La nueva estafa digital

Internet tiene un sinnúmero de virtudes, pero también puede ocasionar algunos efectos indeseables.

El más notorio es la tendencia que tenemos a creer que todo lo que viene de la Red es verdad. Si alguien se tomó el trabajo de montar una página Web, con fotos, tipografía linda y demás, ¿cómo vamos a desconfiar de él? Y lo mismo para el e-mail: quien conoce nuestra casilla de correo merece algún grado de confianza (después de todo, dice que nos conoce).

Por supuesto, esto no es así, pero muchos navegantes dejan de lado parte de su sentido común a la hora de enfrentarse a la Red, quizá porque ya les es suficientemente trabajoso usar la PC como para ocuparse de eso.

Esto es música para los oídos de los estafadores, que encontraron en Internet un filón impensable: pueden llegar, casi sin esfuerzo, a millones de personas intentando hacerlas caer en el cuento del tío u otras tretas que ya no tienen tanto éxito en el mundo físico.

A medida que los usuarios van ganando experienciaese tipo de estafas necesita hacerse más y más sofisticado para tener efecto.

En estos últimos años surgieron varias amenazas que son particularmente efectivas por lo bien hechas que están y que echan mano de la ingeniería social para lograr su cometido.

Phishing

Simulan ser mensajes enviados por un proveedor de Internet o una entidad bancaria, entre otros, que le pide al usuario actualizar sus datos personales (número de tarjeta de crédito y contraseñas varias, entre otras cosas).

No fueron detectados por el antivirus actualizado, las direcciones de e-mail de los remitentes parecen válidas, están escritos con el mismo estilo que usaría una entidad de este tipo, incluyen el logo de la empresa, están firmados por algún supuesto directivo de aparente importancia y agregan un link al sitio en el que hay que ingresar los datos. Si el usuario cliquea sobre el mismo, llega a una página que parece la oficial. Pero no es así; es simplemente una fachada para capturar esa información confidencial.

El sistema se conoce, en la jerga informática, como phishing, por una deformación de fishing (pesca, en inglés). Es costumbre de los piratas informáticos deformar las maneras en que se escriben las palabras manteniendo su estructura fonética (warez, para el software pirateado, por ejemplo).

Tuvo sus primeros casos entre usuarios de AOL, pero también fueron afectados los de eBay, PayPal -un sistema de pagos electrónicos- y el Citibank, cuyos mensajes podían inducir a algún tipo de sospecha porque estaban escritos en inglés, entre otros.

"No hemos tenido ningún caso oficial de phishing que se haya reportado en el país -advierte Marcos Pueyrredón, presidente de la Cámara Argentina de Comercio Electrónico-. Pero no es suficiente. Estamos trabajando para tener listo a fin de mes un centro de alertas de estafas digitales en la página de la Cámara ( www.cace.org.ar ), en el que avisemos este tipo de peligros."

Claudio Avín, ingeniero de sistemas de Symantec Argentina, afirma que "el ataque de phising es real y ocurre en el país. Y a mediados de marzo la policía brasileña capturó a una red de estafadores: ya tenemos casos cercanos". El apresado fue Valdir Paulo de Almeida, jefe de una organización que habría robado unos 37 millones de dólares durante dos años a miles de clientes de bancos brasileños.

"Y en el nivel mundial también crece: para Symantec, las alertas de phishing en todo el mundo ascendieron de 3 a 9 millones en un semestre", agrega Avín.

Pharming

Hay otra amenaza, más seria por la escala que maneja, en la que se ataca los servidores del sistema de nombres de dominio (DNS, según sus siglas en inglés) de Internet. La Red se maneja con números IP, una serie de cuatro números de tres cifras separados por puntos, y que identifican a cada computadora conectada a la Red en un momento dado.

Como a las personas les resulta más fácil recordar palabras que números se usan nombres de dominio (tipo www.dominiotal.com.ar ) para diferenciar un sitio de otro. En los servidores DNS hay tablas que traducen un sitio a su correspondiente número IP.

Si esa tabla se modifica (se envenena el caché del servidor DNS, en la jerga), se puede cambiar el número IP al que apunta un dominio. Así, el usuario escribe www.google.com en su navegador, pero termina en el sitio del pirata informático. Este método se conoce como pharming.

Como modificar los contenidos de un servidor DNS es algo extremadamente complicado, algunos ladrones digitales prefieren otro ataque: infectar la máquina del usuario, que también almacena un listado de dominios y su número IP. El propósito del archivo con la tabla en la computadora del usuario es ahorrarse la conexión al servidor DNS, algo que lleva tiempo y consume recursos, cuando se trata de un dominio conocido y confiable.

