Segu-Info contra el Phishing bancario en el diario

Gobierno y bancos crean el dominio "banco.ar" para evitar estafas virtuales

Se buscará ofrecer una mayor transparencia en la actividad de los usuarios de “home banking” y poner un obstáculo a los delincuentes que usan el "phishing".

El Gobierno nacional y los bancos que operan en el país comenzaron a trabajar esta semana en la creación de un dominio de Internet específico para las actividades bancarias en la Argentina, con el objetivo de reducir los casos de estafas virtuales, conocidas en inglés como "phishing".

Según explicó a iProfesional.com una fuente que participa en las negociaciones entre la Cancillería, el área del Poder Ejecutivo encargado de administrar los dominios en la red, y los bancos, el nuevo registro se llamaría "banco.ar" (todavía no disponible).

La idea es replicar la experiencia que comenzó hace casi un año con la actividad turística, con el dominio ".tur.ar". En ese caso, se trató de una iniciativa de la Secretaría de Turismo y de la Cancillería.

A ese registro pueden acceder todas las agencias de viajes habilitadas por el organismo de turismo. El objetivo en ese caso fue proteger los derechos de los turistas, que podrán estar seguros que están contratando por Internet a una agencia habilitada si la página web pertenece al dominio .tur.ar.

Con respecto a los bancos, se buscará ofrecer una mayor transparencia en la actividad de los usuarios de “home banking” por Internet, y en especial poner un obstáculo a los delincuentes que arman y difunden estafas virtuales.

El dominio .tur.ar es administrado por NIC Argentina, organismo dependiente del Ministerio de Relaciones Exteriores y Culto. Esta misma repartición participa en las negociaciones con los bancos. La fuente consultada no precisó cuándo estará vigente el “banco.ar”, aunque resaltó la buena predisposición de todas las partes involucradas en las conversaciones.

Ofensiva delictiva

El "phishing" es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso. Normalmente, se utiliza con fines delictivos enviando "spam" e invitando acceder a la página señuelo. El objetivo del engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios.

El usuario recibe así correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas.

De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.

Desde el portal especializado Segu-Info señalaron que "existe un amplio abanico de software y aplicaciones de toda índole que quedan clasificados dentro de la categoría de robo de información personal o financiera, algunas de ellas realmente complejas, como el uso de una ventana Javascript flotante sobre la barra de direcciones del navegador con el fin de confundir al usuario". Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son, según Segu-Info:

Uso de nombres de compañías ya existentes. En lugar de crear desde cero el sitio web de una compañía ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de una compañía existente, con el fin de confundir aún más al receptor del mensaje.

Utilizar el nombre de un empleado real como remitente del correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañía, desde ésta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma.

Direcciones web con la apariencia correcta. El correo fraudulento suele conducir al usuario hacia sitios web que replican el aspecto de la empresa que está siendo utilizada para robar la información. En realidad, tanto los contenidos como la dirección web (URL) son falsos y se limitan a imitar a los reales. Incluso la información legal y otros enlaces no vitales pueden redirigir al confiado usuario a la página web real.

Factor miedo. "La ventana de oportunidad de los defraudadores es muy breve, ya que una vez se informa a la compañía de que sus clientes están siendo objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y sirve para la recogida de información se cierra en el intervalo de unos pocos días. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una pérdida, ya sea económica o de la propia cuenta existente, si no se siguen las instrucciones indicadas en el correo recibido, y que usualmente están relacionadas con nuevas medidas de seguridad recomendadas por la entidad".

Un caso local

Esta semana, el Banco Galicia fue víctima de esta práctica. Clientes de esta entidad recibieron un mail con un dominio similar al del banco y su logo con el siguiente texto:

"Estamos realizando tareas de actualizaciones en nuestras bases de datos, en todas las actualizaciones de software de nuestras bases de datos necesitamos su colaboración de reingresar a su cuenta home banking". Luego se informaba de una dirección en la Web donde el usuario debía cargar sus datos personales (nombre de sesión y contraseña).

El mail refleja un caso de esta práctica delictiva, que no cesa de aumentar en los últimos años. Según el último reporte de la empresa Symantec, difundido en abril, las herramientas de esta práctica ilegal continúan profesionalizándose. Incluso, los sitios de phishing en español ocupan el quinto puesto a nivel mundial.

Los delincuentes aprovechan la expansión de la red, conformada por miles de millones de usuarios, donde los blancos nunca se agotan. Sin embargo, los fraudes de phishing se han vuelto más sofisticados y los criminales han desarrollado "una amenaza a la medida de cada usuario": el fraude bancario es el delito informático profesional más habitual. Los criminales atacan al sistema en su eslabón más débil: el cliente o, cada vez más, la computadora personal del mismo.

El número de credenciales, perfiles o informaciones personales que puede robar un criminal depende de la cantidad de tiempo en que permanece activo un sitio de captura. A medida que los bancos se volvieron igualmente eficaces que ellos para desmantelar los sitios de captura, los criminales han desarrollado técnicas para frustrar estos servicios de desmantelamiento, cambiando rápidamente entre cientos de sitios de captura, aplicando una técnica conocida como "fast-flux" (flujo rápido).

