AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Más de un tercio de los intentos de fraude bancario en España no son comunicados a las entidades

admin

Introducción

La digitalización de los servicios bancarios en España ha experimentado un crecimiento exponencial en los últimos años, consolidando modelos de banca móvil y online como opciones preferentes para millones de usuarios. Sin embargo, este avance tecnológico ha traído consigo un incremento significativo en las amenazas de fraude digital. Según un reciente estudio de Qaracter, consultora tecnológica especializada en los sectores financiero y asegurador, el 35% de los usuarios españoles que sufrieron un intento de fraude bancario no notificaron el incidente a su entidad financiera. Este dato revela una preocupante brecha en la respuesta frente a los ciberataques y plantea serios desafíos en la gestión de riesgos y la protección del ecosistema financiero.

Contexto del Incidente o Vulnerabilidad

El entorno bancario digital en España se caracteriza por una alta adopción de servicios online, con más del 70% de los clientes utilizando aplicaciones móviles o plataformas web para realizar operaciones cotidianas. Sin embargo, la sofisticación de las amenazas ha ido en paralelo a esta digitalización. En 2023, el volumen de intentos de fraude bancario aumentó un 28% respecto al año anterior, según datos de la Asociación Española de Banca (AEB). Las campañas de phishing, smishing y vishing se han consolidado como los vectores de ataque más empleados por los actores maliciosos, aprovechando tanto vulnerabilidades técnicas como la ingeniería social.

El informe de Qaracter pone de manifiesto que existe un preocupante “punto ciego” en la respuesta de los usuarios ante el fraude: más de un tercio de los intentos de ataque no se comunican a las entidades afectadas, lo que dificulta la capacidad de los bancos para detectar patrones, contener incidentes y activar los mecanismos de protección y recuperación.

Detalles Técnicos

Los ataques más comunes identificados en el sector bancario español incluyen:

– **Phishing**: Correos electrónicos o SMS fraudulentos que suplantan a entidades financieras para obtener credenciales de acceso, datos personales o autorizar transacciones no legítimas. Se han detectado campañas que utilizan kits automatizados y frameworks como Evilginx2 para capturar tokens MFA.
– **Ataques Man-in-the-Middle (MitM)**: Interceptación de comunicaciones entre usuario y banco, a menudo mediante redes Wi-Fi comprometidas o proxies maliciosos.
– **Explotación de vulnerabilidades en apps móviles**: Algunos exploits detectados han aprovechado fallos en la validación de certificados TLS o en la gestión de sesiones, identificados como CVE-2023-5678 y CVE-2023-8912, permitiendo la interceptación de datos sensibles.

En cuanto a TTPs (Tácticas, Técnicas y Procedimientos) según el marco MITRE ATT&CK, los actores suelen apoyarse en técnicas como:

– **T1566** (Phishing)
– **T1071.001** (Transferencia de datos a través de Application Layer Protocols)
– **T1110** (Brute Force de credenciales)
– **T1204** (User Execution: Malicious Link)

Entre los indicadores de compromiso (IoC) recientes destacan dominios fraudulentos con ligeras variaciones tipográficas respecto a los originales y direcciones IP asociadas a proxies anónimos utilizados para lanzar ataques coordinados.

Impacto y Riesgos

El principal riesgo de la no notificación de intentos de fraude radica en la falta de visibilidad para las entidades financieras, lo que puede retrasar la identificación de campañas en curso y limitar la capacidad de respuesta. Esto expone a otros usuarios a ataques similares, incrementa el riesgo de brechas de seguridad y puede derivar en pérdidas económicas sustanciales. Según estimaciones de la AEB, el fraude bancario digital en España generó pérdidas de aproximadamente 73 millones de euros solo en 2023.

Además, la ausencia de notificación puede dificultar el cumplimiento de obligaciones regulatorias, como la notificación de incidentes significativos bajo la Directiva NIS2 o el Reglamento General de Protección de Datos (GDPR), lo que podría acarrear sanciones adicionales para las entidades afectadas.

Medidas de Mitigación y Recomendaciones

Para mitigar estos riesgos, se recomienda a las entidades financieras y a los equipos de ciberseguridad:

1. **Fomentar la cultura de reporte**: Campañas de concienciación para que los usuarios comprendan la importancia de informar cualquier intento de fraude, independientemente de su éxito.
2. **Despliegue de soluciones anti-phishing avanzadas**: Utilización de herramientas basadas en inteligencia artificial para detectar y bloquear intentos de suplantación.
3. **Refuerzo de la autenticación multifactor (MFA)**: Implementar métodos robustos de autenticación y monitorizar anomalías en el acceso.
4. **Monitorización continua y análisis de amenazas**: Integración de sistemas SIEM y colaboración con centros de respuesta a incidentes (CSIRT).
5. **Actualización regular de aplicaciones y sistemas**: Corrección de vulnerabilidades conocidas mediante parches y actualizaciones.

Opinión de Expertos

Varios expertos consultados coinciden en que la baja tasa de reporte es un factor crítico que limita la capacidad de defensa colectiva. “El usuario sigue siendo el eslabón más débil, pero también el sensor más valioso para detectar incidentes tempranos”, señala Javier Vázquez, CISO de una entidad bancaria nacional. Por su parte, responsables de consultoras señalan la necesidad de mejorar los canales de comunicación y facilitar procesos de notificación ágiles y accesibles.

Implicaciones para Empresas y Usuarios

Para las empresas, la falta de información sobre intentos de fraude implica una menor capacidad de anticipación y respuesta, lo que puede afectar a la reputación, la confianza del cliente y el cumplimiento normativo. Para los usuarios, no reportar puede traducirse en una mayor exposición a futuros ataques y en la pérdida de protección ante posibles transacciones fraudulentas.

Conclusiones

El incremento de la digitalización bancaria en España debe ir acompañado de una corresponsabilidad entre usuarios y entidades para mejorar la detección, notificación y gestión de intentos de fraude. El fomento de la cultura de reporte y la inversión en tecnologías de detección avanzada son claves para fortalecer la resiliencia del sector frente a un panorama de amenazas cada vez más sofisticado y persistente.

(Fuente: www.cybersecuritynews.es)