Si se modifica ese archivo y se agrega una línea indicando un número IP falso para un dominio determinado, cada vez que el usuario intenta llegar a esa página termina en la del ladrón.

El archivo Hosts en Windows XP y 2000, por ejemplo, está en C:\Windows\system32\drivers\etc.

Dar batalla

Ante un panorama semejante, en el que los usuarios no saben en quién confiar y a qué sitio acudir, las empresas de informática y los organismos que regulan el funcionamiento de Internet tomaron medidas para frenar estos delitos. Su aplicación será transparente para el usuario.

Diversos filtros de spam ya consideran los mensajes de phishing más conocidos como correo basura y los bloquean. Pero esto, claro, depende de que estén actualizados.

Mientras tanto, Microsoft les inició juicio a fines de marzo último a 117 individuos que crearon páginas que simulaban estar en los servidores de la compañía. Y se unió al sitio creado por WholeSecurity, Phish Report Network ( www.phishreport.net ).

El Anti-Phishing Working Group ( www.antiphishing.org ), por su parte, reporta apariciones de nuevas estratagemas para engañar a los usuarios. Y un crecimiento del 24% mensual de ataques registrados entre agosto y diciembre últimos en Estados Unidos.

Tanto Microsoft como Yahoo! presentaron herramientas de validación de remitentes de e-mail (Sender ID y DomainKeys, respectivamente) para combatir el phishing, aunque para ser efectivas deberán transformarse en un estándar.

La entidad encargada de administrar la asignación de nombres de dominio, Internet Corporation for Assigned Names and Numbers (Icann), tuvo su última reunión trimestral la semana pasada en Mar del Plata. Uno de los temas tratados allí fue la implementación de DNSSec, una serie de extensiones para proteger los datos guardados en los servidores de nombres de dominio.

Por mano propia

Pero hasta que todas esas tecnologías estén implementadas -y aun entonces, en rigor- queda en los usuarios tomar una serie de medidas para proteger la privacidad de sus datos.

"Para el phishing lo más importante es la toma de conciencia y el sentido común, -afirma Gabriel Gordon, gerente de la Iniciativa de Seguridad Informática para Microsoft Cono Sur-. Si llega un mail que pide información personal, lo recomendable es ignorarlo, no cliquear en ningún lado y, ante la duda, llamar a la organización que lo envió para confirmar que estén pidiendo información personalizada por e-mail. No hay que usar el enlace que ofrece el mensaje de correo, sino entrar al banco o al sitio que sea como se hace normalmente."

"Los mensajes de los estafadores suelen tener un texto que hace parecer que si los datos no se actualizan de inmediato se perderá la cuenta o la posibilidad de recibir un regalo. Recomendamos a los usuarios ignorar estas acciones, porque lo que buscan es desorientar al usuario -indica Pablo Talamoni, gerente de Comunicaciones Externas e Internas de Telecom-. Si efectivamente se visita el sitio, hay que confirmar que esté usando una página segura: la dirección empieza con https:// (en vez de http://) y está encriptada, por lo que aparece un candado cerrado en la barra de estado del navegador. Pero la mejor prevención es estar informado, porque no hay ningún programa que proteja por completo de estos ataques."

En cuanto al pharming, el usuario no tiene tantas alternativas, pero sí puede prevenir una de las versiones: la instalación de un troyano en la PC que les permita a los piratas informáticos modificar cómo navega.

"La solución para este tipo de amenazas no debe ser de tipo reactiva, sino que deben instalarse sistemas mediante los cuales se detecten no sólo los archivos en función de si tienen o no virus, sino mediante las acciones que llevan adelante en el sistema. De esta manera, cada vez que se intente realizar un ataque al sistema de DNS, será reconocido el ataque y detenido, así como bloqueado el programa que intentó hacerlo", dice Claudio Pasik, director de la consultora de seguridad informática Next Vision.

Es imprescindible un antivirus actualizado y un firewall activado, que limiten el acceso que puede tener alguien a nuestra computadora. También es importante tener el sistema operativo y el navegador al día para tapar los agujeros de seguridad conocidos por los que pueda colarse una estafa.

Con cerrojo

Lo básico para no seguirles el juego a los timadores es ignorar los mensajes que piden actualizar datos privados, o confirmar con el banco o la entidad que parece requerir esa información que efectivamente lo esté haciendo.

Conforme a los criterios de

Conocé más