Los phishers ya no sólo utilizan los correos electrónicos para enganchar a sus víctimas, han alcanzado tales niveles, que ahora puede atacar a través del teléfono por medio de un centro de contacto, por un mensajero instantáneo o incluso a través de aplicaciones como GoogleTalk
El phishing se ha sofisticado y mutando, lo que ha hecho que cada vez sea más difícil prevenirlo o encontrar a sus autores. Los phishers ya no sólo utilizan los correos electrónicos para enganchar a sus víctimas, sino que se valen de nuevas tácticas. Han alcanzado tales niveles, que ahora con la variante del spear phishing pueden localizar de manera focalizada a una víctima para
defraudarla.
También estos delicuentes lo que están haciendo es diseñar las páginas de phishing en Flash, en vez de lenguaje HTML, para evitar así las herramientas que existen en contra de este ataque.
Alfredo Reyes Krafft, Vicepresidente Ejecutivo de la Asociación Mexicana de Internet (AMPICI), explicó las diversas formas de ataque que utilizan los phishers: “El phishing se puede hacer a través de correo tradicional, a través del teléfono por medio de un centro de contacto,por un mensajero instantáneo o incluso a través de aplicaciones como GoogleTalk”.
Puntualizó que esta nueva forma de realizar ataques para robo de identidad se deben a que son más intrusivos; como el correo electrónico ya puede detectar si un mensaje es spam o no lo es, los usuarios se toman más tiempo en revisar sus bandejas de entrada. En cambio, si reciben una liga por medio de un mensaje instantáneo en su PDA o teléfono inteligente, por la premura es más probable quelos usuarios accedan a los sitios de phishing. Incluso, a través de un mensaje de texto, SMS, en teléfonos celulares que tienen acceso a Internet, se puede realizar un fraude.
Ataque nuevo, métodos tradicionales
En el caso del phishing a través del correo tradicional Reyes Krafft comentó que estos atacantes “pueden mandar una carta con el logotipo del SAT, por ejemplo, diciendo que el usuario tiene una devolución de impuestos; u o otra carta diciendo que se ganó un premio y entonces le piden el número de cuenta o de tarjeta o el NIP para supuestamente depositar ahí el dinero”.
Sin embargo, no por esto los phishers han dejado de obtener las bases de datos de correos electrónicos de los usuarios a través de las famosas cadenas o a través de chats, foros, correos electrónicos “basura” -conocidos como spam- y muchas veces también lanzan mensajes de ofertas de empleo o disposición de dinero o cualquier otra variación. Cuando los cibernautas caen en la trampa, entonces mandan los correos electrónicos haciéndose pasar por una institución financiera par a así obtener los números de tarjeta, contraseñas y demás información personal para que los estafadores con los números de cuenta ya en la mano, comiencen entonces a retirar sumas de dinero y las transfieren a las cuentas de quien está detrás de todo este delito. “El punto de ataque ya no es un objetivo, sino varios”, puntualizó Reyes Krafft.
Por todas estas mutaciones del ataque, los usuarios están cada vez más expuestos a recibir correos electrónicos, mensajes, etcétera, para ser víctimas del phishing. De tal manera, que, en esas millones de posibilidades, alguna persona no informada o distraída puede dar sus datos bancarios personales.
No sólo son los portales de las instituciones financieras y los usuarios de los mismos los únicos afectados. También otro tipo de sitios son ya objetivos para los phishers, porque mucha gente introduce en estas páginas información suficiente para que estos atacantes puedan realizar robos de identidad. Se puede realizar un ataque de phishing por ejemplo a través de una supuesta página del SAT o incluso de cualquier portal de subastas en línea. Pero el phishing, a través de cualquiera de estos medios, tiene un denominador común, según explicó el Vicepresidente ejecutivo de la AMIPCI: “Dentro del ataque, normalmente el contenido va referido a cuestiones de carácter económico en las que directa o indirectamente puede intervenir una institución de crédito. Si no necesariamente una institución de crédito, alguna clave referida a un cliente de una de estas instituciones”.
Instituciones financieras en busca de soluciones
“Para evitar este tipo de ataques, el tres de marzo de este año salió publicado una reforma, a través de una Circular Única Bancaria, que obliga a los bancos que, al hacer transacciones monetarias a través de Internet, el usuario por obligación tiene que ocupar contraseñas de un solo uso, con un dispositivo llamado OTP (one-time password), conocido también como Token”, señaló Reyes Krafft.
Este medio de seguridad también es conocido como token de seguridad o de autenticación o criptográfico y es un dispositivo electrónico que la institución bancaria le da a cada uno de sus clientes. Almacenan claves criptográficas que arrojan de manera aleatoria y que cada una de ellas autentica los intercambios monetarios bancarios entre terceros. Es una especie de identidad digital personal.
Por otro lado, según comentó el Vicepresidente, cada una de las instituciones bancarias, a través de sus portales de Internet y otros medios, procuran hacer consciencia entre los usuarios para que instalen antivirus y tomen varias medidas de seguridad, como la instalación de firewalls en sus computadoras o que no accedan a estos sitios desde máquinas públicas o compartidas. “Queda claro que no es la única manera de solucionarlo. La solución es que los usuarios no den sus claves ni su OTP, ni entreguen ni den su tarjeta para hacer las transacciones, porque muchas veces hay ataques de phishing que piden a los usuarios que llenen determinados campos con sus números de las tarjetas o claves”, puntualizó. También aclaró que estas medidas han logrado que se diluyan de manera sustancial los fraudes tanto a los clientes como a las instituciones bancarias, ya que “si el usuario da esa contraseña única en cada transacción, es más difícil que alguien pueda interceptarla en el momento”.
