Autenticación y Seguridad Reforzada en el Comercio Electrónico de ING

En el panorama actual del comercio electrónico y la banca digital, la seguridad es una preocupación primordial. ING, consciente de los crecientes riesgos de ciberestafas y suplantación de identidad, ha implementado diversas medidas para proteger a sus clientes y asegurar transacciones fiables.

Nuevas Medidas de Comunicación: El Adiós al SMS Tradicional

ING ha puesto en marcha una nueva medida para proteger a sus clientes y decir el adiós definitivo a los mensajes de texto fraudulentos. A partir de ahora, el banco se comunicará de una forma totalmente distinta a lo que hacía hasta ahora y ya no enviará los tradicionales SMS. Los responsables de la sucursal holandesa ya han comenzado a poner en marcha un nuevo mecanismo de comunicación. El principal objetivo es acabar con todas las ciberestafas que se estén produciendo por vía SMS y así aportar un mayor nivel de fiabilidad hacia el cliente. Desde ING aseguran que estos cambios garantizarán la verificación instantánea y serán mucho más seguros que el método habitual que se ha estado implantando tiempo atrás.

La Tecnología RCS (Rich Communication Services)

Esta iniciativa también estará implantada en ING, ya que varias empresas bancarias, como BBVA o Bankinter, han tomado la decisión de implantar la tecnología RCS. Este tipo de protocolos son más avanzados y proporcionan más seguridad que los SMS para interactuar con otros contactos. Con ella, se espera aportar mayor credibilidad a todas sus alertas y acabar así con la suplantación de identidad.

En su defecto, tendrás que hacer uso del sistema RCS. Aquí el remitente aparece como cuenta verificada, tal y como puedes observar en perfiles relevantes de redes sociales. Además, todo el contenido que recibes está protegido y completamente cifrado, así que solo el destinatario puede leerlo. Nadie tendrá acceso a tus datos. «A través de RCS, los mensajes enviados por ING se muestran asociados a un perfil corporativo verificado».

Las alertas de ING dejarán de enviarse por SMS.

Compatibilidad y Acceso a RCS

Todo va a depender del modelo de móvil que tengas en tu posesión. Por un lado, los usuarios de Android dispondrán del servicio de Mensajes de Google en los que puedes intervenir con conversaciones más dinámicas y seguras. También los de iPhone tienen su propio sistema y es muy sencillo de activar. La financiera ha indicado que los SMS ya no estarán disponibles. Por lo tanto, si has recibido un mensaje, es que alguien se ha hecho pasar por ING. Otra opción que puedes emprender es bloquear el SMS y marcarlo como SPAM para que no te vuelvan a enviar más. También contactar directamente con ING para indicar lo sucedido.

La Autenticación Reforzada y la PSD2

Este mes de octubre, tu forma de comprar online cambia. La PSD2 es una normativa europea que regula los servicios de pago digitales y que, a partir de octubre, se comenzará a aplicar también cada vez que utilices tus tarjetas en un comercio online. Tú eliges cuándo y desde dónde quieres operar con tus tarjetas ING. Lo único que variará es que cuando vayas a confirmar una operación o compra online, necesitarás hacer una doble validación con tu app de ING en tu móvil para poder finalizarla.

Inicialmente, ING quiso desmarcarse del procedimiento más habitual y decidió utilizar como mecanismo de autenticación reforzada el envío de notificaciones desde la app del banco. Sin embargo, muchos usuarios se negaron a descargar la aplicación y expresaron sus quejas al banco, planteándose incluso cambiar de banco. Ante esto, ING ha dado un paso atrás y está comunicando a aquellos clientes que no han descargado la aplicación que recibirán un SMS para validar las operaciones. Si no descargaste la app, habrás recibido la notificación de ING. Pero si descargaste en su día la app y luego no la has usado y la has desinstalado, es probable que no hayas recibido esa notificación.

Validación Móvil con ING

Para confirmar una operación, debes introducir tu contraseña de Validación Móvil en la app. Puedes activar la Validación Móvil en tu dispositivo habitual desde tu app en Menú > Área Personal > Validación Móvil, en caso de que no lo esté. Para asegurarte de que están activas, verifica los permisos para enviar notificaciones. Puedes tener Validación Móvil activa en dos dispositivos a la vez. Desactiva aquellos dispositivos que no utilices habitualmente.

Si experimentas problemas con la Validación Móvil:

• En ajustes de tu teléfono, borra datos y caché.
• Desinstala la app y reinicia el móvil.
• Vuelve a instalarla aceptando todos los permisos.
• Por último, activa la Validación Móvil y permite la recepción de notificaciones.

Protección contra Fraudes y Suplantación de Identidad

Los ciberdelincuentes no descansan y vuelven a poner el foco en dos grandes entidades financieras que operan en España. Una nueva campaña de phishing está circulando a través del correo electrónico suplantando la identidad de ING y ABANCA, con mensajes diseñados para generar alarma y provocar una reacción impulsiva. La suplantación de bancos no es una técnica nueva, pero sigue siendo extremadamente eficaz. Utilizan logotipos, colores corporativos y un tono formal que imita las comunicaciones legítimas de las entidades.

Phishing y Smishing: Modus Operandi

A quién afecta: En cualquier cliente de ING ya sea como particular, autónomo o empresa que sea usuario de operaciones de banca electrónica. En qué consiste: Utilizando la técnica phishing se realiza un envío de correos electrónicos fraudulentos que suplantan la identidad de ING. El objetivo es dirigir a la víctima a una página web con un dominio falso para robar sus credenciales de acceso e información bancaria y poder acceder a su cuenta libremente.

