Durante el transcurso de esta semana, varios usuarios han reportado que sus cuentas de Hey Banco están siendo vaciadas mediante una vulnerabilidad a su cuenta. Curiosamente, comentan ciertas personas que justo les pasa en la liquidación de su vencimiento de inversión. Pero, ¿qué está pasando con Hey Banco?
Índice del articulo
La culpa no lo tiene el banco… Hasta ahora
Todos coinciden lo mismo, reciben correos de cargos a la cuenta digital y transferencias, ataques de su banca, restablecimientos de contraseña, etc. Dentro de lo general en su mayoría hacia Banco Azteca y algunas que otra a CitiBanamex.
Pero no es la culpa de Hey Banco. Al parecer.
El hackeo o fraude en Hey Banco sucede mediante ataques directos a los usuarios, no por alguna vulnerabilidad (hasta ahora es lo que se sabe). Un usuario reveló que accedieron a su correo y cuando estaban ejecutando los cargo; suprimían los correos donde se notificaban estos movimientos.
Esto da sospechas que su cuenta de correo se encontraba vulnerable. Dando por lógico que el atacante actuaría. Como el restablecimiento de contraseña hacia la banca o esa misma contraseña, puede ser la misma que se usa en su banca.
Si una persona tiene control de tu correo o tu numero de celular, mas de la mitad de tus cuentas se encuentran vulnerables. Este es el primer paso.
Hey Banco se requiere de tu nombre de usuario y tu correo electrónico para restablecer tu contraseña. Si tienen acceso a tu correo y saben tu nombre de usuario, tienen acceso a tu banca.
Es uno de los bancos “más fácil de acceso” a comparación como CitiBanamex, si pierdes el acceso de tu llave para tu banca, tienes que ir a presentarte físicamente en una sucursal.
Aunque para serte sinceros, es por ello que me agrada Hey Banco, no me gusta lo engorroso que algunos bancos manejan para proteger la cuenta; ya que hasta el mismo cliente se queda bloqueado. Sin embargo, no entiendo del porqué Hey Banco no implementa algo tan sencillo como el TOTP.
Si utilizas la misma contraseña en todos tus servicios, es posible que se filtró en algún sitio, dando una vulnerabilidad no solo en tu banco; sino en todos los servicios que usas esa misma contraseña.
Ante las últimas amenazas de fraude, queremos ayudarte a protegerte de este tipo de situaciones.
En caso de que recibas un mensaje de alguien que indica ser Hey Banco: pic.twitter.com/UuSkoHncsw
— Hey Escucha (@heybanco) May 4, 2022
Robo de identidad parte interna del banco | Teoría traición
Se da la sospecha que hubo un robo de identidad por parte de los empleados en Hey Banco. Me puede sonar absurdo esta teoría, ya que se supone que los Centro de atención al cliente se encuentra monitoreada. Estas tienen un protocolo a seguir. No apuesto que arriesguen su trabajo y confrontar procesos penales por robar información de clientes.
Pero no la descarto.
Mini experiencia personal con los ejecutivos
Recuerdo que llame al banco reclamando sobre del porqué no tenía mi cuenta verificada. Después de un rato, me comenta el ejecutivo que mis datos no les aparecía y se le hizo extraño.
Me pidió que enviara mi identificación y mi comprobante de domicilio a un correo electrónico. Este correo terminaba en @hey.inc. Así que si bien me dio algo de incertidumbre, me dio al mismo tiempo confianza, ya que era un correo monitoreado del banco (o eso espero).
Dándome como criterio que iba a comprobar con su equipo para saber que paso con la información. Andaba buscando mi papeleo y cuando estaba a punto de enviar el correo, me colgó.
Nunca envíe el correo. A los 7 días se verificó mi cuenta.
Como dato curioso, en una llamada que tuve al banco, te hacen una serie de preguntas de seguridad. La última me llamo la atención, ¿cuál fue tu último movimiento en tu cuenta?
Respondí, y si bien no me sabía la cantidad exacta de esta, me la dejo pasar. Esto me da la conclusión, más no es certera; que el ejecutivo por teléfono tenía todos mis datos “por encima”. “No era un proceso a niveles”.
Pero, todos los bancos tienen acceso a tu información “por encima”. De forma similar, otros bancos funcionan de esta manera. Algo que tienen que corregir.
Sin embargo, siendo realistas; el ejecutivo no puede hacer nada con esos datos para acceder a la banca personal de la persona y cometer robos o fraudes. A menos como se repitió, tengan acceso a tu correo.
