No muerda el anzuelo

Por GONZALO PIÑEROS

Elementos de una cadena alimenticia informática: un cazador (el hacker), un anzuelo (un correo electrónico inofensivo), la víctima (usted). Esta es la versión clásica del phishing, una modalidad de estafa en línea en la cual se engaña a las personas con mensajes de correo y páginas web falsas para que suministren información personal o financiera. Así se puede esfumar el dinero de su cuenta bancaria, en silencio y de una forma efectiva. Lo peor de la historia: la amenaza está latente, lo espera en su buzón de entrada.

Los números reflejan con frialdad la alarma: la firma de seguridad Symantec reportó un incremento del 81 por ciento del phishing en el mundo durante el 2006, frente al 2005; el sector más atacado fue el financiero (de cada 10 marcas suplantadas, nueve pertenecían a empresas de esta área). Así mismo, la organización Antiphishing Work Group registró 23.787 ataques en el planeta en solo diciembre del 2006, cuando en el mismo mes del 2005 se contabilizaron 15.244.

La técnica del phishing consiste en un correo electrónico enviado supuestamente por una entidad financiera, en el cual se le pide al usuario que actualice sus datos. Para esto, el mensaje presenta un enlace que simula ser el sitio oficial del banco, pero en realidad es una página controlada por un delincuente informático.
Entonces, para solucionar un aparente problema, el sitio solicitará a la persona ingresar el nombre de usuario y su clave de acceso, al igual que otros datos como nombre y apellido, dirección y número de cuenta. Toda esta información automáticamente caerá en manos del hacker.

¿El phishing se ha extendido principalmente por el desconocimiento de los usuarios sobre su existencia, y por ello su falta de precaución para tomar medidas que les permitan evitar estos ataques¿, señala Daniel Rojas, gerente de ventas de Symantec. Según cifras de esta compañía, cerca del 10 por ciento de los destinatarios de phishing caen en la trampa.

Otra de las razones para el crecimiento del problema es que, de acuerdo con Carlos González, director de ingeniería en Latinoamérica de McAfee (una compañía de seguridad), la información robada tiene un valor comercial: ¿Los hackers buscan recolectar la mayor cantidad posible de datos para generar una base que puedan vender, o usar esta información para realizar transacciones fraudulentas mediante el comercio electrónico¿.

Además, hoy los delincuentes informáticos se concentran en acciones que generen mayor rentabilidad y ¿los ataques de phishing son los que tienen probado un mayor retorno debido a la facilidad para realizarlos y la poca tecnología existente para prevenirlos¿, indica Ricardo Villadiego, director de ventas en Latinoamérica de IBM Internet Security Systems.

La evolución continúa

Dino Pietropaolo, director de soporte para Latinoamérica de Tumbleweed (una compañía especializada en seguridad para Internet), señala que el phishing es un fenómeno que arrancó con la adopción del uso de la Red para ejecutar transacciones que involucran información financiera y personal.

¿En sus inicios solo era un problema de países como Estados Unidos y regiones como la Unión Europea, porque conseguir la información confidencial era muy fácil, además de los bajos costos de la infraestructura informática y de telecomunicaciones que se requiere¿, agregó Pietropaolo.

El fenómeno, sin embargo, ha evolucionado con los años y preocupa cada vez más el grado de complejidad de los ataques. ¿Antes con un correo electrónico mal montado y un par de imágenes copiadas del banco era suficiente; ahora es necesaria mayor sofisticación, y por ende, se consigue mayor éxito¿, resalta Javier Merchan, del departamento internacional de comunicaciones de Panda Software.

Lo mismo piensa Luis Fernando Garzón, gerente de cuenta de canal de Trend Micro para Colombia, quien cree que la técnica ha cambiado porque al poner nuevos y mejores filtros de protección, ¿el phishing busca caminos no tradicionales para generar fraude, como es la VoIP (llamadas telefónicas por Internet) o mensajes de textos en los celulares¿.

Daniel Rojas, de Symantec, subraya que hace dos años los hackers comenzaron a utilizar software delictivo de forma paralela con sus sitios web falsos, y aprovecharon vulnerabilidades de los navegadores de Internet para infectar los equipos de la víctima. Ahora con solo hacer clic en el enlace de un correo electrónico de phishing es posible robar la identidad del usuario, porque el delincuente ya no necesita que el usuario introduzca su información personal; al abrir el enlace se implanta un programa espía (spyware) en el PC que captura esta información la próxima vez que la persona visite el sitio legítimo del banco o de otro servicio en línea.

Los expertos aseguran que este tipo de ataques se han hecho más difíciles de detectar porque su grado de sigilo es mayor, gracias a los ¿rootkits¿ (herramientas de software que le dan a un intruso privilegios de administración de un sistema o una red, y la posibilidad de ocultar sus acciones) y a técnicas de encubrimiento más agresivas.