Ha vuelto a circular una nueva versión muy similar de la comunicación que anuncia un falso cargo a nuestra cuenta. A continuación, el mensaje invita al usuario a acceder a un enlace en caso de no tener constancia de la operación. "Domiciliación de cargo 4.500 EUR de Booking. Si no reconoces la operación contacta de inmediato a nuestro departamento de seguridad", leemos en otro mensaje SMS que, a continuación, presenta un número de teléfono. No son mensajes reales de la entidad bancaria ING, es 'phishing'. La institución financiera confirma que se trata de mensajes fraudulentos que no guardan relación con el banco. Desde el departamento de comunicación de ING señalan que el número de teléfono proporcionado en el SMS no pertenece a la corporación. "En ING nunca pedimos a los clientes que verifiquen sus datos con un SMS y nunca incluimos links en los mensajes", señalan.

En el caso de ING, la estrategia de phishing es similar. Los correos conducen a una web que copia el diseño del área privada de la entidad. Allí se solicita la identificación mediante DNI o pasaporte junto con la fecha de nacimiento. La combinación de información personal y credenciales bancarias otorga a los delincuentes acceso casi completo a la cuenta. Este tipo de phishing no requiere grandes conocimientos técnicos. Existen kits de suplantación que permiten a los atacantes montar páginas falsas en cuestión de horas, replicando diseños oficiales con gran precisión.

El phishing en ING paso a paso:

1. La campaña de correos electrónicos fraudulentos que suplanta a ING tiene como asunto «Verificación de datos personales» aunque es posible que puedan utilizar otros asuntos.
2. En la comunicación se informa al usuario que debe actualizar los datos personales asociados a su cuenta, para lo cual debe acceder a la «Área de clientes» facilitando un enlace en el correo. Si se selecciona el enlace incluido en el correo, el usuario será redirigido a una página web que suplanta ser la legítima.
3. Esta página solicita que el usuario introduzca su documento de identificación y fecha de nacimiento.
4. A continuación, indicará que introduzca su clave de seguridad, la contraseña con la que accede a la banca online de ING.
5. Seguidamente tendrá que introducir su número de teléfono móvil y la posición número 48 de su tarjeta de coordenadas.
6. Por último, requiere que el usuario envíe una foto de su tarjeta de coordenadas para poder utilizar su cuenta.
7. Una vez que se envía la foto el usuario será redirigido a la página web legítima de ING. Así, todos sus datos personales y bancarios ya estarán en posesión de los ciberdelincuentes.

Señales de Alerta y Prevención

Prevención: Por defecto todos deberíamos estar siempre alerta a recibir correos con datos sensibles, pero en caso de alerta phishing, todavía debemos estar más atentos y extremar las precauciones ya sea a título personal o avisando a los trabajadores de la empresa para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.

Aunque las páginas falsas estén bien diseñadas, siempre hay pistas que delatan el fraude. Los dominios sospechosos, los errores sutiles en la redacción o la insistencia en actuar con urgencia son indicios claros. Contar con una solución de seguridad actualizada puede marcar la diferencia. Desde ING, ofrecen una serie de consejos en ciberseguridad. Recomiendan fijarse en la URL que, en este caso, ofrece dos evidencias de contenido sospechoso: la web no es "ing.es" y el enlace ha sido acortado a través de "bit.ly". Además, recomiendan comprobar la firma del SMS. "Nosotros siempre nos identificamos como ING o ING DIRECT, pero nunca enviaremos un mensaje sin identificar o con una firma como ING BANCO S.A", explican. Tal y como te hemos aconsejado anteriormente, es recomendable fijarse en el lenguaje empleado y desconfiar de los mensajes que transmitan sensación de urgencia y que presenten faltas de ortografía. La suplantación de la identidad de empresas es una de las prácticas frecuentes de los estafadores para robar información personal y bancaria de los usuarios.

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

• No abrir correos de usuarios desconocidos o que no haya solicitado: es necesario eliminarlos directamente.
• En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
• No contestar en ningún caso a estos correos.
• Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
• Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.
• Además, con el fin de prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad a todos los profesionales de la empresa.

Qué Hacer si Eres Víctima de Phishing

He sido víctima. ¿Qué hago? Si has sido víctima del phishing y has accedido al enlace e introducido los datos de acceso a la cuenta bancaria, debes modificar lo antes posible la contraseña de acceso a la banca online, al tiempo que debes contactar con la entidad bancaria para informarle de la situación. Además es recomendable modificar la contraseña de todos aquellos servicios en los que se utilice la misma contraseña. Si algún empleado ha recibido un correo de estas características, ha accedido al enlace e introducido los datos de acceso a la cuenta bancaria, deberá modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación.

El crecimiento del phishing bancario refleja una tendencia global. Según informes recientes de compañías de ciberseguridad, el sector financiero continúa siendo uno de los más atacados. La clave para frenar estos intentos de fraude está en la combinación de tecnología y concienciación. Los riesgos de exclusión por falta de competencias digitales es ya una realidad. Los ciberataques son cada día más comunes, los ciberdelincuentes desarrollan nuevos métodos para atacar a las víctimas. Por eso es imprescindible trabajar la concienciación de los usuarios para evitar caer en ataques como el phishing o el ransomware entre otros muchos.

Recuerda: ING nunca pedirá verificar datos con un SMS ni incluirá enlaces en sus mensajes. Contacta directamente con el banco si tienes dudas llamando al 900 206 666 para asegurarte de que todo está en orden.