¿Te acuerdas del mensaje virus de Facebook? | Teoría Phishing
Hasta ahora que estaba escribiendo este artículo me acordé de esto.
Recuerdo que una amiga me habla, desesperada:
– YAEL, NO CONTESTES NI ABRAS EL ENLACE QUE SE ENVIÓ EN MI OTRA CUENTA
– ¿Es la que tiene un enlace con un supuesto video controvertido mío?
– SI. POR ESO TE HABLO DESDE ACÁ. YO CAÍ Y ME ESTÁN CHANTAJEANDO ENVIAR INFORMACIÓN ÍNTIMA QUE SACARON EN MI CUENTA VIEJA.
Al final de cuentas, ella no enviaba cosas íntimas mediante su cuenta vieja de Facebook y pudo rescatar su cuenta vieja.
Pero, me acordó que puede ser un punto de vulnerabilidad para las personas que hayan caído y si bien, posiblemente no cayeron en chantajes; esta misma información está puede ser usada para atacar otros servicios.
Estos tipos de ataques se les conoce como Phishing. Y si bien esta es una idea de donde están sacando las contraseñas, puede haber varias. Hasta un supuesto correo del banco pidiendo información tuya puede ser ataque de phishing si el usuario no se entera de que es un correo verídico.
Es por ello la importancia de emplear administradores de contraseñas y servirse de contraseñas únicas.
Hey Banco no es el único…
Bitso ha estado teniendo problemas de vaciado de cuentas. De ahí que varias personas se han estado yendo de la plataforma.
Como son criptomonedas, recuperar la custodia de las criptomonedas es más que frustrante.
Y tiene como coincidencia lo mismo que está pasando con Hey Banco. Accedieron al correo del afectado y empezaron a restablecer contraseñas o si es la misma contraseña que la del correo, tuvieron las puertas abiertas.
Pero el caso que me ha llamado bastante la atención, es la de un TikToker, que menciona que recibió llamadas “por parte del banco” y accedieron su banca BBVA.
Lo más sorprendente del caso, es que nunca proporciono algún dato identificativo, según por parte del afectado.
@becamusicaPasa mi es difícil hablar de esto pero creo que es importante para evitar que les pase a más personas, comparte para que les llegue a más personas♬ sonido original – Beca
¿Es seguro utilizar Hey Banco ahora mismo?
En mi juicio, sí. No siento la necesidad o la urgencia de cambiarse a otro banco o cambiar nuestras inversiones a otras plataformas.
Pero mantén en cuenta estos consejos:
- Nunca proporciones información confidencial en medios inseguros.
- Ninguna institución financiera te pedirá información como claves, NIPS, contraseñas, etc.
- En caso de sospechar algún mensaje haciéndose pasar como la institución; ignorarse y proceder a tus propios medios la comunicación al banco.
- Emplea contraseñas únicas en cada servicio.
- Si bien Hey Banco no permite el uso de TOTP, en los demás servicios que lo tengan activalo.
- No muestres información que puede parecer absurdo, como son el número de cliente, nombres de usuario íntimos, alguna captura del banco, etc.
- Revisa si tienes alguna violación de datos como Have I Been Pwned
Este ataque fue por un grupo de usuarios pequeños. Hey Banco tiene como alrededor de 370,000 de usuarios.
No se escaló hacia algo masivo, probablemente tenían en coincidencia algo, desafortunadamente. Sin embargo, no se descarta dentro de mi criterio algún problema de vulnerabilidad interna del banco. Si es así, espero que lo corrijan de inmediato.
Espero que los afectados tengan una resolución positiva ante esto.
Como por último a recalcar, un banco no roba a sus clientes. Cualquier banco no le interesa ni mi cuenta ni la tuya. Este tipo de ataques es mediante personas ajenas, no parece ser por el banco.
Si fuera el banco en sí, simplemente el dinero se esfumaría, no queda registro ni evidencia sobre lo sucedido. Pensando un poco con lógica. No lo pasarían a cuentas de Banco Azteca ni harían el proceso de una transferencia SPEI, pasando por Banxico. Por decir un ejemplo.
Algo que definitivamente tiene que hacer Hey Banco en urgencia, es recuperar la confianza de sus usuarios.
Lector querido mío, ¿qué opinas sobre esto?, ¿tienes alguna teoría sobre lo ocurrido?
La información proporcionada no se tiene que usar en contra o aprovecharse de alguna otra forma ilícita en contra de la institución o persona (como ideas de hacking, phishing, etc.).
La información proporcionada aquí se da desde el punto de vista del autor.
Queda a criterio del lector la conclusión del tema.
