El phising crece gracias a técnicas más sofisticadas
Sólo en el mes de octubre se contabilizaron 9.572 ataques en todo el mundo
Los intentos de fraude por Internet han crecido de manera alarmante en los últimos años, y especialmente la práctica del phising, que intenta conseguir las claves de los clientes de banca electrónica y acceder a sus cuentas con fines delictivos.
“Apreciado cliente, nuestro nuevo sistema de seguridad le ayudará a evitar frecuentes transacciones de fraude y a guardar sus aportaciones. A causa de la modernización técnica le aconsejamos vuelva a reactivar su cuenta…”. Este mensaje, que a priori podría parecer un aviso de seguridad de cualquier entidad bancaria, es todo lo contrario. Es uno de los miles de ejemplos que los usuarios de correo electrónico reciben cada día. Según el Centro de Mando Antifraude (AFCC) de RSA, durante el mes de octubre se contabilizaron 9.572 ataques. Aunque este dato supone un 0,5% menos que en el mes anterior, el número de entidades atacadas en el mundo se ha incrementado respecto a septiembre, hasta las 154, siendo Estados Unidos el país más afectado, con un 60% de los bancos; seguido de Reino Unido (16%) y de España (6%). Esta tendencia al alza también se ha visto reflejada, según RSA, en el mercado español ya que hasta 9 entidades financieras de nuestro país recibieron 22 ataques ese mes.
Aunque es complicado cuantificar la pérdidas económicas, un estudio de First Data apunta a que las pérdidas por fraude bancario en todo el mundo superan el billón de euros al año. Según Emilio Castellote, director de marketing de producto de Panda Security, “la media de perjuicio económico se sitúa en 593 euros, si bien en la gran mayoría de los casos no supera los 400 euros, que es el límite establecido en el ordenamiento jurídico español para que tenga la consideración de delito”. Además, según Castellote, “el 24,8% de los ataques no alcanza los 50 euros, hecho que contribuye a que, en ocasiones, los fraudes no sean detectados”.
El creciente volumen de estos delitos se ha visto agravado por la mayor sofisticación de los phisers y a la aparición de técnicas más novedosas. El crecimiento ha sido tal que, desde 2006, tiene su reflejo en el Servicio de Reclamaciones del Banco de España. Así, según señaló Marisa García Tallón, jefa del Servicio de Reclamaciones del organismo, en una intervención en unas jornadas organizadas por el Banco de España y el Colegio notarial de Madrid, “el primer problema con el que nos encontramos es la falta de una regulación específica de las operaciones que se realizan a través de Internet”. Y es que, debido a que el fraude on-line es relativamente nuevo en España, “en el vigente Código Penal no se halla un título específico que contenga los delitos que coloquialmente conocemos como informáticos”, señala Martín Carvallo, director de desarrollo de negocio para el sur de Europa de Sophos. Sin embargo, de acuerdo con Luis Fuertes, director de marketing de empresas de Symantec para España y Portugal, “los Cuerpos y Fuerzas de Seguridad del Estado están haciendo un trabajo increíble” para luchar contra la delincuencia on-line, así como INTECO, que está ayudando a las empresas y ciudadanos a crear un ecosistema de confianza en Internet, a través del Plan Avanza, para la convergencia con las directivas de la UE en materias del desarrollo de la Sociedad de la Información”.
Para combatir este problema, los expertos coinciden en abogar por un buen uso de las herramientas. “Entendemos que lo más importante es, como en otras facetas de la vida, asimilar buenos hábitos”, señalan fuentes de Bankinter. Obviamente, para asimilar esto, “es necesario la información y el asesoramiento, y esto sí es una responsabilidad que las entidades bancarias deben asumir, junto con otras acciones especializadas destinadas a dificultar el éxito del engaño, al estilo de lo que Bankinter ha venido y seguirá realizando”.
