¿Es seguro realizar operaciones por banca digital en Bolivia?

El pasado domingo 17 de octubre, el periódico Página 7 publicó una noticia indicando que al menos 14 personas sufrieron un robo virtual de sus cuentas del Banco Unión S.A.; esta noticia inmediatamente provocó dudas y susceptibilidades en la población respecto a sí: ¿Es seguro realizar operaciones por Banca Digital en Bolivia?

En CIRRUS IT SRL, hemos construido una plataforma de banca digital : https://bancadigital.com.bo, en base a esta experiencia, a continuación tratare de responder algunas preguntas que nos realizaron en estos días:

¿Es posible despertar un día y constatar que existan transferencias de dinero, desde mi cuenta, que yo no hice?

Si es posible. En este caso lo más probable es que usted haya sido víctima de un ataque, en el que por medio de un sitio falso le hayan capturado su usuario y contraseña de Banca Digital, a este tipo de ataques se los denomina Phishing (mas adelante se explica en detalle y con ejemplos).

¿Puede un funcionario o empleado de una Entidad Financiera tener acceso a mi información personal?

No sin control. En tecnología existen estándares internacionales de seguridad para gestionar quienes pueden acceder a la información de los clientes. Además la Autoridad del Sistema Financiero también establece normas con las condiciones mínimas de seguridad que deben cumplir las Entidades Financieras (ver. sección 4) . El cumplimiento de estas normas son verificadas periódicamente por auditorias externas contratadas por las Entidades Financieras y también por auditorias realizadas por las ASFI.

A pesar del control que realizan las Entidades Financieras: ¿Puede un funcionario o empleado tener acceso a mi contraseña de Banca Digital?

No. A menos que se trate de un error grave de diseño (lo cual no ocurre por lo explicado anteriormente), los sistemas de Banca Digital no almacenan su contraseña. Existen algoritmos criptográficos, denominados (funciones hash)[https://latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/], que permiten almacenar una representación diferente de su contraseña, si alguien tuviera acceso a esta representación es imposible transformarla de nuevo en su contraseña original.

Entonces: ¿Cómo alguien puede acceder a mi cuenta de Banca Digital?

Phishing. Este tipo de ataque es muy común a nivel mundial y Bolivia no es la excepción, los atacantes (ladrones) construyen un sitio con aspecto idéntico al de su Entidad Financiera, luego le envían mensajes por: correo electrónico, WhatsApp, SMS o publicidad en redes sociales; para que usted ingrese a ellos creyendo que está en el sitio de su banco, y de esta manera ingrese su usuario y contraseña, es en este momento donde usted pierde sus credenciales de acceso y los atacantes tienen acceso a sus cuentas digitales.

Veamos algunos ejemplos en Bolivia.

Phishing utilizando publicidad en redes sociales, buscando atacar a clientes del Banco Nacional de Bolivia.

Analice la siguiente publicidad reportada por un usuario de Twitter:

Luis Ernesto

@theflakitonet

Cuidado, está circulando está página con publicidad pagada, con un dominio diferente al oficial, te redirige a un portal login para colocar tus datos y uno que está bloqueado en la página oficial del banco, ni como avisarles.

19:23 PM - 13 Oct 2021

A simple vista parece una oferta legitima del BNB, pero el el enlace en la parte inferior del arte dice: https://BBNPORTALPRINCIPAL.COM, no se trata de una publicidad emitida por BNB, si algún usuario despistado hiciera click en la publicidad lo llevaría a un sitio falso con la misma interfaz que la del BNB:

Phishing utilizando publicidad en redes sociales, buscando atacar a clientes del Banco Unión.

El ODIB documentó el siguiente ataque: El pasado año se emitió el Bono contra el hambre, mismo que fue cancelado directamente en cuentas bancarias, atacantes aprovecharon la oportunidad y la premura de las personas para cobrarlo, publicaron el siguiente anuncio haciéndose pasar por el Ministerio de Trabajo. luego de que el usuario hiciera clic, lo derivaba a una página falsa con un aspecto similar a la Banca Digital del Banco Unión:

¿Puede un atacante realizar transferencias solo con mi usuario y contraseña?

No. El Banco Central de Bolivia mediante Circular Externa establece que las transferencias deben cumplir un proceso de doble factor de autenticación para confirmar una trasferencia bancaria. El doble factor de autenticación consiste en que el banco debe realizar al menos dos de los siguientes tres controles, para verificar la identidad del usuario:

1. Verificar "algo que se": Este control se lo realiza con el usuario y contraseña, que debería ser un dato que únicamente usted conoce.
2. Verificar "algo que tengo": Este control se lo realiza de diferente formas siendo las mas comunes: El envío de un SMS a su celular (que es algo que solo usted tiene) o con el ingreso de un código de un solo uso (que se genera mediante una aplicación separada o generadores físicos).
3. Verificar "algo que soy": Este control puede realizarse de manera biométrica, hoy en día no se utiliza este medio en Bolivia.

