Este artículo fue actualizado por última vez el mayo 28, 2024
Table of Contents
Los atacantes de phishing tuvieron un éxito notable en Bunq: “La seguridad no es un problema”
Los atacantes de phishing tuvieron un éxito notable en Bunq: “La seguridad no es un problema”
Los estafadores de phishing se dirigen a los clientes del banco en línea Bunq y a menudo logran robar cantidades de decenas de miles de euros por víctima. Esto se desprende de la investigación realizada por NOS y NRC.
Según los expertos, es poco probable que el método de los atacantes tenga éxito en otros bancos, y la cantidad de dinero capturada también es sorprendente. Faltan las medidas de seguridad que tienen otros bancos y, en general, los clientes no reciben compensación.
NOS y NRC verificaron las historias de 28 víctimas que fueron estafadas en los últimos siete meses. Juntos perdieron más de 1,6 millones de euros, una media de casi 60.000 euros por caso.
En cinco casos las cantidades en juego fueron de 100.000 euros o más. “Todo sucedió muy rápido, en 45 minutos se me acabaron todos los ahorros”, dice Geraldine. También perdió más de una tonelada.
“La seguridad tiene la máxima prioridad en Bunq”, dijo el banco en una respuesta escrita. “Por eso utilizamos tecnologías avanzadas como la inteligencia artificial, la seguridad biométrica y la comunicación segura. La única forma de convertirse en víctima es proporcionar usted mismo sus datos personales y de inicio de sesión”.
El banco también afirma que “el importe medio del fraude entre las víctimas de phishing en Bunq es menor” que en otros bancos, pero no quiere demostrarlo cuando se le pregunta.
Suplantación de identidad
Con el phishing, los delincuentes te engañan para que proporciones datos de inicio de sesión. Lo hacen con un sitio web falso que se parece exactamente al sitio real de, por ejemplo, un banco. Los enlaces a ellos se distribuyen por SMS o correo electrónico, con llamadas como: “¡Confirma tu cuenta!”
Los datos de inicio de sesión ingresados pueden usarse indebidamente para saquear cuentas. En Bunq, los clientes también tienen que confirmar el inicio de sesión, por lo que los delincuentes suelen llamar a la víctima para animarla a realizar, por ejemplo, un escaneo facial.
Las aseguradoras de gastos judiciales también están viendo un aumento en el número de casos. Según fuentes judiciales, está aumentando el número de sitios de phishing Bunq ya preparados que se ofrecen en el mercado negro y que los delincuentes pueden crear sin mucho trabajo.
Bunq ofrece cuentas bancarias desde 2015 y le gusta presentarse como una alternativa contemporánea a los bancos tradicionales. No tiene sucursales físicas y también se la ha descrito principalmente como una empresa de tecnología. El año pasado consiguió muchos clientes de ahorro gracias a los tipos de interés relativamente elevados.
Inadvertido
Los expertos dicen que el banco tiene la culpa de que los atacantes puedan robar tanto dinero. “Los bancos que conozco pueden impedir esto”, afirma el experto en fraude Pepijn Sklapdel de DataExpert, que representa a varios bancos.
Shairesh Algoe, responsable de la lucha contra el fraude en ABN Amro durante muchos años: “Este no es un nuevo tipo de ataque. No se puede prevenir el fraude al 100%, pero creo que los bancos generalmente lo detectan”.
“No podemos imaginar que un experto familiarizado con los hechos llegue a tal conclusión”, responde Bunq.
Los atacantes utilizan principalmente dos métodos. En al menos ocho casos verificados por NOS, logran secuestrar los datos de inicio de sesión y el escaneo de reconocimiento facial requerido de los clientes, pueden ingresar a la cuenta y luego transferir grandes sumas de dinero. “Ese es un comportamiento realmente sospechoso, debería ser una señal de alerta”, dice Sklapdel.
Con el otro método, reconocido por el NOS en al menos nueve casos, los atacantes consiguen convencer a las víctimas para que instalen en sus dispositivos un software con el que pueden tomar el control. “Esto es un poco más difícil de reconocer, pero también hay maneras de hacerlo”, afirma Sklapdel.
La seguridad no es un tema que realmente motive a Ali. Sólo quiere ofrecer el mejor producto posible a los clientes.
Ex empleado de Bunq
En los últimos años, todos los grandes bancos han introducido un período de reflexión en la lucha contra el phishing. Si un cliente quiere transferir más de su límite diario, debe aumentarlo y luego esperar cuatro horas.