Por su parte, Fidel Pérez, director comercial de RSA, apunta a “la tecnología y a la educación de los usuarios” como dos frentes para minimizar los riesgos provenientes del phising: “Mantener el sistema operativo del ordenador actualizado, instalar un sistema antivirus y cortafuegos o no conectarse a una cuenta bancaria desde redes inalámbricas u ordenadores desconocidos, ya es un paso para mantenerse protegido frente a las amenazas on-line. Sin embargo, estas normas básicas de precaución todavía son ignoradas, bien por desinformación o por desconocimiento de las amenazas en sí y de los riesgos que éstas pueden causar”.
Algunas variantes del phising
-----------------------------------------
Vishing
Según Luis Fuertes, director de marketing de empresas de Symantec para España y Portugal, consiste en el envío de un correo electrónico en el que se pide al destinatario que realice una llamada telefónica a un número gratuito para resolver un problema con una cuenta. A partir de ahí, un sistema de voz guía al usuario, que termina introduciendo su número de cuenta y su PIN mediante el teclado del teléfono.
Pharming
Consiste en cambiar los datos de los DNS (Domain Name Server) alterando el protocolo TCP/IP o el archivo local que sirve como caché en cada equipo. Según Emilio Castellote, director de marketing de producto de Panda Security, gracias a esta técnica, los ciberdelincuentes pueden redirigir hacia páginas falsas las visitas que los usuarios hacen a su banco on-line.
Killover o Keylogger
Es un código que espera a que el usuario acceda a su entidad bancaria a través de “Favoritos”. Una vez en ella, es capaz de capturar todas las teclas que se pulsan y ser enviadas al delincuente para conseguir las contraseñas. Como respuesta, los bancos han puesto en marcha teclados virtuales.
Scam
Según Manuel Arrevola, director comercial de Zitralia, “es una estafa más habitual de lo que parece”. Un usuario recibe un e-mail de un supuesto intermediario financiero o empresa extranjera que se quiere instalar en España. El gancho es que necesitan contar con un agente financiero en el país, al que están dispuestos a pagar 3.000 euros por sus servicios. La cantidad ofrecida y la sencillez hacen, según Arrevola, “que sean numerosos los inocentes”, ya que sólo hay que hacer una transferencia por el importe que detallan a una cuenta de otro país. Pero la alegría del incauto no dura mucho ya que, en ocasiones, la Policía ha comunicado después que han participado en una operación de blanqueo de dinero, cometiendo un delito ante el que no tienen defensa.
“Apreciado cliente, nuestro nuevo sistema de seguridad le ayudará a evitar frecuentes transacciones de fraude y a guardar sus aportaciones. A causa de la modernización técnica le aconsejamos vuelva a reactivar su cuenta…”. Este mensaje, que a priori podría parecer un aviso de seguridad de cualquier entidad bancaria, es todo lo contrario. Es uno de los miles de ejemplos que los usuarios de correo electrónico reciben cada día. Según el Centro de Mando Antifraude (AFCC) de RSA, durante el mes de octubre se contabilizaron 9.572 ataques. Aunque este dato supone un 0,5% menos que en el mes anterior, el número de entidades atacadas en el mundo se ha incrementado respecto a septiembre, hasta las 154, siendo Estados Unidos el país más afectado, con un 60% de los bancos; seguido de Reino Unido (16%) y de España (6%). Esta tendencia al alza también se ha visto reflejada, según RSA, en el mercado español ya que hasta 9 entidades financieras de nuestro país recibieron 22 ataques ese mes.
Aunque es complicado cuantificar la pérdidas económicas, un estudio de First Data apunta a que las pérdidas por fraude bancario en todo el mundo superan el billón de euros al año. Según Emilio Castellote, director de marketing de producto de Panda Security, “la media de perjuicio económico se sitúa en 593 euros, si bien en la gran mayoría de los casos no supera los 400 euros, que es el límite establecido en el ordenamiento jurídico español para que tenga la consideración de delito”. Además, según Castellote, “el 24,8% de los ataques no alcanza los 50 euros, hecho que contribuye a que, en ocasiones, los fraudes no sean detectados”.
