Nick Viney, vicepresidente senior y director general de la unidad de negocios de partners de Avast
    Nick Viney, vicepresidente senior y director general de la unidad de negocios de partners de Avast

Lo que los bancos deben saber del caso Ursnif

Nick Viney / 15 jun 2021 / 17:11 H.

Recientemente, los investigadores del Laboratorio de Amenazas de Avast pudieron obtener información sobre víctimas del malware Ursnif. Ursnif es un malware que existe desde 2007 y que se ha especializado en robar información bancaria y de procesadores de pagos, generalmente a través de campañas de correo electrónico maliciosas.

Nuestros investigadores de amenazas han detectado información bancaria y de pago que había sido robada a las víctimas y han transmitido esa información a sus correspondientes bancos y procesadores de pagos para que esas organizaciones puedan tomar medidas para proteger a sus clientes y detener sus pérdidas.

La mayoría, si no todos, de esos registros representaron alguna pérdida financiera para esos clientes y para sus bancos y procesadores de pagos, para los que también han supuesto pérdidas en términos de recursos invertidos en investigar la información transmitida por Avast y en tomar medidas.

Quizás lo más importante a destacar aquí es que probablemente casi ninguno de los clientes sabía que eran víctimas y que su información había sido robada. Si nuestros investigadores no hubieran detectado esta información y no la hubieran transmitido a los bancos y procesadores de pagos, es probable que las pérdidas hubieran continuado.

Desafortunadamente, aunque esta historia en particular tiene un final relativamente feliz, representa una pequeña victoria en un contexto más amplio de diaria actividad cibernética que eclipsa triunfos como estos.

Ursnif, por ejemplo, se ha visto en campañas de correo electrónico malicioso durante años con volúmenes de decenas de miles de mensajes por día. Algunos operadores de malware como los que están detrás de Ursnif en los últimos años han visto el “valor” de usar mensajes de correo electrónico en el idioma nativo para hacer que sus mensajes fueran más creíbles y, por lo tanto, tuvieran más probabilidades de éxito.

En última instancia, un problema de troyano bancario como éste afecta de manera directa a los bancos y procesadores de pagos. Ellos son los que incurren y absorben las pérdidas financieras y los costes operativos asociados con la lucha contra el fraude y la protección de sus clientes.

Un indicador del impacto del fraude financiero en los clientes y, por lo tanto, en los bancos y procesadores de pagos, proviene del Centro de Denuncias de Delitos en Internet (IC3) de la Oficina Federal de Investigaciones de los Estados Unidos (FBI). En su Informe de delitos en Internet de 2019, señala que su equipo de activos de recuperación (RAT, por sus siglas en inglés), que ayuda con la recuperación de fondos para las víctimas que realizaron transferencias a cuentas nacionales con pretensiones fraudulentas, vio 1.307 incidentes con 384.237.651 dólares en pérdidas. Esta información refleja solamente un país en un año, pero nos ayuda a vislumbrar las pérdidas que estamos viendo.

Esto también sirve como recordatorio de que los pasos proactivos que tomen los bancos y los procesadores de pagos para ayudar a sus clientes a no ser víctimas de malware como este pueden ahorrar mucho dinero y tiempo. Como dice el refrán “más vale prevenir que curar”. Entonces, ¿qué pueden hacer los bancos y los procesadores de pagos como parte de esta “prevención”?

En primer lugar, destacaría la educación continua del usuario. Los mensajes de “no haga clic en los enlaces” o “no abra los archivos adjuntos” son ya bien conocidos, pero deben reforzarse continuamente. También es importante alentar a los clientes a usar autenticación de dos factores o de múltiples factores para evitar que un malware como Ursnif tenga éxito.

Pueden y deben considerar enseñar a sus usuarios no solo diciéndoles lo que no deben hacer, sino mostrándoles la manera correcta de hacer las cosas con las herramientas y opciones que están a su disposición. Por mi experiencia, las personas que son víctimas de un delito cibernético lo son porque están confundidas, distraídas o inseguras sobre la forma correcta de hacer las cosas. Cuanto más las ayuden a comprender los pasos que pueden y deben tomar, más los empoderan para estar más seguros.

La educación del usuario es importante porque las personas son la primera y última línea de defensa contra el ciberdelito. Como parte de la educación a sus clientes sobre la forma correcta de realizar compras y operaciones bancarias online, también se les puede informar de las herramientas que tienen a su disposición para ayudarlos.

Se les puede explicar las funciones de seguridad que están presentes en sus ordenadores y dispositivos que les pueden ayudar y cómo usarlas. Pueden normalizar la idea de que deberían utilizar un software antivirus en todos sus dispositivos. Una vez más, la prevención puede llevar a una cura, ya que los antivirus y otras herramientas de este tipo ayudan a las personas a tomar mejores decisiones y brindan una capa adicional de protección si las personas toman una mala decisión.

Lo más importante para los bancos es saber que los ciberdelincuentes no se toman descansos. Todos los días, sus clientes se enfrentan a bandejas de entrada llenas de correos electrónicos maliciosos que están a solo unos clics de distancia de darles, no solo el dinero de sus usuarios, sino también el suyo. Eso significa que todos los días, muchas veces al día, necesitan tomar decisiones buenas e inteligentes para eludir esas trampas. Y también significa que todos los días sus clientes pueden utilizar su ayuda para hacer que todas y cada una de esas decisiones sean mejores y más seguras.