"En realidad, los criminales no desean obtener números de tarjetas de crédito; quieren dinero. Actualmente, transformar las credenciales en dinero efectivo es la parte del proceso que más trabajo conlleva y la más riesgosa. Los números de tarjetas de crédito robados generalmente se intercambian en el mundo de la Internet por un dólar o menos, la pérdida promedio por tarjeta es más de cien veces mayor", explicó Phillip Hallam-Baker, científico Jefe de VeriSign, empresa encargada de administrar dominios en Internet (ver más en nota relacionada).

Daniel Monastersky, abogado especialista en nuevas tecnologías, apuntó por su parte a iProfesional.com que "si bien no se conocen datos de personas que hayan sido víctimas de este delito, esta modalidad ha crecido enormemente en nuestro país en los últimos meses".

El letrado, CEO del portal Identidad Robada y socio del estudio de abogados Techlaw, recordó que "al no haber norma que obligue a denunciar estos hechos, los datos son parciales. Se estima que durante el año 2006 las entidades financieras de nuestro país perdieron 500 millones de pesos debido al robo de identidad".

Prevenciones

Monastersky, socio de Hispasec Sistemas Argentina, representantes en la Argentina de una empresa española de seguridad informática, advirtió que “el riesgo que se corre al no tener políticas preventivas sobre los fraudes electrónicos es la pérdida de confianza por parte de los clientes. El consumidor exige que su institución bancaria difunda y eduque sobre estos tópicos. El desconocimiento, lo único que hará es que los canales electrónicos sean utilizados con mayor cautela y, en muchos casos, pasen a mejor vida”.

Del último informe de la consultora Gartner se desprende que hubo un aumento del 40% en el número de afectados por el phishing en los Estados Unidos.

El mismo documento detalla que los damnificados por esta modalidad sufren pérdidas cercanas a los 350 dólares, en promedio. Un 56 % de esos montos es recuperado por los consumidores y el 44 % restante es absorbido por los sitios de Internet y los bancos.

Según el experto en seguridad Dancho Danchev, el tiempo activo de un sitio de phishing cambia mucho de país a país. Por ejemplo, en Taiwan, el tiempo promedio según el estudio es de 19 horas, mientras que en Australia es de una semana.

"Existe una normativa que impone a los bancos contar con mecanismos de seguridad informática que garanticen la confiabilidad de la operatoria", explicó Monastersky.

Consejos

Las recomendaciones de Segu-Info para evitar este tipo de estafa son las siguientes:

• Evite el SPAM ya que es el principal medio de distribución de cualquier mensaje que intente engañarlo. Para ello puede recurrir a nuestra sección de Spam.
• Tome por regla general rechazar adjuntos y analizarlos aún cuando se esté esperando recibirlos.
• >Nunca hacer clic en un enlace incluido en un mensaje de correo. Siempre intente ingresar manualmente a cualquier sitio web. Esto se debe tener muy en cuenta cuando es el caso de entidades financieras, o en donde se nos pide información confidencial (como usuario, contraseña, tarjeta, PIN, etc.).
• Sepa que su entidad, empresa, organización, etc., sea cual sea, nunca le solicitará datos confidenciales por ningún medio, ni telefónicamente, ni por fax, ni por correo electrónico, ni a través de ningún otro medio existente. Es muy importante remarcar este punto y en caso de recibir un correo de este tipo, ignórelo y/o elimínelo.
• Otra forma de saber si realmente se está ingresando al sitio original, es que la dirección web de la página deberá comenzar con https y no http, como es la costumbre. La S final, nos da un alto nivel de confianza que estamos navegando por una página web segura.
• Es una buena costumbre verificar el certificado digital al que se accede haciendo doble clic sobre el candado de la barra de estado en parte inferior de su explorador (actualmente algunos navegadores también pueden mostrarlo en la barra de navegación superior).
• No responder solicitudes de información que lleguen por e-mail. Cuando las empresas reales necesitan contactarnos tienen otras formas de hacerlo, de las cuales jamás será parte el correo electrónico debido a sus problemas inherentes de seguridad.
• Si tiene dudas sobre la legitimidad de un correo, llame por teléfono a la compañía a un número que conozca de antemano... nunca llame a los números que vienen en los mensajes recibidos.
• El correo electrónico es muy fácil de interceptar y de que caiga en manos equivocadas, por lo que jamás se debe enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través de este medio.
• Resulta recomendable hacerse el hábito de examinar los cargos que se hacen a sus cuentas o tarjetas de crédito para detectar cualquier actividad inusual.
• Use antivirus y firewall. Estas aplicaciones no se hacen cargo directamente del problema pero pueden detectar correos con troyanos o conexiones entrantes/salientes no autorizadas o sospechosas.
• También es importante que si usted conoce algún tipo de amenaza como las citadas, las denuncie a la unidad de delitos informáticos de su país.

César Dergarabedian
Fuente: iProfesional

Suscríbete a nuestro Boletín