Víctimas de ‘vishing’ o ‘smishing’: hackeo de Banco Santander
Según los expertos, es posible que los ciberdelincuentes aprovechen la información de los clientes que ya tienen en sus manos para cometer fraudes como el ‘vishing’ o el ‘smishing’.
Banco Santander ha informado de un reciente «acceso no autorizado» a una base de datos de la entidad alojada en uno de sus proveedores, lo que podría tener como consecuencia el robo de información de los clientes, que los ciberdelincuentes podrían aprovechar para comenzar campañas de ‘vishing’ o ‘smishing’.
La entidad bancaria, que ha informado de este acceso no autorizado a su base de datos a la Comisión Nacional del Mercado de Valores (CNMV), tal y como exige la ley en este tipo de casos, ha apuntado a que este solo se ha extendido a España, Chile y Uruguay. El ataque, además, habría afectado a todos los empleados de la compañía, así como a algunos exempleados del grupo.
Los agentes maliciosos involucrados en este robo de información «posiblemente han encontrado una vulnerabilidad en el proveedor de la base de datos e intentado escalar privilegios, además de robar la información de los clientes», aclara el director del Centro de Operaciones de Seguridad de BeDisruptive, Roberto Lara, en una declaraciones recogidas por Europa Press.
Debido a que no hay información transaccional ni credenciales de acceso o contraseñas de banca en riesgo -debido a que estas «probablemente estén en sus propias bases de datos, con un sistema de seguridad más robusto que el del proveedor», según el experto-, es posible que los ciberdelincuentes aprovechen la información de los clientes que ya tienen en sus manos para cometer fraudes como el ‘vishing’ o el ‘smishing’.
Por un lado, se conoce como ‘vishing’ al tipo de fraude telefónico que suplanta la voz de una persona, como puede ser un empleado o agente del banco, para obtener información sensible de los usuarios, como las contraseñas de acceso, aplicando para ello técnicas de ingeniería social.
El ‘smishing’, por su parte, es una técnica que como la anterior también procede del ‘pshishing’ y que consiste en el envío de mensajes de texto o SMS a las víctimas simulando ser la entidad bancaria para acceder a más datos confidecniales o bien realizar cargos económicos.
Ambas forman parte de la estafa «conocida como falso agente». En escenarios como este, es habitual que los ciberdelincuentes aprovechen los datos de los usuarios para seguir estafando. No obstante, ha comentado que no cree que con esta información, que ya está al servicio de los delincuentes, se vayan a dar «ataques muy concretos ni muy dirigidos» a los clientes.
REFUERZO DE SEGURIDAD POR PARTE DEL SANTANDER
Se espera que el Banco Santander también informe a las víctimas de lo sucedido, «aunque nunca vía telefónica», lo más habitual en estos casos es hacerlo a través del correo electrónico.
Dar a conocer lo sucedido a los clientes es solo una de las medidas de seguridad que se habrían aplicado tras el ciberataque. «También se incluirán notificaciones de concienciación y anuncios ‘pop-up’ en la aplicación o en la web para añadir nuevos factores de autenticación», ha subrayado Lara.
Por su parte, los afectados deberían ponerse en contacto con la entidad bancaria para informar sobre el caso si consideran que pueden ser víctimas potenciales de este ataque de ciberseguridad. (Europa Press)