Robaron millones de soles de cuentas del Banco de la Nación sin “hackear”: Así operan los cibercriminales

Tres municipalidades del Perú —la de Sullana (Piura), la de Yura (Arequipa) y la de Barranca (Lima)— justo en tres provechosas regiones han sido atacadas financieramente, según versiones de los mismos municipios.

Se trató de un fraude cibernético, una gran descripción para lo que realmente fue: un envío de un mensaje de textos a funcionarios públicos que informaba de que cuentas de estas comunas en el Banco de la Nación habían sido bloqueadas.

Según el Banco de la Nación, en estas modalidades de fraude financiero lo que se hace es mandar a la víctima a una página donde pondrá sus usuarios y contraseña, esperando que se desbloquee su cuenta, pero no es más que un engaño orquestrado para robar sus datos. Sin embargo, en el caso de cada municipalidad esto involucró algunos pasos más, como suplantación (a través de llamadas de supuestos trabajadores del Banco de la Nación, según señalaron desde la Municipalidad de Sullana).

Los robos ‘cibernéticos’ tuvieron lugar a fines de julio e inicios de agosto, justo por Fiestas Patrias. Estos fueron los casos:

• Las cuentas de la Municipalidad de Sullana (Piura) fueron “saqueadas” hasta por S/1,2 millones
• A las cuentas de la Municipalidad Distrital de Yura (Arequipa) les robaron S/1,5 millones
• La UGEL Caylloma, de Arequipa también, sufrió la misma modalidad de robo financiero
• La Municipalidad de Barranca (Lima) perdió más de S/63 mil con la misma modalidad

Se debe señalar que estos sucesos se han conocido por las versiones de las mismas municipaliades. Así, el Banco de la Nación se ha pronunciado y además de señalarlos de “presunto fraude reportados por algunas entidades del Estado”, ha recomendado tener cuidado con este tipo de robos.

“María Luisa Guevara Cámara, Gerenta (e) de Operaciones, enfatizó que el BN nunca solicita claves, códigos de acceso, códigos de confirmación, datos personales, ni información sensible de tipo personal o bancaria de sus clientes, por ningún medio de comunicación o canal de atención, y que, el desbloqueo de cuentas no se ejecuta ni por llamadas, ni por mensajes de texto, sino de modo presencial en las agencias, donde se valida la identidad del cliente”, aclararon.

Hace una semanas Infobae Perú compartio la noticia de que ahora los criminales cibernéticos ya no necesitan vulnerar sistemas de seguridad, sino que ahora solo apuntan a engañar a los colaboradores de las entidades.

Este caso de robos de cuentas del Banco de la Nación confirmaría esto, dado que se extrajo el dinero sin necesidad de ‘hackear’ nada, solo obteniendo las cuentas y claves con engaños.

¿Cómo fue el método que habrían usado en el caso de las municipalidades? “La funcionaria alertó que uno de los métodos más utilizados por los delincuentes consiste en remitir un mensaje de texto, WhatsApp o vía correo electrónico con un enlace al cual deben ingresar los clientes, para lo cual previamente les informan falsamente de que su cuenta ha sido bloqueada. Es ahí, cuando la víctima (cliente) hace clic en el enlace y registra la información de usuario y contraseña, que los delincuentes capturan para perpetrar el fraude y poder acceder a la(s) cuenta(s)”, señala el banco.

Así, una vez obtenidos los accesos, en el caso de la Plataforma Banca Empresarial, por ejemplo, el delincuente también necesitará los códigos de verificación que la plataforma del BN envía a los clientes para validar cualquier transferencia. Para conseguir estos códigos o mensajes OTP (de un solo uso), el delincuente le dice a la víctima que ese es el último paso para proceder con el desbloqueo de la cuenta o para anular la “operación sospechosa”.

Guevara, asimismo recordó identificar que los correos corporativos que envía el BN tienen el dominio bn.com.pe y que los mismos solo se utilizan con fines informativos y nunca contienen enlaces para que el cliente ingrese sus datos o brinde información sobre sus claves o credenciales de accesos.

La Gerenta de Operaciones agregó que en el caso de la App BN, periódicamente el aplicativo sí solicita cada cierto tiempo una actualización de datos o contraseñas; pero todo se hace dentro del mismo aplicativo, sin necesidad de acceder a links externos. Recordó además que la línea gratuita 0800-10-700 es únicamente para recibir llamadas de los usuarios, no realiza llamadas por parte del BN desde ese número. Sin embargo, los delincuentes han llegado a ‘enmascarar’ este número para hacer creer que la comunicación proviene del Banco de la Nación.

EL BN insta a todos los usuarios y clientes, a mantenerse siempre en una alerta activa, proteger sus datos y contraseñas responsablemente, no compartirlas con terceros en ninguna circunstancia y recuerden que, ante cualquier duda, pueden comunicarse con el BN a través de los canales oficiales los cuales podrá identificar en nuestra página web oficial.