Recientemente se han reportado a través de redes sociales algunos casos de extrañas llamadas telefónicas, aparentemente fraudulentas, que han llamado la atención de la comunidad de la ciberseguridad.
Según los testimonios, en estos casos, a diferencia de algunas populares estafas telefónicas, los perpetradores no se presentan como empelados bancarios ni solicitan a los usuarios su número de tarjeta y NIP, sino que se limitan a hacer algunas preguntas, aparentemente sin sentido (¿es usted el señor NOMBRE/APELLIDO?, ¿es usted usuario regular de Internet?, entre otras).
En caso de que estas llamadas sean parte de un fraude, parece que la intención de los operadores de esta campaña es que los usuarios objetivo respondan a sus preguntas con un simple ‘sí’ pero, ¿por qué es que los defraudadores están interesados en esto?
Los expertos en ciberseguridad afirman que, al hacer esto, los actores de amenazas están recolectando registros biométricos, relacionados directamente con algunos bancos. Un ejemplo de esto es Rusia, donde los bancos pueden prestar algunos servicios sin que los clientes acudan a las sucursales personalmente.
Ejemplos de registros biométricos
Para poder acceder a estos servicios remotos, los clientes de los bancos deben habilitar la autenticación por voz, lo que requiere que los usuarios repitan algunas frases para que el banco pueda almacenar su registro biométrico, que posteriormente será usado para verificar su identidad.
Alexander Dvoryansky, experto en ciberseguridad ruso, afirma que: “los hackers podrían acceder a estas bases de datos biométricos, extraerlos y venderlos en foros de dark web; aunque en la mayoría de los casos no sería posible acceder a la cuenta de una víctima usando sólo la palabra ‘sí’, los hackers podrían acceder a todos los registros de voz de un usuario, mismos que deben contener palabras clave o las frases necesarias para comprometer la cuenta bancaria”, afirma el experto.
Por su parte, Andrey Golovin, del Departamento de Seguridad Informática de Rusia, menciona que: “además de la autenticación por voz, los hackers también requerirían acceso a contraseñas o a otros registros biométricos (como reconocimiento facial) para acceder a una cuenta bancaria, por lo que la complejidad del ataque aumenta de forma considerable.
“Además, cada conversación con un empleado bancario será diferente, y sería realmente complicado que los empleados no lograran distinguir entre una muestra de audio grabada y una conversación real”, mencionó el experto en ciberseguridad. Otro punto a destacar es que los usuarios de estos servicios bancarios a distancia deberán entregar previamente a su banco una lista de tarjetas de pago autorizadas, por lo que un potencial intruso no podría realizar una transferencia a cualquier otra tarjeta.
Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que una de las principales medidas de protección contra este potencial fraude es evitar contestar a las llamadas telefónicas de números sospechosos y, en caso de que el usuario decida tomar la llamada, no mencionar la palabra ‘sí’ durante la llamada. Asimismo, se recomienda a los usuarios que no emplean la autenticación por voz inhabilitar por completo este servicio.