El Banco Central de la República Argentina (BCRA) aprobó nuevas medidas que obligan a entidades financieras y proveedores de servicios de pago a implementar protocolos específicos de respuesta y recuperación ante ciberataques. Las normas buscan minimizar los riesgos operativos y proteger tanto la información sensible como la disponibilidad de los servicios bancarios para los clientes.

A través de la Comunicación “A” 8280, publicada en el Boletín Oficial, el BCRA oficializó cambios en el texto ordenado de los “Lineamientos para la Respuesta y Recuperación ante Ciberincidentes” (RRCI), que ahora pasan a ser de cumplimiento obligatorio para bancos, fintechs y sistemas de pago de importancia sistémica.

El objetivo es actuar rápida y eficazmente ante cualquier incidente que pueda comprometer la prestación de servicios financieros o la confidencialidad de los datos. La norma abarca desde fallas en cajeros automáticos y aplicaciones móviles hasta filtraciones de información de clientes, ya sea por errores internos o ataques externos, incluidos aquellos originados en terceros proveedores.

Según el BCRA, estas medidas no solo buscan mitigar los impactos inmediatos de un ciberataque, sino también impulsar la "ciberresiliencia" de todo el sistema financiero. Es decir, su capacidad para resistir, adaptarse y recuperarse rápidamente ante eventos que puedan desestabilizarlo.

Las entidades alcanzadas deberán seguir una serie de pasos detallados ante la ocurrencia de un incidente:

Notificación inicial: dentro de la primera hora de detectado, deben reportar el incidente a la Gerencia de Auditoría Externa de Sistemas del BCRA. Este reporte incluirá información preliminar como el tipo de afectación, servicios impactados, canales alterados, y datos de contacto responsables.

Reportes subsiguientes: mientras el incidente continúe activo, se deberán enviar actualizaciones frecuentes con el estado de situación y las acciones que se estén tomando para su resolución.

Reporte de cierre: una vez solucionado el problema, la entidad tendrá hasta cinco días corridos para enviar un informe final que incluya el análisis de la causa raíz, el volumen de clientes afectados, las medidas de mitigación implementadas y el plan de acción para evitar futuras recurrencias.

Todos los reportes deben enviarse por correo electrónico, respetando un formato estandarizado que permite al BCRA hacer un seguimiento riguroso y comparativo entre los distintos incidentes reportados.

Además, se establece que si el incidente se origina en un proveedor externo, como un servicio tecnológico tercerizado, también debe ser informado si impacta en la prestación de los servicios o compromete los datos.

La normativa divide los ciberincidentes en tres categorías según su gravedad:

Críticos: aquellos que impiden a los clientes acceder a sus fondos, afectan esquemas de pago o tienen un impacto sistémico. Requieren la mayor urgencia de respuesta.

Importantes: afectan parcialmente la operación o generan filtraciones de datos confidenciales, pero no interrumpen totalmente los servicios.

No relevantes: incidentes menores que no alteran la prestación normal de los servicios financieros. No requieren notificación al BCRA.

Este esquema busca priorizar los esfuerzos de respuesta según el grado de impacto, permitiendo una gestión más eficiente de los recursos de ciberseguridad.

Los proveedores de servicios de pago que estén registrados ante el BCRA —excepto aquellos que ofrecen cuentas de pago— tendrán 60 días hábiles a partir de la publicación de la norma para adecuarse a estas nuevas disposiciones.

Además, las entidades deberán dejar constancia escrita de los criterios y fundamentos aplicados al implementar los lineamientos, y deberán poner esa documentación a disposición de la Superintendencia de Entidades Financieras y Cambiarias en caso de ser requerida.

El robo de las cuentas de WhatsApp con el fin de cometer estafas se ha convertido en uno de los ciberataques más frecuentes durante este último tiempo. Cada vez son más las víctimas que tienen que padecer situaciones de estas características, entre ellas vecinos, comercios, empresas y hasta funcionarios, como el caso del ministro de la Producción de Santa Fe, Daniel Costamagna quien denunció días atrás el hackeo de su teléfono celular.

En Venado Tuerto estas estafas están a la orden y a diario se van conociendo nuevos hechos con modalidades similares: hacerse pasar por algún organismo, institución o empresa para solicitarle a la víctima un código con el cual logran apropiarse de las cuentas de WhatsApp. Lo mismo sucede en todo el territorio provincial, quedando demostrado a través de las denuncias que ingresan a diario a Fiscalía.

“Los delincuentes encontraron un medio de comunicación masivo, como es esta aplicación WhatsApp, que hoy prácticamente la usa toda la población, aunque se desconocen las medidas de seguridad para estar protegidos”, comentó en diálogo con el programa “A pesar de todo” (LT29) Rodrigo Álvarez, especialista en ciberseguridad y jefe de cibercrimen de la Agencia de Investigación Criminal (AIC) de la provincia.

“Vemos que los usuarios no le dan demasiada importancia a la seguridad que tiene cada aplicación, incluso no observamos una bajada de línea por parte de las empresas de tecnologías sobre la conciencia que se debe tener al momento de la utilización de estas herramientas y de los riesgos que se corren. Entonces, el delincuente o cibercriminal terminan aprovechando esta realidad para cometer algún hecho”, indicó.

