All posts in Banca electrónica

Banco de México, la CNBV, la Bolsa Mexicana y 9 bancos atacados por norcoreanos

Derivado de investigaciones de nuestra firma e información pública obtenida de Niebezpiecznik.pl, un grupo de ciberdelincuentes norcoreanos denominado Lazarus, ha creado un par de vectores de ataque dirigidos a distintas instituciones en Polonia, Estados Unidos, Chile, Colombia, República Dominicana y México entre otros, surtiendo efecto desde octubre de 2016 y hasta hace algunos días.

Conforme a la información existente actualmente y a los análisis hechos a las muestras de malware a las que tuvimos acceso, podemos decir con certeza que ha habido un ataque masivo dirigido a instituciones financieras del país que, según los reportes oficiales, se originó en la Comisión Nacional Bancaria y de Valores (CNBV).

El sitio web de la CNBV fue vulnerado como resultado de investigaciones hechas por Lazarus desde febrero de 2016 (aproximadamente), logrando manipular la redirección de algunos links que contenían informes de sanciones que la Comisión había hecho a diversas instituciones, provocando que se infectaran o convirtieran en objetivo diversas instituciones, siendo estas las siguientes:

  • Bancomer
  • Scotiabank
  • Banco de México
  • Bolsa Mexicana de Valores
  • HSBC
  • Monex
  • Afirme
  • American Express
  • Banco Interacciones
  • Banco Azteca
  • Citibank Mexico

Derivado de la información que obtuvimos, las principales áreas afectadas son las legales, de fraudes y de atención a la CNBV. Es muy importante señalar que puede haber muchos más bancos o instituciones afectadas, pero no hemos tenido acceso a información que lo confirme para poder colocarlos.

Hasta este momento, no hay afectaciones a los bancos o clientes, pero se espera un ataque masivo ya que Lazarus es el grupo que está detrás de los ataques a Sony Pictures, al gobierno de Corea del Sur y a diversos bancos en otros países que han causado pérdidas millonarias o afectaciones reputacionales sin precedentes.

Puede haber distintas hipótesis del por qué hacer un ataque tan focalizado, siendo las más importantes las siguientes:

  1. Buscaban información sensitiva de las áreas jurídicas de los bancos para extorsionarlos
  2. Rastreaban información bancaria de diversas empresas surcoreanas
  3. Obtuvieron información de cuentas clave para hacer un fraude masivo en poco tiempo

Por último, no está de más señalar que, desde la brecha en México, ha incrementado la oferta en Internet de bases de datos de diversos bancos, a costos que van de los $20 a $30 dólares por usuarios. Mientras escribimos esta nota, se publicaron más de 40 anuncios ofertando datos que van desde los números de tarjetas, nombres, domicilios, CVVs y hasta otro tipo de información bancaria como accesos a banca en línea del cliente.

La información técnica del incidente, así como datos adicionales que nos han sido proporcionados en esta investigación, pueden ser requeridas directamente a contacto@itlawyers.mx

Evitamos colocar información específica en este post, pues hay instituciones que siguen siendo vulneradas en este momento

Tips para usuarios con banca electrónica

Image courtesy of bplanet  at FreeDigitalPhotos.net

Image courtesy of bplanet at FreeDigitalPhotos.net

La tecnología va en crecimiento conforme el paso del tiempo, sin embargo, hoy en día se incrementa los ataques informáticos, como lo es en la banca electrónica donde se puede realizar desde una consulta de saldo hasta administrar chequeras, tarjetas, inversiones, entre otras.

Recordemos  el ataque masivo que recibieron los clientes de BBVA Bancomer hace unos años, donde Hackers mediante diversas noticias falsas de personajes públicos hacían que el cliente accediera y se vinculara al sitio web del banco solicitando sus datos de ingreso y posteriormente se les vaciaban sus cuentas mediante un Malware.

Con esto no quiere decir que no se utilicen los servicios electrónicos que proporciona el Banco, ya que aporta al cliente; comodidad, ahorro de tiempo de espera en sucursales, entre otros.

 ¿Cuáles son las recomendaciones para evitar un fraude en banca electrónica?

