Phishing: el demonio en el correo electrónico

Artículo publicado el 22 de Marzo de 2006
Artículo publicado el 22 de Marzo de 2006

Atención, este artículo no ha sido revisado ni publicado en ningún grupo

Las bandas dedicadas al phishing consiguen datos de Internet mediante correos electrónicos falsificados. Los Estados no poseen medios técnicos suficientes para poner fin a estos delitos.

"Estimado cliente: nos complace comunicarle que las transacciones por Internet son ahora más seguras en nuestro banco." Este es un comienzo típico de un correo phishing. Luego, los destinatarios del e-mail son dirigidos a una página web falsa de una entidad de crédito donde se le solicitan sus datos personales: nombre, número de cuenta y código de acceso. Si el usuario sigue las indicaciones, pronto encontrará su cuenta vacía. Los ciberladrones se habrán salido con la suya.

Jóvenes, altamente cualificados y bien organizados

Los correos phishing desean despertar confianza. Tienen la apariencia de e-mails oficiales utilizados por empresas consolidadas o marcas conocidas. Entre los favoritos de los ciberladrones se encuentran marcas mundialmente famosas, como eBay o Citibank.

Los ciberladrones son por lo general jóvenes altamente cualificados. Algunas bandas llegan a tener más de 4.000 integrantes, y algunas poseen una organización muy jerárquizada. Son capaces de crear mercados transfronterizos y suelen realizar las transferencias de capital con sistemas de pago sencillos "e-gold" en el Caribe o el "WMZ" moscovita.

A menudo, los ciberladrones provienen de países con niveles de vida modestos. Christoph Fischer, asesor en asuntos de seguridad informática en la ciudad alemana de Karlsruhe, señala que, con la caída del comunismo, muchos programadores "con una formación excelente" de la antigua URSS se quedaron sin trabajo. "En Bielorrusia, en Ucrania, en el Báltico, pero también en Rumania y Kosovo hay toda una serie de ovejas negras de la industria", cuenta Fischer. "Por un puñado de euros olvidan todos sus escrúpulos y se ofrecen como mercenarios informáticos".

Vestuario de diseño y ropa interior de lujo

Sin embargo, las autoridades de estos países tienen problemas para dominar a estos delincuentes electrónicos, como lo demuestra el ejemplo búlgaro: a principios de febrero de 2006, se reunió el comité de infancia, juventud y deportes del parlamento búlgaro en Sofía. Javor Kolev, experto en seguridad informática, habló allí de la Oficina Nacional Búlgara contra el Crimen Organizado: "Tardamos como mucho cinco minutos en recibir una señal cada vez que una página web de phishing está en línea, y la cerramos de inmediato".

No obstante, es obvio que este servicio no funciona siempre a la perfección. La noticia de que la Oficina búlgara había detenido a ocho jóvenes por phishing y uso fraudulento de tarjetas de crédito tan sólo estuvo un par de días en los teletipos. El grupo, que como era de suponer formaba parte de una red más amplia de estafadores, había logrado burlar la seguridad de Microsoft y robado los datos de las tarjetas de crédito de ciudadanos estadounidenses, lo que no puede lograrse en menos de cinco minutos con la web en línea, porque los delincuantes tuvieron tiempo de sobra para ocuparse de la información bancaria. Además, compraron por Internet trajes de diseño y ropa interior de lujo por valor de más de 50.000 dólares a cargo de cuentas ajenas.

Si se piensa en la dimensión mundial de los cibertimos, 50.000 dólares no son nada. Sólo en los EE UU el coste de este tipo de estafas ascendió a 2.750 millones de dólares en 2005, según informaciones del instituto estadounidense de estudios de mercado Gartner.

Las autoridades encargadas de velar por la seguridad informática en estos países poseen equipamiento deficiente en muchos casos, con sistemas que presentan grandes agujeros. En sus declaraciones ante el comité, Javor Kolev subrayó que la Oficina Nacional Búlgara contra el Crimen Organizado no disponía siquiera de una conexión ADSL, y que sus administradores del sistema carecían de conocimientos sobre Linux y Unix, que son precisamente los sistemas operativos preferidos de los ciberdelincuentes.

Los europeos no se fían

Cada vez surgen nuevos métodos para obtener los datos personales de los usuarios de correo electrónico. "Los ciberladrones saben aprovecharse del miedo de los usuarios", señala Günther Ennen, de la Oficina Federal Alemana para la Seguridad de la Tecnología Informática (BSI), en Bonn. "Existen determinadas palabras clave, como ahora mismo "gripe del pollo", con las que el receptor del correo baja la guardia y abre el e-mail sin reflexionar". Hoy en día se previene contra un correo que anuncia que el usuario ha ganado entradas para el mundial de fútbol si no ha encargado ninguna con anterioridad. Quien quiera escapar de los correos phishing debe fijarse en las características de estos correos: son impersonales y se clasifican como "urgentes", contienen amenazas, errores gramaticales y se solicitan datos personales.

Mientras tanto, los ciberladrones han descubierto un nuevo medio de robo de datos. "Los correos phishing ya son cosa del pasado", dice Christoph Fischer. "Ahora existen virus denominados "troyanos" que no sólo sustraen información sobre tarjetas de crédito y cuentas bancarias, sino todo aquello que se teclea en el ordenador, incluso la identidad completa del usuario. Los programadores de los antivirus no dan abasto con todos los virus, troyanos y aplicaciones maliciosas que no cesan de surgir: cada día se crean de 30 a 40 troyanos, según Fischer.

La luz al final del túnel no parece cercana. Las estafas por phishing en 2005 suponen el doble que en el año anterior. Sin embargo, Christoph Fischer tiene confianza en el ámbito europeo. Los sistemas de pago en línea en Europa son más seguros que los de los EE UU. Además, los europeos son generalmente más desconfiados cuando reciben correos electrónicos de desconocidos.