Bunq nunca tomó esa medida, pero sí tomó algo similar: si los clientes daban acceso a un nuevo dispositivo, tenían que esperar 24 horas antes de poder volver a transferir dinero.
Según Bunq, esto pronto se redujo a una hora y luego se abolió, en respuesta a las quejas de los clientes y porque no suponía ninguna diferencia en la práctica.
Las víctimas son daños colaterales, dijo un ex empleado de Bunq a NOS y NRC. “La seguridad no es un tema que realmente impulse a Ali”, dice sobre el director ejecutivo de Bunq, Ali Niknam. “Solo quiere ofrecer el mejor producto posible a los clientes. Eso no significa que tengas que esperar horas si quieres aumentar un límite”.
NOS y NRC continúan investigando a Bunq y estarán felices de hablar con empleados y ex empleados. ¿Quieres contactarnos? Esto se puede hacer por correo electrónico (ellen.kamphorst@nos.nl) o mediante Signal/Whatsapp: 06 84 61 39 16
Otros tres ex empleados también afirman que el banco subordina la seguridad a la facilidad de uso, pero Bunq afirma que esto es “evidentemente incorrecto”.
Asentamiento
Los 28 clientes afectados están en general más enfadados con el banco que con los estafadores. Ninguno de ellos pudo contactar con ningún empleado, todo se hizo a través del chat de la aplicación.
Es política del banco, que sólo quiere comunicarse digitalmente. El grupo de 28 víctimas recibió una invitación de Bunq para una entrevista el jueves por la tarde.
‘Se fue, se fue’
Las víctimas también se quejan de la opción SOS de Bunq para casos de fraude, que se dice que funciona mal. Dicen que la aplicación no ha hecho ninguna diferencia.
Una clienta, Floor Hendriks, sintió que había recibido un servicio tan deficiente en Bunq que llamó al mostrador de fraude de su otro banco. “Tengo mi cuenta corriente en Rabobank; Me ayudaron a presentar una declaración de impuestos allí en medio de la noche”. No supo nada de Bunq hasta diez horas después.
Bunq contradice que la opción es inútil. “Esta puede ser la percepción de las víctimas, pero se puede demostrar que es incorrecta”.
El manejo también difiere. Otros bancos devuelven el dinero a las víctimas de estafas en casos similares si cumplen determinadas condiciones.
Como regla general, las víctimas no reciben nada a cambio de Bunq. Se acabó, es el mantra del fundador de Bunq, Niknam. “Es como darle a alguien las llaves de tu auto en la calle. Entonces tu coche desapareció”, dijo Niknam en una conversación con una víctima.
Responsabilidad
Para este artículo, NOS colaboró con el periodista de la NRC Stijn Bronzwaer. Compartimos nuestro material fuente, como informes de conversaciones y documentos subyacentes, y conjuntamente le hicimos a Bunq una serie de 21 preguntas para responder. Bunq no hizo comentarios sustanciales sobre esto, pero respondió a pasajes de este artículo y brindó una respuesta general.
También asistimos a una reunión en Durgerdam donde se reunieron las víctimas del fraude en Bunq. Revisamos las historias de 28 víctimas y hablamos con la mayoría de ellas, físicamente o por teléfono. Verificamos los informes de 27 víctimas. Además, las víctimas nos proporcionaron capturas de pantalla de conversaciones de chat con Bunq y otras pruebas.
Para esta historia, se mantuvieron más conversaciones con ex empleados de Bunq, organizaciones comerciales, expertos en seguridad, abogados y representantes de seguros de gastos legales.
Para saber exactamente cómo actuaban los estafadores, NRC y NOS compraron conjuntamente el llamado conjunto de herramientas de phishing de Bunq, un software ilegal con el que los delincuentes pueden defraudar a los clientes de Bunq. Se pagaron 275 euros por el software.
Además, NOS y NRC, junto con el investigador de seguridad Matthijs Koot, analizaron los enlaces de phishing y los sitios web detrás de ellos y un estafador de phishing nos llamó.
En el podcast De Dag las víctimas cuentan cómo ocurrió el robo. No sólo están furiosos con los criminales, sino también con Bunq. No recibieron ayuda ni atención posterior del banco, ni compensación, y nunca recibieron a un empleado por teléfono.
Bunq
Be the first to comment