del banco.

Ni siquiera la autorización reforzada, la combinación de dos sistemas (la app y el sms) se libra de los ataques, ya que existen formas de conseguir acceso al SMS,

Existen aplicaciones de mensajería instantánea o redes sociales que enlazan a las páginas de acceso y que logran esquivar el hecho físico de teclear la contraseña, o luego redireccionar las SMS, que se suman a otros como los pagos fraudulentos, la mayoría por tarjeta.

El número de teléfono y la identificación de la persona con su email se puede conseguir comprando bases de datos comerciales de clientes en las que se identifique el número de teléfono y el email). De tal forma que se pueden crear ataques dirigidos a ese número de teléfono mediante phishing.

Se permite el acceso desde dispositivos que no han sido autentificados y desde otra dirección IP distinta, sin requerir a la contraseña. O no hay seguimiento, y si se interrumpe la conexión y se retoma desde otra IP u ordenador, se recupera sin más comprobación.
Es decir, editando archivos en un ordenador personal se permite el acceso a las plataformas de clientes.

Existen fórmulas que permiten aumentar el tiempo de la sesión abierta (hay entidades que lo limitan), modificando archivos temporales en el navegador.

También se han detectado bypass, una forma de saltarse el protocolo de entrada a un sistema que por lo general se considera normal, o técnicas como la denominada ‘man in the middle’, es decir, capturar la cookie entre el ordenador y el servidor

Al listado de vulnerabilidades se suman la denuncia de la falta de canales adecuados para gestionar estos problemas por parte de la entidad bancaria.