Haciendo referencia puntualmente al robo de las cuentas de WhatsApp, precisó: “Habitualmente la técnica más utilizada es a partir de un llamado telefónico suplantando la identidad de algo o de alguien, como ha sucedido con el Ministerio de Salud a partir de la pandemia por Covid-19 con la excusa de turnos de vacunación contra el coronavirus (también con otros organismos y empresas como Anses, Litoral Gas, PAMI y demás) y les dicen que les va a llegar un código o número, que en realidad es la forma que utiliza WhatsApp como medio de contacto para poder hacer una migración de cuenta de un dispositivo a otro; es decir que el delincuente carga nuestro número de línea a la aplicación y una vez que se apodera del código de verificación, automáticamente roba la cuenta”.

Álvarez contó que desde la AIC están trabajando en dos aspectos, por un lado en la prevención, tarea que está a cargo del Ministerio de Seguridad de la provincia de Santa Fe con comunicados diarios, para “advertir a los ciudadanos y usuarios de esta aplicación sobre la importancia de las medidas de seguridad, sobre todo en la incorporación del doble factor de identificación”, y por otro en la investigación que se inicia cuando el usuario ya es víctima de un hecho estas características, siempre y cuando suceda algo más que la pérdida del ingreso a su WhatsApp, que en sí no es un delito concreto.

De todo modos, el especialista en ciberdelito resaltó que “una vez que el delincuente logra hacerse de la cuenta del usuario, suplanta su identidad y empieza a solicitar dinero a todos sus contactos. Aquí es cuando se puede llegar a concretar la estafa, siendo, junto a la denuncia, el punto de partida para las investigaciones de la Agencia de Investigación Criminal”.

“Las líneas de acción son siempre las mismas, pedir información a las entidades bancarias, las billeteras virtuales y a las empresas cripto, donde empiezan a solicitar que se transfiera el dinero. En la mayoría de los casos, la plata va a cuentas mulas, que son utilizadas para mover dinero, con titulares que muchas veces si saben que existió ese movimiento o se uso la cuenta para ese fin. A partir de ahí, cada caso puntual nos va llevando por diferentes caminos”, completó.

Cabe señalar que en años anteriores y a principios de este 2023 se han logrado identificar a autores de ciberdelitos que incluso derivaron en allanamiento y detenciones en distintas ciudades del país. “Son delitos que atraviesan fronteras provinciales y nacionales, lo cual hace que las investigaciones sean mas complejas”, enfatizó.

Rodrigo Álvarez resaltó que muchos de estos delitos tienen como medios operativos billeteras virtuales o cuentas de otros países, aunque en su mayoría se cometen dentro del mismo país. También se ha logrado detectar hechos que han tenido como autores a personas que están privada de su libertad en cárceles o penales.

“Todos los días estamos recibiendo, al menos, una denuncia en la provincia de Santa Fe, y estoy siendo generoso”, afirmó el especialista, considerando que la gente denuncia porque sientes vulnerada su confianza, al creer que es alguien conocido, un familiar o amigo, el que le está solicitando el dinero.

En este sentido, desde la AIC recomendaron a la población que sufrió ataques de estas características, hacer la denuncia, que es fundamental para la investigación. Se pueden acercar a Fiscalía, a los centros territoriales de denuncia, a las dependencias policiales o a través de la página web www.mpa.santafe.gov.ar.

Desde su lanzamiento, la nueva red social de Meta, Threads, ha experimentado un rápido crecimiento, atrayendo a millones de usuarios en poco tiempo. Sin embargo, este éxito también ha dado lugar a riesgos de ciberseguridad que los usuarios y las empresas deben tener en cuenta.

Los estafadores no tardaron en aprovechar la popularidad de Threads para llevar a cabo tácticas fraudulentas y estafar a los usuarios desprevenidos. Algunas de las modalidades utilizadas incluyen la creación de sitios web que prometen vender seguidores, páginas de phishing diseñadas para obtener datos personales y mensajes que ofrecen ofertas tentadoras pero que llevan a enlaces fraudulentos que buscan robar información o suplantar identidades.

Es importante destacar que Threads, al ser una plataforma de Meta, está vinculada a Instagram y Facebook. Esto significa que, si los hackers logran robar información de una sola red, existe el riesgo de que se difundan datos privados de todas las cuentas vinculadas, así como posibles riesgos financieros.

Existen acciones clave para tener en cuenta, además de estar alerta y sospechar de mensajes con descuentos o promociones sospechosas:

Seguir estas prácticas de ciberhigiene ayudará a prevenir caer en las trampas de los estafadores y proteger la privacidad y seguridad de los usuarios en Threads y otras plataformas relacionadas.

Carlos Jaureche, Gerente Comercial de INSSIDE Ciberseguridad comenta “es fundamental concientizar a los usuarios y a las empresas sobre estos peligros y tomar medidas para proteger la privacidad de las personas”.

“Además, se recomienda mantener los sistemas operativos y las aplicaciones actualizadas, evitar el uso de redes Wi-Fi públicas para acceder a Threads y considerar el uso de una VPN para mayor seguridad”, añade Jaureche.

El Ministerio de Seguridad de la provincia de Santa Fe, emitió una alerta por estafas telefónicas en el sur santafesino. Esta modalidad delictiva volvió a registrarse con mayor intensidad durante los últimos días, sobre todo desde teléfonos con características 011, haciéndose pasar por personal del Ministerio de Salud de la Nación.

Uno de los números telefónicos denunciados.

Según el comunicado de la cartera de Seguridad provincial, “ante las denuncias de vecinos que ha sido víctimas o sufrido tentativa de estafas telefónicas a través distintas modalidades recomendamos a la población informar a sus familiares mayores, población vulnerable, sobre estos hechos. También exhortamos a realizar la denuncia aún si el fraude no se concreta para poder avanzar en la investigación sobre la identidad de los estafadores”.