Estafas bancarias (INTELISOC)

Malware bancario

Home / Estafas bancarias (INTELISOC) / Malware bancario

Malware bancario

El enemigo que se instala en tu móvil u ordenador

El malware bancario no necesita que seas imprudente: basta con una app “de utilidad” infectada, un adjunto “factura.pdf.exe” o una actualización falsa del navegador. Una vez dentro, intercepta contraseñas, captura pantallas y inyecta formularios cuando visitas la banca online.

Caso realista: la app de cupones

Lucía instaló una app de descuentos fuera de la tienda oficial. La app pedía permisos extensos y, en segundo plano, capturaba los teclados y mostraba una capa falsa sobre la web del banco. Introdujo usuario, contraseña y, cuando llegó un OTP por SMS, apareció un pop-up convincente “para concluir la verificación”. Días después, detectó tres transferencias a cuentas nuevas.

El banco rechazó la reclamación: “las operaciones se hicieron con sus credenciales y OTP; no hubo fallo del sistema”.

Por qué no es (solo) cosa del usuario

La PSD2 y las Directrices EBA no se limitan a la autenticación. Exigen monitorización de fraude basada en riesgo: si se inicia sesión desde dispositivo nuevo, con patrones inusuales (horario, IP, país, importes), el banco debe elevar fricciones: verificación por app, biometría, retardo en transferencias a beneficiarios nuevos y alertas claras. Si el banco no acredita esas salvaguardas, no puede trasladar toda la responsabilidad.

Ciberinvestigación que expone el vector

En INTELISOC reconstruimos el ataque:

  • Análisis del dispositivo (móvil/PC), permisos, apps instaladas, fechas, comportamiento anómalo.
  • Correlación con logs de la entidad: IP, agente de usuario, cambios de dispositivo, secuencia de órdenes, velocidad.
  • Detección de inyecciones o overlays, y cómo el interfaz bancario pudo confundir la autorización de un pago con una “verificación”.

Jurisprudencia

Los jueces han reconocido que, ante software malicioso y controles ineficientes, no puede exigirse al consumidor un nivel experto de ciberseguridad. Sin acreditar medidas robustas de SCA y detección de fraude, procede reembolsar.

Qué hacer

  1. Desconecta y preserva el dispositivo (no lo resetees).
  2. Denuncia y solicita expediente técnico al banco.
  3. Peritaje de ciberinvestigación sobre el dispositivo y los logs.
  4. Reclamación apoyada en PSD2/EBA.

Conclusión: el malware explota el eslabón débil, pero la entidad debe detectar y mitigar. Con técnica, se prueba y se recupera.

¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.

Contactar con INTELISOC

Artículos relacionados