Además de llamar a los clientes para alertarles sobre transacciones sospechosas, los bancos también emplean el SMS para solicitar a sus clientes que les contacten. Así, los delincuentes han empezado a utilizar una variedad de técnicas para intentar engañar a los bancos y a hacerles pensar que están hablando por teléfono con sus verdaderos clientes. “La autenticación en el centro de contactos es, para mí, el mayor punto débil ahora mismo”, sentencia Stan Szwalbenest, director de riesgos de canales remotos de JP Morgan Chase durante una ponencia en la RSA Conference celebrada esta semana en San Francisco.

Malware, phishing y ciberataques es algo de lo que se habla, pero “nunca debemos hacernos los tontos pensando en que el único modo en el que se produce el delito”, opina. “Los mayores riesgos que veo son de ingeniería social, y ese es exactamente el modo en el que se están introduciendo los bandidos”. En estos ataques, los estafadores engañan a los clientes y empleados de los bancos para que les den información confidencial pretendiendo ser alguien que realmente no son. En ocasiones, los delincuentes piratean las cuentas bancarias y cambian el número de contacto de un cliente. Y cuando se registra una transacción sospechosa en una cuenta, el banco llama al estafador en vez de al cliente.

En los foros sobre ciberdelincuencia hay incluso un nombre para la gente que hace esto: “confirmador”. David Shoryer, vicepresidente senior de seguridad online e inscripciones de Bank of America, señala que “hay empresas especializadas en esta tarea”: los piratas venden los servicios de gente con habilidades lingüísticas para imitar a los clientes legítimos.

Otra modalidad de engaño es cuando los delincuentes activan las funciones de desvío de llamadas automático para hacerse temporalmente con las líneas telefónicas de la víctima. “Se están adaptando a nuestra adopción de diferentes tecnologías y métodos de autenticación”, continúa Shoryer.

Grandes entidades como JP Morgan están trabajando con las empresas de telecomunicaciones para identificar las llamadas falsas. Además, con el reciente brote de los llamados “swatting attack” o ataques de falsas alarmas, donde los hackers llaman desde números falso al 911 con el fin de que la policía envíe a los equipos de emergencia, la Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) de Estados Unidos está tomando un mayor interés en este engaño, añade el portavoz de JP Morgan.

Los delincuentes también están usando los sistemas de telefonía corporativos y de bajo coste para que actúen como centros de llamadas automatizados. Así, llaman y envían emails y SMS a las víctimas diciéndoles que llamen a un número de teléfono, que las víctimas creen que es un banco real, y proporcionen sus números y palabras clave. Esta técnica se ha venido a denominar últimamente “vishing”, pero en realidad ha sido empleada por los artistas del engaño durante décadas, señala Szwalbenest. “Es ingeniería social. Eso es todo. Ha estado ahí durante muchos años”. Por eso, este experto en seguridad recomienda, y a la vez teme, que “los consumidores sospechen de todas sus llamadas”.