Entonces: ¿Cómo realizaron el ataque a los clientes del Banco Unión?

Parte de los clientes del Banco Unión utiliza como método de doble factor los mensajes SMS, desafortunadamente este medio tiene el inconveniente de que las empresas telefónicas proporcionan medios convenientes para la obtención del chip en caso de pérdida de teléfonos.

• Tigo: permite a travez de sus Tigomatic (maquinas de autoservicio similares a los cajeros automáticos), obtener el chip de cualquier persona proporcionando su número de celular, fecha de nacimiento, numero de carnet y numero de teléfono.
• Entel: Permite recabar el chip a terceros, siempre y cuando presenten una fotocopia de carnet del titular, una carta remitida por el titular y una fotocopia de carnet del que recibe el chip.

Pero: ¿Cómo obtuvieron los atacantes los datos personales de las victimas?

Desafortunadamente en Bolivia no existe una normativa de protección a los datos personales y su tratamiento, como por ejemplo en Europa. Esto hace que las empresas e instituciones publicas no sigan procedimientos adecuados para custodiar nuestros datos. Algunos ejemplos de dónde se encuentran nuestros datos:

• Todos los tramites del gobierno y entidades privadas donde nos piden varias fotocopias de carnet (algunos también piden que coloquemos nuestro numero de teléfono), para absolutamente todo. ¿Se ha puesto a pensar cuántas fotocopias de carnet a entregado en los últimos años?.
• Acceso a nuestros datos directamente desde el SEGIP, mediante normativa las instituciones del estado tienen acceso a nuestra información. El SEGIP tambien tiene convenios con Entidades Financieras para que ellas puedan consultar nuestros datos sin solicitarnos consentimiento.
• Ataques de phishing (si otra vez) para captar nuestros datos personales, por ejemplo estos anuncios:

  

  

  Bolivia V.

  @boliviaverif1ca

  

  Toyota Bolivia no emitió un link sobre «celebración del 100 aniversario».
  
  Se trata de una página phishing, mediante la cual se extraen datos confidenciales. Por favor, no ingrese a enlaces desconocidos.
  
  #BoliviaVerifica #Bolivia #Falso

  16:15 PM - 06 Apr 2021

  

  

  

  Bolivia V.

  @boliviaverif1ca

  

  ¿Te llegó un link con el anuncio de que Entel tiene regalos para sus clientes? No des clic, es phishing
  
  ¿Quieres saber más? >> bit.ly/3cFWtnu
  
  #BoliviaVerifica #Bolivia #Falso

  20:14 PM - 04 Feb 2021

  

  

  

  Bolivia V.

  @boliviaverif1ca

  

  No hay vacantes laborales para junio en la empresa Coca Cola @Embol_Bolivia, esta convocatoria es falsa.
  
  Un experto advierte que se trata de un caso de phishing y aconseja qué hacer en caso de haber instalado la extensión que solicita la página.
  Lee más: bit.ly/3ftap56

  19:00 PM - 27 May 2021

  

• Y si lo anterior no fuera poco, Facebook filtro los datos personales de 533 millones de usuarios. Estos datos están disponibles en el mercado negro para que los atacantes puedan comprarlos. Si usted desea saber si sus datos son públicos puede ingresar su numero de celular (con el prefijo +591) en el siguiente sitio: https://haveibeenpwned.com (no ingrese otro dato, no confié en otros sitios), por ejemplo en mi caso, toda mi información fue filtrada por Facebook:

¿Es seguro realizar operaciones por banca digital en Bolivia?

Si, pero debemos ser cuidadosos con nuestra información. Las Entidades Financieras poseen la tecnología y los controles para brindar las condiciones adecuadas de seguridad, pero si nosotros no somos cuidadosos con nuestra información podemos ser víctimas de delincuentes, a continuación algunas recomendaciones.

1. Nunca ingrese su usuario y contraseña en ningún sitio, a menos que usted haya abierto el navegador y colocado el sitio web de su banco.
2. Nunca ingrese sus datos personales en enlaces enviados por correo electrónico, SMS, WhatsApp, redes sociales u otros.
3. No utilice la misma contraseña en sus cuentas digitales, porque si se filtran sus credenciales de un sitio queda expuesto en los demás.
4. Cambie periódicamente su contraseña de acceso a las cuentas digitales sensibles.
5. Solicite a su Entidad Financiera que le habiliten un método alternativo al SMS para confirmar operaciones, por ejemplo los clientes del Banco Unión pueden habilitar Unitoken.
6. Si es usuario de Tigo solicite que no puedan recuperar su chip desde Tigomatic.