  1. No proporcionar su clave de acceso a ninguna persona que pueda vulnerarla al no resguardarla con la seguridad necesaria.
  2. Solicitar al banco un token “Dispositivo de autentificación electrónico que proporciona una clave numérica única para el ingreso a la banca electrónica”
  3. No accesar desde redes públicas o ajenas a la nuestra como son, Ciber café, restaurantes, parques, escuelas, cafeterías, etc.
  4. Verificar antes de ingresar los datos correspondientes que la URL contenga una “S” al final del “Http” ya que esto significa que se ingresa a una “zona segura”
  5. Memorizar la contraseña o resguardarla en un sitio bajo las medidas de seguridad que considere necesarias
  6. Monitorear constantemente los movimientos que se realizan, en caso de encontrar alguna anomalía reportarla inmediatamente al banco
  7. Cerrar la sesión inmediatamente que se deje de utilizar la banca electrónica o se tenga que suspender momentáneamente las operaciones a realizar
  8. Si se va a acceder a la banca electrónica desde un dispositivo móvil, activar los medios de seguridad de acceso
  9. Accesar únicamente desde el portal del banco, sin que anuncios engañosos y fraudulentos que parecieran ser la banca electrónica correcta pueda afectarnos
  10. Instalar programas antivirus en los equipos de cómputo personales y monitorear sus actualizaciones

Leer nota completa…

Condusef emite alerta por correo apócrifo de Santander

  • Este tipo de mensajes contienen ligas que llevan a los usuarios a un sitio de internet falso.
  • Ni las entidades financieras, ni VISA o Mastercard solicitan datos personales a sus clientes o verificación de sus cuentas, mediante correo electrónico.

Ante la posibilidad de que piratas cibernéticos puedan acceder a datos personales de clientes del servicio de banca electrónica, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF), alerta a los usuarios de la circulación de un nuevo correo electrónico fraudulento, supuestamente enviado por SANTANDER.

Dicho correo electrónico, refiere que los servidores de procesos bancarios de Santander Serfin fueron sometidos a un proceso de actualización, por lo que solicitan la colaboración de los usuarios a fin de “restaurar” sus datos en la “nueva plataforma cibernética”, indicando que esto puede evitar cualquier anomalía en la cuenta o la pérdida futura de información.

CONDUSEF reitera que este tipo de mensajes contienen Leer nota completa…

No expongas tu próxima compra en línea

Compras en linea

Compras en linea

Seguros al borde de la legalidad

Image courtesy of ratch0013 at FreeDigitalPhotos.net

 

El comprar un seguro puede ser una gran inversión, proteger el patrimonio de la familia, tener algún servicio médico de emergencia, incluso por ley se requiere contar con uno en caso de dañar a terceros con el automóvil.

Diversos bancos y aseguradoras con vínculos comerciales ofrecen el servicio a sus cuentahabientes, pero… ¿qué pasa cuando a su tarjeta de crédito le llega el cobro de un seguro que usted jamás solicitó?

Basta con investigar un poco en Internet para ver la gran cantidad de denuncias de este tipo.

Al parecer el modo de operar de estos vendedores de seguros es el siguiente:

  • Llaman por teléfono a su domicilio o celular a nombre del banco, con la supuesta intención de actualizar su base de datos
  • Estos vendedores mencionan su nombre, domicilio, incluso los movimientos recientes de su cuenta.
  • Le preguntaran si estos datos son correctos a lo que seguramente usted responderá SI
  • Le agradecen la llamada y enseguida cuelgan.

¿Usted encuentra algo sospechoso en ello? De principio no, hasta que en su estado de cuenta aparece reflejado un cargo que va desde los 50 pesos hasta los 1,700.

Resulta que al momento de usted decir la palabra SI fue grabado, así es, su respuesta fue almacenada en alguna base de datos junto con alguna otra grabación en la que usted autoriza esos cargos y la compra de dichos seguros.

El siguiente paso es cancelar ese seguro, a lo que usted se dirige al banco y recibe la siguiente noticia, “nosotros no nos encargamos de eso, diríjase con la aseguradora”

Usted trata de localizar a la aseguradora, llamada tras llamada, la enlazan al encargado y al siguiente, ¡llamadas de 30 minutos hasta que finalmente le dicen que tiene que enviar un fax! en pleno 2014 tiene que enviar un fax solicitando la cancelación de un seguro que usted jamás solicitó.

Cientos de casos parecidos son publicados en Internet con diversas aseguradoras y diversos bancos, todos culpables e inocentes a la vez, un vínculo que seguramente les genera muchas ganancias a costa de los “asegurados” que no están dispuestos a pasar media hora en un teléfono, a tener que enviar faxes o que quizá siguen sin percatarse de los cargos que se les están haciendo, todo por un servicio que jamás solicitaron.