Comentó que la industria también está haciendo grandes esfuerzos a nivel nacional e internacional, como por ejemplo participar en el programa “Navega protegido”, para ayudar a los usuarios y darles herramientas para que no se dejen engañar.
La ley
En México existe un marco legal para aquellos que incurren en estos delitos.
“Los artículos 112 bis y 113 bis de la Ley de Instituciones de Crédito establecen que, quien obtenga o use indebidamente información sobre clientes u operaciones del sistema bancario sin contar con la autorización correspondiente o quien, de forma indebida utilice, obtenga, transfiera o de cualquiera otra forma disponga de recursos o valores de los clientes de las instituciones de crédito incurre en un delito”, explicó Reyes Krafft. La sanción es de tres a nueve años de prisión.
Pero, a pesar del marco legal, existen inconvenientes en nuestro sistema de justicia. El Vicepresidente Ejecutivo aclaró que hay dos problemas de fondo: resulta fácil tipificar el delito, pero se necesita identificar a la persona que está cometiendo el ilícito. Eso se convierte por una dificultad; por otro lado, para acudir a los proveedores de servicios de Internet o correo electrónico y obtener la información necesaria para localizar al phisher, una vez que se obtuvo la dirección IP, es necesaria una orden de la autoridad para que estas empresas puedan proporcionar los datos y eso, en nuestro sistema legal, puede llevar desde semanas hasta meses, lo que le da la oportunidad al delincuente de cambiar de correo electrónico o incluso salir del país desde donde realizó el phishing.
“Normalmente un proveedor de servicios de Internet o de correo electrónico no guarda la información por cuestiones de capacidad de almacenamiento”, agregó Reyes Krafft. Por otro lado, si se investiga una cuenta de correo electrónico sin el visto bueno de las autoridades, la violación de correspondencia es un delito y el correo electrónico es considerado como correspondencia.
“Hay convenios y tratados internacionales. ¿Cuál es el problema? Obtener la información. Ahora donde México está atorado es en obtener esa información de las direcciones IP y de sus titulares. Cuando se saca una cuenta de correo gratuito es más difícil, porque se puede dar de alta sin dar el nombre real; pero cuando se tiene un servicio de Internet se establece un medio de pago y existe una mayor posibilidad de que los usuarios proporcionen datos reales”, explicó el Vicepresidente de la AMIPCI.
Agregó además que la industria está tratando de establecer acuerdos con estos proveedores, de tal manera que sino lo los logran, se hace una lista negra de direcciones IP sospechosas y se comparte con las empresas del ramo que puedan ser víctimas de los ataques del phishing. Esta medida es una alternativa cuando no se logra que la autoridad proporcione herramientas eficientes para contrarrestar los delitos.
Según Reyes Krafft es posible: “Como el phisher puede estar en cualquier parte del mundo, entonces lo que se tiene que hacer es establecer un medio expedito en la legislación y llegar a acuerdos importantes con los proveedores de servicios para obtener la información de manera rápida y oportuna, con un esquema que ya se utiliza en el mundo que se llama notice and take down, que funciona así: se avisa primero a la compañía que pueda estar realizando un
phishing o un cliente suyo esté llevando acciones sospechosas de delitos. Entonces el proveedor de servicio valida y cierra el acceso al sitio, le da un determinado tiempo al titular para que compruebe que es legal y si lo es, sigue operando; y si no, se baja de la red”.
Prevención
Las recomendaciones para prevenir los ataques de phishing son, por un lado, utilizar el token para las transacciones electrónicas, por otro lado, no proporcionar a nadie claves o contraseñas; no perder de vista el token o tarjetas con propiedades similares de OTP y mantener siempre las computadoras con un antivirus y un antiespía; y, por supuesto, procurar no ingresar a los portales de las instituciones bancarias desde computadoras públicas o equipos compartidos.
“Como industria, si por cualquier motivo cualquier empresa es víctima de un ataque, denunciar siempre”, recomendó Reyes Krafft. Agregó también la importancia de que las instituciones financieras se alíen para hacer reformas al código penal en este contexto, para que permitan la posibilidad de dar aviso de manera inmediata y oportuna a los proveedores de servicios de Internet y correo electrónico, de tal manera que se puedan localizar los infractores lo
más rápido posible, para castigarlos.
Educación
La Asociación Mexicana de Internet está formado a los usuarios para que eviten el phishing. “En el sitio de la AMIPCI hay una serie de recomendaciones para evitar fraudes digitales y también formamos parte de la iniciativa Navega Protegido; somos parte de un grupo de trabajo con gente de la UNAM, la policía cibernética y otras organizaciones, para evitar estos problemas”, concluyó el Vicepresidente Ejecutivo.
El usuario puede acceder a diferentes ligas para informarse sobre la seguridad y la prevención de estas vulnerabilidades. El phishing ha evolucionado y lo seguirá haciendo. Mientras la industria trata de levantar barreras y la legislación no es suficiente para contrarrestar el delito, los usuarios tienen que estar más alerta que antes para no caer en estos fraudes.
Fuente: El Economista, México
