En el ámbito mundial, el sector financiero ha sufrido pérdidas económicas considerables debido al phishing, técnica para lograr el robo de identidad, basada en la ingeniería social.
No sólo por el robo de dinero del que sus clientes han sido víctimas, sino por la inversión en tecnología, cambios de políticas, procedimientos y publicidad, entre otros.
Al parecer aún no existe una manera 100 por ciento confiable de realizar transacciones financieras a través de internet. La pregunta ahora es: ¿será ésta la nueva forma a través de la cual los robabancos seguirán haciendo sus fechorías, en el anonimato de un mundo virtual?
Según investigaciones de la compañía McAfee, durante 2006 en todo el mundo el cibercrimen ganó 105 mil millones de dólares, dos mil millones más que el narcotráfico. De esta ganancia, aproximadamente 80 por ciento viene del sector financiero.
Este artículo describe el phishing como una amenaza para el sector financiero, sus métodos de engaño, estadísticas de afectación en los últimos años y proporciona consejos para evitarlo.
Introducción
El dinero definitivamente es la principal motivación de los ciberdelincuentes y es en las instituciones financieras donde se puede encontrar.
Phishing es una técnica basada en la ingeniería social; ésta se refiere a la habilidad de engañar a alguien para obtener de él la información que se desea.
Un ejemplo de la ingeniería social es cuando llaman por teléfono a la casa de una persona y se hace pasar por una autoridad de la escuela de los hijos, solicitando a la trabajadora doméstica información como nombres de los hijos, lugar de trabajo de los padres, horarios, etcétera.
Otro ejemplo es cuando se comunican fingiendo ser de la sucursal bancaria y solicitan información confidencial como dígitos de verificación de una tarjeta de crédito, cuyo número fue obtenido a través de recoger estados de cuenta tirados previamente a la basura.
El phishing, entonces a manera de engaño, presenta en la pantalla del monitor (generalmente derivado de un clic a un link en un correo electrónico) una pantalla similar a la que se vería si accede a la página donde realiza las transacciones bancarias, donde es casi imposible descubrir que estamos siendo engañados y se proporciona la información solicitada, la cual es utilizada por el delincuente.
Otro ejemplo de phishing es cuando se intenta firmar a su correo electrónico y resulta ser que el sitio donde se está escribiendo la clave y contraseña de acceso es idéntico al original siendo un sitio falso, donde al enviar la información será recibida por el delincuente que la utilizará para seguramente cometer un delito.
Sus inicios datan de 1996, atacando cuentas de AOL. La palabra phishing se deriva de fishing (pescar), donde las letras PH sustituyen a la F. Significa entonces password harvesting fishing: pesca y cosecha de contraseñas.
¿Cómo se engaña con phishing?
a) Se utilizan correos electrónicos falsificados para dirigir a los usuarios a sitios web falsos, diseñados para engañar a los recipientes y hacer que brinden información como números de cuentas bancarias y contraseñas.
b) Instalan programas conocidos como exploits en las PC’s para robar la información directamente. Dichos programas vienen generalmente de un correo electrónico o de spam.
Ejemplo de correo electrónico típico de phishing
Si se compara una página falsa con la original casi no se encuentra diferencia alguna, ni por los logotipos ni por las imágenes. La única forma de saber que es una página falsa es por el tipo de información que se está solicitando, como la contraseña (password), el número verificador (card verification number), el código de acceso al cajero (card pin).
Tal vez se pueda pensar que es sencillo darse cuenta de que es falsa, pero la realidad es que estos ataques llegan por correo una y otra vez, y existen usuarios que, con tal de dejar de recibir esos correos insistentes, llenan la información sin siquiera fijarse en lo que están proporcionando.
Estadísticas actuales
Según el informe sobre amenazas de seguridad en internet, publicado año con año por la compañía Symantec, las herramientas de seguridad de esta compañía reportan que bloquearon más de mil 500 millones de mensajes de phishing, lo cual significó un aumento de 19 por ciento con respecto a la primera mitad de 2006.
También informa que durante los días hábiles de la semana se detectaron siete millones 958 mil 323 intentos de phishing, mientras que en sábado y domingo este número se reduce 7.0 por ciento.
El 46 por ciento de todos los sitios de phishing conocidos estuvieron situados en Estados Unidos.
Por lo anterior, casi la mitad del software maligno que entra a un país proviene de Estados Unidos, le sigue China y Reino Unido y en cuarto lugar está Brasil (desarrolladores de troyanos especializados, capaces de atacar bancos en todo el mundo).
Otro punto conflictivo son los países integrantes de la exUnión Soviética, donde existe actividad de estos delincuentes. (b:Secure, julio-agosto 2007).
