El incidente que tuvieron clientes de la fintech argentina Ualá el fin de semana pasado, renovó la preocupación de los usuarios en torno a la seguridad de las operaciones en estas empresas financieras apalancadas en la tecnología.
¿Hubo o no una vulnerabilidad tecnológica en los sistemas de Ualá? ¿Cuáles son los riesgos que enfrentan los usuarios al invertir en una fintech? ¿Qué deben hacer los clientes para operar con seguridad?
iProfesional se contactó con la empresa involucrada y especialistas en seguridad informática, quienes aconsejaron una serie de medidas para tener en cuenta al momento de transaccionar con estas plataformas financieras en Internet.
¿Qué sucedió con los clientes de Ualá?
El escándalo se inició cuando “Nacho” Juárez Vila escribió en su cuenta de Twitter: “Me acabo de dar cuenta que literalmente me afanaron $18.500 de mi cuenta de Ualá”. “Esto es gravísimo y quiero mi dinero de vuelta urgente”, agregó.
Luego de este tuit, otros usuarios de la red social comenzaron a compartir que habían vivido situaciones similares en los últimos días.
El tuit que dio a conocer el escándalo de Ualá
A medida que los usuarios publicaban su reclamo en Twitter, el fundador de Ualá, Pierpaolo Barbieri, sostuvo que las estafas pudieron concretarse porque los delincuentes adivinaron los códigos de acceso a la cuenta “por ser muy obvios”, como fechas de cumpleaños o combinaciones como 0000.
A su vez, afirmó que podrían tratarse casos de phising, en los que el estafador se hace pasar por el banco para conseguir acceso a la cuenta.
“Respondemos a todos los casos. Siempre. Hay que cuidase mucho del phishing y de las estafas. Nunca hablar con perfiles no verificados. El soporte está en la app, no en redes ni en WhatsApp. Y nunca hay que usar contraseñas como 0000 o tu cumpleaños”, indicó el fundador de la fintech desde su cuenta de la red social.
Una de las respuestas de Pierpaolo Barbieri, CEO de Ualá
La respuesta de Ualá
Desde Ualá informaron a iProfesional este jueves que “como es de público conocimiento, toda la industria financiera en este último tiempo está registrando una cantidad importante de casos de fraude“.
“No estamos exentos -reconocieron- a estas maniobras y estamos siguiendo uno a uno los 68 casos reportados durante el fin de semana largo, los cuales fueron atendidos de inmediato”.
“No se trata de una vulnerabilidad en el sistema de Ualá. Ya están activos todos los protocolos correspondientes y como siempre, nuestra prioridad es la atención a los usuarios”, aseguraron desde la compañía.
“Del mismo modo, seguimos trabajando en iniciativas de educación financiera como Aula Ualá (uala.com.ar/aula-uala) para seguir educando”, apuntaron desde la fintech.
Pierpaolo Barbieri respondió en Twitter las acusaciones de los usuarios afectados.
¿Hubo una vulnerabilidad tecnológica en Ualá?
Cristian Borghello, director de Segu-Info, una de las principales comunidades de habla hispana sobre seguridad de la información, señaló ante iProfesional que “hubo muchas opiniones cruzadas sobre el hecho”.
Por ejemplo, “desde la afirmación de un phishing hasta vulnerabilidades propias de la aplicación que permitirían ataques de fuerza bruta”.
Juan Martín Heguiabehere, director del programa de seguridad informática de la Fundación Sadosky, destacó ante iProfesional que “no trascendió la manera en la que los delincuentes obtuvieron las credenciales, pero parece haber habido un número discreto de víctimas”.
Observó que “se divulgó un listado de credenciales de cuentas, aunque aparentemente gente que tenía cuenta dice que la contraseña ya era otra”.
Oficinas de Ualá, la fintech epicentro del escándalo.
¿Un robo de credenciales de usuarios de Ualá?
Esto, dijo Heguiabehere pudieron ser “varias cosas”: “una campaña de phishing (aunque los usuarios reportan no haber recibido ningún mensaje ‘de Ualá’ o clickeado en ningún correo), un troyano, una falla en la seguridad de la aplicación o en la comunicación… hay muchas maneras de robar credenciales”.
Pablo Ces, CEO de Flexibility, cuyo producto Plug acelera y simplifica el lanzamiento de productos financieros digitales en bancos y fintechs, como Naranja X, Nubi e YPF, negó que el incidente sea por causa de Ualá.
“Claramente no hay ningún indicio de vulnerabilidad tecnológica. Actualmente la fortaleza técnica de las fintech está demostrada, el cumplimiento de políticas y normas en el desarrollo de aplicaciones hace que se garantice la integridad y privacidad de los datos”, dijo Ces ante iProfesional.
Reparó al respecto que “las herramientas de prevención de fraude utilizadas en las grandes entidades bancarias y las fintech más importantes son tecnológicamente similares”.
Existen diferentes sistemas de seguridad que las fintech deben considerar.
La clave del doble factor de autenticación
Heguiabehere recordó que los bancos y “entiendo que muchas otras fintech”, utilizan lo que se llama 2FA, o segundo factor de autenticación.
Con este método, “si alguien se conecta desde un dispositivo distinto del usual, da de alta un destinatario nuevo, o cualquier situación que presente un riesgo, el sistema envía un código de confirmación *por fuera* de la aplicación.
