La banca abierta está transformando silenciosamente el mundo financiero.
En pocas palabras, se trata de abrir tus datos bancarios a terceros proveedores, para que más empresas puedan competir para ofrecerte servicios financieros.
Suena muy bien sobre el papel, pero, por supuesto, los estafadores están aprovechando esa oportunidad para atacar a los clientes, a las fintechs y a los bancos. En este episodio del podcast El gato y el ratón, encontramos a alguien que nos explica cómo: Anonymous O.
El phishing sigue siendo una parte importante del ecosistema del fraude
Como dice Anonymous O, el phishing sigue siendo la mejor técnica para hacerse con la información de alguien, ya sean datos de tarjetas de crédito o datos bancarios abiertos:
«El phishing sigue ocurriendo. Todavía hay personas que no son conscientes de los ataques de phishing, de los ataques de ingeniería social o del hecho de que alguien los llama fingiendo ser alguien que trabaja para el banco. Mientras exista gente así, podemos hacer nuestro trabajo y podemos ganar dinero y ganarnos la vida con esto».
He aquí un ejemplo de cómo funciona:
«Puedes crear fácilmente un sitio en el que hagas que la gente se autorice con sus datos de acceso al banco, como si fueran a estar en algo o fueran a poder comprar algo a un precio muy bajo. Luego puedes enviar un correo electrónico de phishing afirmando que uno de los pagos ha sido devuelto y que tienen que iniciar sesión. Cuando reciban un correo electrónico que diga que este pago ha rebotado, tienen que entrar en su cuenta bancaria para iniciar el pago».
Esto se parece mucho a lo que otro estafador, Anonymous P, compartió sobre el robo de cuentas web en otro episodio.
Acceder a la información de los pagos ayuda a apoderarse de las cuentas
La segunda parte de la estafa es igual de sofisticada. Consiste en entrar en las cuentas de los usuarios y utilizar los datos financieros como justificación para ataques más sofisticados:
«A continuación, accedemos a sus datos históricos y al importe de esos pagos para poder verificar o hacer entender a los proveedores que realmente vemos el historial en las cuentas. A partir de ahí, solo tenemos que tomar el dinero del saldo de la cuenta bancaria a diferentes puntos de entrega, o cambiarlo a criptomonedas y comprar a cualquier tercero».
En cierto sentido, esto demuestra que la banca abierta añade una capa de seguridad. Pero para los estafadores dedicados, sigue siendo un reto que aceptan con entusiasmo:
«La banca abierta no es tan fácil como robar una contraseña y un inicio de sesión, y luego repartir el dinero, es mucho más difícil. Los bancos se han vuelto más inteligentes en los últimos 15 años, así que tienes que utilizar técnicas mucho más sofisticadas para obtener valor financiero de tu operación.»
Abundan las cuentas bancarias Challenger en venta
Las cuentas bancarias Challenger pueden parecer más seguras, ya que están intrínsecamente ligadas a una identidad y a un dispositivo. Resulta que muchas de ellas se crean con el propósito de ser vendidas.
«Lo que se ve es que normalmente las diferentes cuentas bancarias que se venden en los mercados clear y darknet son en su mayoría cuentas creadas para usarlas como drop o mula de dinero, lo que significa que estas cuentas se crean con la identidad de otra persona».
Pero suelen ser un peldaño hacia las cuentas bancarias completas
El hecho de que la banca abierta vincule esencialmente a los bancos de inversión con las instituciones financieras y los proveedores de terceros ayuda a los estafadores a acceder a un puente desde el que pueden realizar sus ataques:
Es raro que se compren cuentas bancarias reales y totalmente pirateadas. No me he topado con ellas porque si alguien tiene acceso a esas cuentas, no las va a revender, sino que solo va a cobrar el dinero de diferentes maneras él mismo. |
Por último, existen buenas prácticas para que no te atrapen al cobrar:
«Si tienes acceso a una cuenta bancaria, cobrar es realmente fácil, solo tienes que ser consciente de los diferentes hechos. No intentes sacar todo el dinero en 24 horas, intenta ser inteligente. No intentes disparar a grandes objetivos, intenta pasar desapercibido y procura hacer algunos pequeños pagos o suscribirte a un servicio que te cobre a final de mes una cantidad concreta, replicando las acciones de una persona legítima».
Otro vector de ataque: Préstamos en línea
Anonymous explica cómo funciona el fraude de la banca abierta con los préstamos online. Es solo otra forma en la que la conexión de datos financieros puede ayudar a los estafadores a encontrar nuevas vías de explotación:
«Lo que todas las empresas de préstamos suelen hacer hoy en día es verificar tu saldo y tu historial de pagos mediante el acceso a tu historial en la cuenta y ver cuáles son tus pagos entrantes y salientes, con qué frecuencia los recibes y a cuánto ascienden. Pero si robas la identidad de alguien y sus datos de acceso al banco, es un paso fácil solo robar el nombre de usuario y la contraseña de la víctima y luego añadirlo a uno de estos métodos de autorización. La persona que suplanta su identidad va a ver el historial real y entonces no es ella la que solicita el préstamo, lo cual es aún más inteligente».
Un futuro brillante para los estafadores de la banca abierta
Por último, Anonymous O explica que cree que la banca abierta es un reto para los estafadores, pero que en realidad abrirá muchas vías para las estafas en el futuro.
«El fraude actual es un 99% de fraude en los pagos con tarjeta de crédito. Pero quizá dentro de 10 años, el 80% de las transacciones pasarán a la banca abierta, por lo que el 80% del fraude también ocurrirá allí.»
¿Está tu banco fintech, challenger o institución financiera preparada para los riesgos de la banca abierta? Desde luego, es fascinante ver cómo superan los obstáculos los estafadores hoy en día.
Puede que también te interese leer sobre:
SEON: Normativa PSD2
SEON: Fraude de pagos BNPL: Compra ahora y paga después
Más información sobre:Enriquecimiento de datos | Huella digital del navegador | Huella del dispositivo | API para la detección de fraude