La red al día
Este método, que consiste en el envío de mensajes fraudulentos de correo electrónico con enlaces a sitios en internet, solicita la introducción de datos de los usuarios, tales como número de tarjeta de crédito o sus claves de acceso, los cuales son robados y posteriormente empleados en acciones delictivas de mayor envergadura.
La firma Gartner estimó que unos 3,6 millones de usuarios de computadoras en Estados Unidos perdieron 3,2 billones de dólares por estos ataques en un intervalo de 12 meses, desde agosto de 2006. Y aun cuando el promedio del valor del desfalco disminuyó de 1 244 dólares a 886, se incrementó la cantidad de incidentes.
Además, las técnicas desarrolladas por los autores de caballos de Troya empleados en la creación de redes de computadoras zombis, permiten que cada uno de los equipos comprometidos pueda hospedar múltiples sitios para la ejecución de ataques al mismo tiempo. Estos también pueden replicarse al resto de las computadoras que forman parte de esta red, por lo que su desactivación se convierte en una tarea compleja.
Por eso no es sorprendente que la firma MessageLabs detectara en 2007 un incremento, con respecto a 2006, de mensajes de correo electrónico destinados a estos fines. Si en aquella ocasión uno de cada 274 mensajes contuvo este tipo de ataque, en 2007 el reporte fue de 1 por cada 156.
En mar revuelta...El término phishing fue publicado por primera vez en un boletín de noticias de hackers en 1996, y procede de la palabra inglesa fishing (pesca en español).
Si bien en sus inicios estuvo relacionado con el robo de cuentas de miembros de American OnLine (AOL) con el fin de utilizar los servicios de la compañía a través de tarjetas de crédito válidas, en la actualidad se asocia a la «captura» de contraseñas y datos financieros en el «gran mar» que representa Internet.
El método más empleado es el envío de un mensaje de correo electrónico (medio muy barato, teniendo en cuenta que en muchas ocasiones son remitidos desde computadoras comprometidas formando parte de las redes robots), que simula provenir de instituciones bancarias y financieras bien reconocidas, urgiendo al receptor a que acceda al enlace incluido en la misiva para resolver un contratiempo que se ha presentado con los datos de su cuenta.
Una vez establecido el vínculo se muestra una página web, muy parecida a la real, en la que se solicitan los datos en cuestión, pero que realmente es falsa, preparada para robar la información introducida, la cual será posteriormente empleada en acciones delictivas de mayor envergadura.
El phishing, al igual que el envío de códigos malignos y spam o correos comerciales, ha evolucionado, pues entre otros aspectos los usuarios se vuelven más desconfiados.
Por tal motivo, unido al uso de logotipos y colores de las supuestas instituciones remitentes y al ocultamiento de las direcciones reales a las que se accede mediante los enlaces, últimamente se ha evidenciado su envío de manera cada vez más personalizada.
Los mensajes van dirigidos a determinados grupos de personas, que previamente «han sido estudiadas». Para ser más exitoso el ardid, en los propios textos se incluyen advertencias sobre el peligro que representan los correos de falsa procedencia con fines lucrativos y fraudulentos.
Según MessageLabs el 34 por ciento de este tipo de mensajes de correo fraudulentos ya es personalizado, pues indudablemente el engaño es más efectivo cuando el mensaje es recibido por un destinatario que tiene una cuenta en el banco referenciado.
La información necesaria para la personalización, a veces es robada por «caballos de Troya» instalados en las computadoras de los usuarios, ya que existen familias de códigos malignos creados para robar todo lo tecleado cuando comprueban que una computadora intenta conectarse a un sitio web perteneciente a una determinada institución financiera.
No obstante, las víctimas son seleccionadas fundamentalmente, según los expertos, en sitios de Internet con fines sociales, dado que en ellos existen muchos datos que permiten el robo de identidad, valorándose en un 90 por ciento la posibilidad de éxito bajo estas condiciones.
Mulas sin saberloEl phishing no solo descansa en la ingeniería social, sino en un desarrollo técnico alcanzado por los malhechores y las debilidades, desde el punto de vista de seguridad, existentes en las aplicaciones y dispositivos empleados en las operaciones financieras.
Las técnicas desarrolladas por los autores de caballos de Troya empleados en la creación de redes botnets o esclavas, permiten que cada uno de los equipos comprometidos pueda hospedar al mismo tiempo múltiples sitios para la ejecución de ataques phishing.
Estos también pueden replicarse al resto de las computadoras que forman parte de esta red, por lo que su desactivación se convierte en una tarea compleja.
Además, en internet se venden herramientas (phishing kits) para realizar estas acciones, lo que permite que el nivel de conocimiento técnico para ejecutarlos no tenga que ser alto.
Una forma de operación de este tipo de fraude es el siguiente: robo de información sobre las víctimas, envío de los mensajes personalizados, robo de los datos referentes al acceso a la cuenta bancaria cuando el usuario es engañado, robo de ese dinero o parte de él que es transferido a las cuentas de terceros, las llamadas «mulas».
Incluso estas «mulas» generalmente también son personas que han sido engatusadas en sitios de contratación en línea, pues se les ofrecen trabajos que pueden realizar desde sus casas para empresas que desconocen sean ficticias, por lo cual reciben como comisión un determinado por ciento de esa cantidad, después de la extracción del dinero y su transacción a los estafadores.
Además de las altas cifras estimadas por la firma Gartner en Estados Unidos, otra empresa antivirus, ESET, en el mes de mayo advirtió del aumento de phishing en varios países de América del Sur (Argentina, Uruguay y Chile), en los que los atacantes emplearon como supuestas fuentes de los mensajes a instituciones financieras de la región.
Se confirmó así que, si bien hasta hace muy poco tiempo la mayoría de los ataques a nivel global eran a usuarios y entidades de habla inglesa, la amenaza también acecha a países de Latinoamérica.
Todo indica que la situación puede empeorar. Para 2008, analistas de McAfee Avert Labs estiman un incremento del 50 por ciento de los ataques phishing, fundamentalmente empleando el protocolo VoIP para la transmisión de la voz a través de Internet.
Estas nuevas acciones fraudulentas se ejecutarían mediante el envío de mensajes, que en lugar de contener enlaces a sitios web hagan alusión a un número telefónico, y establecida la comunicación se solicite la entrada de los datos a través del teclado del teléfono.
*Especialista principal del laboratorio antivirus de la empresa de consultoría y seguridad informática Segurmática.