¿Usted ya revisó que es lo que está pagando?

256 Multas: CONDUSEF

  • CONDUSEF analizó contratos, estados de cuenta y carátulas
  • Se podrían aplicar hasta 256 sanciones a las instituciones financieras, por un monto de 32 millones de pesos.

La Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF), hace del conocimiento de los Usuarios de Servicios Financieros, el resultado del ejercicio de supervisión realizado al producto “TARJETA DE CRÉDITO”.

CONDUSEF a fin de proteger y defender los intereses de los usuarios financieros, se dio a la tarea de analizar los contratos, estados de cuenta y carátula de 15 expedientes elegidos aleatoriamente por cada institución financiera, a fin de verificar que cumplan con la normatividad en lo referente al producto Tarjeta de Crédito.

Asimismo, verificar que los documentos que utilizan las instituciones financieras con el público, son los que están debidamente registrados ante CONDUSEF y que fueron evaluados en Marzo de 2013 por esta Comisión Nacional.

Las calificaciones por una parte la evaluación (calificación de gabinete) que obtuvieron las instituciones respecto de formatos ante CONDUSEF; y la supervisión (operación con los clientes), es decir la calificación que obtuvieron por los contratos y documentación que utilizaron con determinados usuarios.

El principal producto reclamado ante los bancos es la Tarjeta de Crédito, con 2.7 millones de reclamaciones de un total de 4.2 millones en 2012.

De 2 de cada 3 reclamaciones que recibe la banca corresponde a este producto y que las instituciones evaluadas, concentran el 95% de los reclamos principalmente derivado de cargos, comisiones e intereses no reconocidos, podemos inferir que se debe a que en algunos casos la información que se utiliza al contratar o en el estado de cuenta no se incluye o no es clara.

Lo anterior, puede tener origen en algunas de las siguientes observaciones detectadas:

  • Entregan al usuario un contrato no vigente, es decir, diferente al inscrito en el Registro de Contratos de Adhesión (RECA), lo que ocasiona que el usuario no conozca cuáles son las condiciones reales bajo las cuales se está obligando, al incluir por ejemplo:
  • Comisiones no claras o ilegales, pues no se indica el concepto, monto y periodicidad.
  • Metodología de cálculo de tasas de interés no claras, ocasionando que el usuario no pueda saber si los intereses cobrados son correctos.
  • Cláusulas ilegales o abusivas que ya se habían modificado.
  • Carátulas (portadas) no personalizadas, si la finalidad de la carátula es que el cliente conozca de forma clara un resumen de las condiciones específicas que a él le aplican en la contratación del producto, entregarle información general ocasiona que el Usuario no cuente con los elementos suficientes para conocer los costos y las condiciones bajo las cuales se le otorga el crédito, por ejemplo:
  • Conocer el Costo Anual Total (CAT),
  • El monto de la línea de crédito otorgada por la institución,
  • La Tasa de interés que pagará por el crédito,
  • Las comisiones que la institución le cobrará por la contratación del producto.
  • La fecha de corte o de pago en caso de créditos.
  • Si el estado de cuenta del usuario no contiene la información correcta de tasas de interés o CAT del producto que contrató, podría darse el caso de un cobro de intereses incorrecto, afectando su bolsillo.
  • Incongruencia entre la información; todos los documentos deberían contener la misma información, pero al no ser así, se puede crear confusión en el usuario, por ejemplo: las fechas de corte y de pago señaladas en la carátula son diferentes a las informadas en el estado de cuenta, por lo que el Usuario no cuenta con elementos para hacer un buen uso del producto y cumplir con su obligación de pago.

En resumen, se detectó lo siguiente:

  • Las modificaciones ordenadas por CONDUSEF y realizadas por las instituciones financieras en los contratos de adhesión, carátulas, estados de cuenta, etc., generalmente tardan mucho o no llegan a utilizarse en las sucursales de las instituciones, provocando que los usuarios reciban versiones anteriores a la que se encuentran vigentes y que cumplan la normatividad aplicable.
  • El usuario de servicios financieros se ve afectado al no estar recibiendo documentos que cumplan con la normatividad aplicable y pudiera ocasionarle un perjuicio económico al pagar intereses o comisiones por encima de las pactadas.