México ocupa el sexto lugar en ataques de phishing.
Se espera que los atacantes amplíen sus objetivos para incluir nuevos sectores de la industria, tales como los juegos en línea de participación masiva. Symantec prevé también que desarrollen y pongan en operación nuevas técnicas para evadir soluciones antiphishing, tales como listas de bloqueo, donde se encuentran los kits de phishing prefabricados.
Symantec prevé que el spam y el phishing ataquen cada vez más las plataformas móviles.
Recomendaciones para prevenir el phishing
Procure no realizar transacciones financieras en computadoras de uso público o que no sean de su confianza. En caso de tener que hacer uso de este tipo de computadoras, es recomendable que cambie su contraseña a la brevedad, desde una computadora segura.
Si cuenta con el servicio de banca por internet en más de una institución, procure utilizar contraseñas diferentes en cada caso.
No debe apartarse de su computadora cuando tenga abierta una sesión de banca por internet. En caso de requerirlo, debe dar por terminada la sesión a través de la opción cerrar o salir. Verifique que efectivamente su sesión ha terminado y de preferencia cierre el navegador; y en caso de un equipo público, también la sesión del sistema operativo.
Activar la opción de advertir scripting en su navegador. Esto le ayudará a saber si en el momento de estar cargando una página web, trae consigo un programa ejecutable conocido como script.
Deshabilitar autocompletar de su navegador. De tal manera que no se almacenen intentos de contraseñas o claves de usuario que puedan ser vistas por un programa extraño.
Tomar en cuenta que:
-Ninguna compañía de origen financiero pide información personal a través de correo electrónico.
-La mayoría de los bancos envían correos personalizados.
-La mayoría de los phishing e-mails son mensajes urgentes.
-Las ligas en el mensaje la mayoría de las veces no coinciden con la liga real. Por ejemplo, si el banco se llama Bacom, el sitio del banco será seguramente «bacom.com.mx», mientras que en una página falsa si se presenta una liga, ésta pudiera ser developers.com.us.
-No proporcionar información personal a través de ningún medio a menos de que se sepa plenamente con quien se está tratando.
-No responder correo spam ni dar clic en links sospechosos.
-No proporcionar tu cuenta de correo a cualquiera.
-No descargar y abrir archivos adjuntos que no se esperaba recibir.
-Utilizar filtros antispam actualizados, así como software antivirus actualizado.
Medidas que se han tomado
Definir políticas de comunicación entre usuarios:
-No enviar correo en formato HTML.
-No incluir o pedir información personal, etcétera.
Utilizar sistemas de autenticación de correo:
-SPF: Programa que valida el remitente de un correo electrónico así como su dominio, lo que permite verificar si es de quien dice ser.
-SenderID: Valida también la información del remitente.
-DomainKeys: Valida la firma digital de un mensaje.
-Cisco identified internet mail: Agrega dos encabezados a los mensajes para confirmar su autenticidad.
Definir políticas para el uso de internet:
-Interacción con los usuarios
Poner en práctica esquemas de autenticación de dos factores. Estos solicitan un segundo dato secreto, utilizando un token de hardware que posee el usuario o una tarjeta inteligente. Estos son proporcionados a los clientes, y la clave de dicho token es dinámica; es decir, cambia en cada acceso.
Conclusiones
Es necesario anticiparse a la realización de un crimen computacional y planear qué va a hacerse en caso de que éste se presente, ya que generalmente son los propios empleados los que están involucrados.
De allí la importancia fundamental de contar con programas preventivos, estrategias correctivas, planes de emergencia y respuestas inmediatas para proteger los equipos y sistemas, así como salvaguardar información y datos.
Las soluciones no son exclusivamente técnicas. Se requieren entonces:
-Medidas para prevenir fraudes.
-Métodos de autenticación mutua.
-Mejores procesos de auditoría.
-Mejor sistema legal.
-Leyes que protejan a los consumidores.
No caer en el error de que esto es una responsabilidad de las gerencias de sistema. El tema de seguridad en cómputo debe verse a nivel directivo dentro de los ámbitos de seguridad general de las empresas.
México requiere tener una mayor cooperación internacional, pues la mayoría de los autores intelectuales de los ataques se ubican en el extranjero. Dentro del marco legal en el mundo existe la necesidad de reforzar las leyes para endurecer las penas y tener mecanismos legales para comprobar este tipo de crímenes.
La seguridad en cómputo debe apreciarse como un problema de personas y de procesos que puede solucionarse con la aceptación del problema y con la tecnología, resultando a veces necesaria la aplicación de técnicas de investigación criminal y de análisis forense en cómputo.
«El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por él»: Gene Spafford.
Fuente: El Financiero, México