Este código puede ser por SMS, Google Authenticator o una aplicación ad hoc como tienen muchos bancos. Esto permite dos cosas, dijo Heguiabehere: “impedir la operación sospechosa y alertar al usuario de la situación”.
“No tenerlo es lo que yo consideraría una vulnerabilidad en el diseño de la aplicación; la solución es incorporar 2FA, además de hacer una auditoría de seguridad de la aplicación”, advirtió el director del programa de seguridad informática de la Fundación Sadosky.
El doble factor de autenticación involucra en algunos casos al smartphone.
Hoja de ruta para la seguridad de una fintech
Para Borghello, “dejando de lado el caso de phishing”, una aplicación bancaria y financiera debería asegurar es lo siguiente:
- Login con al menos dos datos “secretos” (por ejemplo un usuario y clave). Se puede agregar un tercero semipúblico como DNI/CUIT pero no debería formar parte del proceso normal de seguridad.
- Múltiple factor de autenticación (MFA). Esto es a través de dos métodos distintos, por ejemplo una clave y un token adicional. “No sirve el uso dos claves. En el siglo XXI el uso de MFA no es una opción”, advirtió Borghello.
- No usar nunca el SMS como factor de MFA, porque “es un método que se ha probado inseguro en todo el mundo”, dijo el especialista. El token debería ser enviado/generado en una aplicación del móvil o ser enviado por WhatsApp o Telegram.
- Considerar agregar factores biométricos en el método anterior.
- Bloqueo ante múltiples intentos de login para evitar ataques de fuerza bruta.
- Registro de toda la actividad del usuario y aviso en tiempo real (por mail o en la aplicación) de las mismas.
- Uso de cifrado seguro en todas las bases de datos y en el medio de transporte. “Es difícil para un usuario verificar este tipo de control, pero las auditorías deberían contemplarlo”, dijo Borghello.
- Atención permanente de los posibles casos que se refieran a un incidente de seguridad y respaldo a las víctimas.
- Reporte a las autoridades (fuerzas del orden y Banco Central de la República Argentina) de los incidentes para su investigación posterior.
¿Los bancos son más seguros que las fintech?
Para Borghello, “desde el punto de vista de la ciberseguridad, no creo que haya diferencia entre las aplicaciones bancarias y financieras tradicionales o fintech y las tarjetas”.
Apuntó que “en la mayoría de los casos todas ellas utilizan las mismas medidas de seguridad y simplemente compiten por lograr más usuarios en sus plataformas”.
El consulto advirtió que en esa competencia se deja “de lado la seguridad hasta que ocurre un incidente y deben correr para evitar su promoción. En ese momento recién se preocupan por su reputación“.
“Si en vez de un análisis de riesgo simple (costo/beneficio) incluirían la ciberseguridad en el mismo, este tipo de incidentes serían más fácil de evitar”, advirtió.
Heguiabehere coincidió al señalar que “los riesgos informáticos que enfrentan las personas al invertir en una fintech son en teoría los mismos que en una entidad tradicional“.
Sin embargo, recordó que “las entidades bancarias y financieras están obligadas por regulaciones del BCRA a tomar recaudos para mitigarlos, mientras que las fintech no están reguladas y no hay garantías de que tomen recaudos”.
El interés de los delincuentes por las fintech aumentó en la pandemia.
Delincuentes al acecho de usuarios de fintechs
Desde Flexibility, Ces recordó que “los defraudadores buscan obtener tus datos personales y claves de acceso para utilizarlos luego de forma virtual, por ejemplo en una compra o transferencia como presencial en un cajero automático”.
Recordó que la pandemia del coronavirus “atrajo un público que previamente era escéptico a los medios digitales“. Esto “generó un aumento en la utilización de nuevos canales de operación y contacto, con lo cual naturalmente aumentaron los casos de phishing”, afirmó.
Ces recordó también que en 2021 “grandes entidades financieras debieron cerrar sus cuentas en determinadas redes sociales debido que eran utilizadas por defraudadores para engañar a la gente y solicitar sus datos haciéndose pasar por su entidad financiera”.
Recomendaciones para operar seguro en una fintech
Borghello recomendó que los usuarios deben “utilizar plataformas en donde al menos se aseguren las medidas de seguridad mencionadas anteriormente”.
Por ejemplo, “no deberíamos utilizar aplicaciones que no tienen MFA desde su concepción. Debemos reclamar la ciberseguridad como parte del producto, no como un valor agregado”, advirtió.
Heguiabehere sumó otros recaudos, que deberían ser ya habituales:
- No entrar en links que vienen por correo electrónico.
- Tener el sistema operativo lo más actualizado posible, incluso en el smartphone.
- No instalar aplicaciones que no vengan de Play Store o Apple Store según el caso, y no instalar aplicaciones superfluas en general.
- Consultar por las políticas de seguridad de las empresas en las que se quiere invertir.
Para Ces, “lo más importante es la concientización, y creo que se ha avanzado mucho en ese aspecto”.
“Como usuarios somos el , por eso las estrategias de los defraudadores pasan por la ingeniería social. Nadie puede solicitar nuestras credenciales por fuera del proceso normal de login en tu home banking o billetera digital”, concluyó.