¿La práctica del phishing hoy es tan elaborada que incluye características de actualización automática del sitio fraudulento¿, apunta Ricardo Villadiego, de IBM Internet Security Systems; es decir, que si el banco reforma su sitio web, el sitio falso también cambia y adopta la nueva imagen corporativa.

¿Estamos protegidos?

Para Gabriel Gutiérrez, experto en Internet de Tumbleweed en Latinoamérica, se subestima el poder del correo electrónico y por la misma razón a las personas les parece que el problema del phishing no es tan grave. ¿Pero estamos despertando y nos damos cuenta de que dependemos cada vez más de este, con lo cual el phishing está empezando a ser considerado una seria amenaza¿, afirma Gutiérrez.

Carlos González, de McAfee, concuerda con este punto de vista, y dice que las empresas e individuos de la región asumen que un antivirus es suficiente o piensan que no pueden ser atacados: ¿Las precauciones se toman luego que se ha producido algún incidente, y en algunos casos ni siquiera se protegen¿.

Y aunque, de acuerdo con Ricardo Villadiego, de IBM, los bancos han ido aprendiendo las lecciones que deja cada ataque, ¿la principal falla es justamente buscar proteger el problema en el usuario final; allí es poco lo que se puede hacer¿.

Villadiego opina que cada entidad financiera debe centrarse en proteger el phishing impidiendo que el robo de identidad tenga efecto, y esto solo se logra al implementar niveles de autenticación superiores a los usados en la actualidad (número de cuenta/clave o usuario/clave).

¿Hay que incluir un concepto de autenticación de los dispositivos desde donde se generan las transacciones y un esquema de inteligencia¿, dice el funcionario de IBM, para así detectar anomalías en el comportamiento del usuario en línea y determinar un posible ataque; de esta manera se protegerá al usuario en el banco y no en su computador.

De igual manera, Javier Merchan, de Panda, manifiesta que todavía hay mucho para avanzar en este campo. ¿Es necesario formar a todos: a los usuarios para que tomen conciencia de que usar un PC puede ser peligroso; a los proveedores de Internet y a los desarrolladores (de productos) de seguridad¿, declara Merchan.
No lo olvide, la próxima vez que revise su buzón de entrada sea desconfiado, todo correo que llega de su banco es un fraude en potencia; como advierte Carlos González, de McAfee, ¿tenga sentido común; su banco nunca va a pedirle que verifique datos mediante un correo¿. No muerda el anzuelo.

 

Recomendaciones para evitar el phishing

Los expertos aconsejan seguir las siguientes pautas:

– Los bancos nunca van a pedirle ningún dato al cliente por correo electrónico o por teléfono.
– Nunca dé clic en un enlace que esté en un correo para acceder a su entidad financiera.
– Evite realizar transacciones desde computadores que pertenezcan a sitios públicos, como cafés Internet, bibliotecas, etc.
– Instale en su computador defensas como antivirus, firewall y un sistema de protección antiphishing. Este tipo de programas se encuentran en el mercado y algunos se pueden descargar de Internet gratis.
– Desconfíe de los mensajes de correo electrónico cuya procedencia desconoce. No los abra.

Pharming, la nueva amenaza

Los delincuentes informáticos crearon una nueva forma de fraude en línea: el pharming. Esta práctica utiliza los mismos sitios web falsos y el robo de información confidencial para estafar como lo hace el phishing. Sin embargo, es mucho más difícil de detectar porque no necesita que la víctima acepte un mensaje ¿señuelo¿.

En lugar de depender por completo de que los usuarios hagan clic en los enlaces engañosos que se incluyen en mensajes de correo electrónico, el pharming dirige a sus víctimas al sitio web controlado por el hacker, incluso si la persona escribió correctamente la dirección web de su banco o de otro servicio en línea en el navegador.

Esto es posible por dos vías: en la primera, los delincuentes atacan directamente a los proveedores de Internet, toman control de sus servidores y modifican su configuración para desviar a los usuarios hacia los sitios falsos; en la segunda, instalan en el equipo de la persona un software malicioso que controla las direcciones de la Red para modificar la ruta de navegación.

 

¿Y el spam?

Según el último informe de amenazas a la seguridad en Internet de Symantec, el correo no deseado o basura (spam) constituyó más del 54 por ciento de todo el tráfico de correo electrónico durante el 2006.

Al igual que el phishing, el spam también ha evolucionado y sus técnicas cada vez son más sofisticadas. Una modalidad reciente es el ¿image spam¿: la mayoría de filtros de seguridad antispam funcionan buscando palabras claves preestablecidas; entonces ¿lo que hicieron los ¿spammers¿ (quienes envían el spam) fue introducir el texto dentro de una imagen en formatos como .jpg. Así el spam es la imagen y no el texto¿, apunta Andrés Martínez, director de canal para Latinoamérica de Tumbleweed.

El ¿image spam¿ toma fuerza por su facilidad para evadir los controles y, según IBM Internet Security Systems, durante el último cuarto del 2006 alcanzó cerca del 45 por ciento del total de spam enviado.

]]>

Archivos