El creciente volumen de estos delitos se ha visto agravado por la mayor sofisticación de los phisers y a la aparición de técnicas más novedosas. El crecimiento ha sido tal que, desde 2006, tiene su reflejo en el Servicio de Reclamaciones del Banco de España. Así, según señaló Marisa García Tallón, jefa del Servicio de Reclamaciones del organismo, en una intervención en unas jornadas organizadas por el Banco de España y el Colegio notarial de Madrid, “el primer problema con el que nos encontramos es la falta de una regulación específica de las operaciones que se realizan a través de Internet”. Y es que, debido a que el fraude on-line es relativamente nuevo en España, “en el vigente Código Penal no se halla un título específico que contenga los delitos que coloquialmente conocemos como informáticos”, señala Martín Carvallo, director de desarrollo de negocio para el sur de Europa de Sophos. Sin embargo, de acuerdo con Luis Fuertes, director de marketing de empresas de Symantec para España y Portugal, “los Cuerpos y Fuerzas de Seguridad del Estado están haciendo un trabajo increíble” para luchar contra la delincuencia on-line, así como INTECO, que está ayudando a las empresas y ciudadanos a crear un ecosistema de confianza en Internet, a través del Plan Avanza, para la convergencia con las directivas de la UE en materias del desarrollo de la Sociedad de la Información”.
Para combatir este problema, los expertos coinciden en abogar por un buen uso de las herramientas. “Entendemos que lo más importante es, como en otras facetas de la vida, asimilar buenos hábitos”, señalan fuentes de Bankinter. Obviamente, para asimilar esto, “es necesario la información y el asesoramiento, y esto sí es una responsabilidad que las entidades bancarias deben asumir, junto con otras acciones especializadas destinadas a dificultar el éxito del engaño, al estilo de lo que Bankinter ha venido y seguirá realizando”.
Por su parte, Fidel Pérez, director comercial de RSA, apunta a “la tecnología y a la educación de los usuarios” como dos frentes para minimizar los riesgos provenientes del phising: “Mantener el sistema operativo del ordenador actualizado, instalar un sistema antivirus y cortafuegos o no conectarse a una cuenta bancaria desde redes inalámbricas u ordenadores desconocidos, ya es un paso para mantenerse protegido frente a las amenazas on-line. Sin embargo, estas normas básicas de precaución todavía son ignoradas, bien por desinformación o por desconocimiento de las amenazas en sí y de los riesgos que éstas pueden causar”.
Algunas variantes del phising
-----------------------------------------
Vishing
Según Luis Fuertes, director de marketing de empresas de Symantec para España y Portugal, consiste en el envío de un correo electrónico en el que se pide al destinatario que realice una llamada telefónica a un número gratuito para resolver un problema con una cuenta. A partir de ahí, un sistema de voz guía al usuario, que termina introduciendo su número de cuenta y su PIN mediante el teclado del teléfono.
Pharming
Consiste en cambiar los datos de los DNS (Domain Name Server) alterando el protocolo TCP/IP o el archivo local que sirve como caché en cada equipo. Según Emilio Castellote, director de marketing de producto de Panda Security, gracias a esta técnica, los ciberdelincuentes pueden redirigir hacia páginas falsas las visitas que los usuarios hacen a su banco on-line.
Killover o Keylogger
Es un código que espera a que el usuario acceda a su entidad bancaria a través de “Favoritos”. Una vez en ella, es capaz de capturar todas las teclas que se pulsan y ser enviadas al delincuente para conseguir las contraseñas. Como respuesta, los bancos han puesto en marcha teclados virtuales.
Scam
Según Manuel Arrevola, director comercial de Zitralia, “es una estafa más habitual de lo que parece”. Un usuario recibe un e-mail de un supuesto intermediario financiero o empresa extranjera que se quiere instalar en España. El gancho es que necesitan contar con un agente financiero en el país, al que están dispuestos a pagar 3.000 euros por sus servicios. La cantidad ofrecida y la sencillez hacen, según Arrevola, “que sean numerosos los inocentes”, ya que sólo hay que hacer una transferencia por el importe que detallan a una cuenta de otro país. Pero la alegría del incauto no dura mucho ya que, en ocasiones, la Policía ha comunicado después que han participado en una operación de blanqueo de dinero, cometiendo un delito ante el que no tienen defensa.