Por lo anterior, a efecto de inhibir esta conducta en perjuicio los Usuarios, se iniciarán los procesos correspondientes, por lo que se podrían aplicar hasta 256 sanciones a las instituciones financieras, por un monto de 32 millones de pesos.

Recomendaciones de CONDUSEF

Antes de contratar:

  • Infórmate sobre las condiciones vigentes del producto de tu interés.
  • Consulta el contrato de adhesión que está en el RECA, ese es el vigente y el que te deben proporcionar.
  • Compara con otros productos similares que se ofertan en el mercado.
  • Consulta las cláusulas ilegales o abusivas que se publican en www.condusef.gob.mx.

Si ya contrataste:

  • Revisa tu estado de cuenta, en él se informan los cambios al contrato, por ejemplo aumento de comisiones, modificaciones de tasas o de alguna otra cláusula.
  • Revisa los intereses y los cargos de tu estado de cuenta y si no estás conforme acude a la Unidad Especializada de tu institución.

Fuente: Sitio web CONDUSEF. Comunicado No. 06. 28 de enero de 2014

 

TPV con comisión: lleve su queja al Banco

Fuente: CONDUSEF
Boletín No. 074/2012

Si utilizas tus tarjetas para adquirir bienes y servicios, es importante que estés informado, ya que se ha detectado que algunos establecimientos comerciales realizan el cobro de una “comisión” o “recargo” que puede ir del 3 al 5% sobre el valor total de la compra o servicio, cuando el pago es realizado mediante una tarjeta de crédito o de débito.

Lo anterior, incumple con lo que los comercios pactan con las instituciones bancarias, ya que en los contratos para el uso de terminales punto de venta se señala claramente que el pago de este servicio no debe repercutir en el costo de los bienes y servicios que promueven los comercios con su clientela.

CONDUSEF considera que este tipo de prácticas, además de ser indebidas al condicionar la aceptación de esta forma de pago y resultar onerosas para el tarjetahabiente, obstaculiza la promoción de la Inclusión Financiera, ya que el usuario recibe el mensaje erróneo de que pagar con una tarjeta cuesta más que pagar con efectivo.

A manera de ejemplo, si tan sólo el 2% de las operaciones diarias fuesen condicionadas por comerciantes abusivos al cobro de esa “comisión” o “recargo” por uso de una tarjeta, se estaría ante un escenario en el que se afectan los intereses económicos de alrededor de 73 mil usuarios hasta por un importe de más de dos millones 261 mil pesos al día. Esto equivale a decir que algunos comerciantes sin escrúpulos generan con esta práctica ganancias indebidas por dicho monto.

Recordemos que si bien al establecimiento le cuesta una comisión recibir el pago con tarjeta de crédito o débito por el uso de la terminal, también recibe beneficios tales como:

• Aumentar su potencial de ventas, ya que hoy en día se ha logrado un incremento en la población que utiliza las tarjetas de crédito y débito para adquirir bienes y servicios de uso cotidiano.

• Disminuye sus costos, puesto que el traslado del efectivo implica la contratación de una empresa que lo lleve a cabo o bien, el riesgo que implica ir al banco a depositar las ventas del día.

• A través del pago con tarjetas de crédito o débito el nivel de seguridad aumenta en el establecimiento porque se maneja menos efectivo.

En este sentido, la CONDUSEF recomienda que si usted usuario es víctima de este tipo de prácticas, debe comunicarlo a la Institución Financiera de la cual es cliente y en su caso a esta Comisión Nacional, indicando los datos del establecimiento donde se le quiso aplicar el “recargo” o “comisión” extra, para que las Instituciones puedan tomar las medidas necesarias, como podría ser el retiro de las terminales punto de venta, puesto que están violando las condiciones de contratación. Incluso, en algunos casos los propios comerciantes de manera incorrecta señalan que esta situación es por cuestiones del banco que le presta el servicio, lo que impacta la imagen de dichas instituciones.

Para cualquier duda o consulta adicional favor comunicarse a CONDUSEF al teléfono 01 800 999 80-80

Nuevas versiones de SpyEye graban imágenes de sus víctimas

Dmitry Tarakanov de Kaspersky ha descubierto un nuevo plugin para SpyEye (una de las familias de troyanos bancarios más utilizados) que permite grabar a través de la cámara del ordenador imágenes del usuario mientras está siendo robado por el troyano.

Leer nota completa…

Load More