A medida que los negocios y la vida social se mudan a la Web, la propagación de malware ya no se limita a la difusión de virus, gusanos o spam. Con la informatización de vastos sectores de la vida cotidiana, los celulares, tarjetas de crédito y transacciones bancarias también son foco de interés de quienes vulneran sistemas informáticos para obtener algún tipo de beneficio, ya sea económico, de información o recursos.
Se suele conocer como crimeware a cualquier tipo de malware que se desarrolla para cometer un delito de tipo económico o financiero.
Con la creciente popularidad de los celulares y el home banking, los hackers fueron desarrollando metodologías cada vez más pulidas para robar información y dinero, al punto que los criminales informáticos suelen recibir distintos nombres de acuerdo al objetivo de sus acciones. Así, se suele denominar "carder" a quienes se dedican al robo con tarjetas de crédito (la palabra surge de card, tarjeta de crédito en inglés), "phreaker" a los que realizan actividades no autorizadas con celulares y "bankers" a quienes se dedican a vulnerar información bancaria.
Según la Organización para la Seguridad y la Cooperación en Europa, el mercado negro de robos de tarjetas de crédito, fraudes bancarios y otros robos a usuarios de computadoras mueve aproximadamente 100 billones de dólares al año.
Julio Cella, mánager regional de la empresa de seguridad informática Laboratorio Kaspersky, explica que este tipo de robos se asemejan bastante a los engaños más frecuentes de la vida real. "Son metodologías sofisticadas entre comillas. Cuando uno empieza a ver, tienen la misma lógica que los cuentos del tío que ya todos conocemos".
Banca "on line". La posibilidad de revisar el estado de una cuenta y hacer transacciones on line sigue ganando adeptos. Y como suele suceder cada vez que una tecnología o servicio gana popularidad, existen criminales informáticos dispuestos a sacar provecho de la masividad del home banking.
La novedad en materia de delitos contra información bancaria viene del cruce de varias estrategias maliciosas, como el pishing (robo de información mediante la falsificación de un ente bancario de confianza) más troyanos y llamadas telefónicas engañosas. "Por ejemplo, te envían un correo electrónico aparentemente de tu banco en el que te piden que no cambies tus datos on line, sino que llames a un teléfono. Cuando hablás, te atiende una persona que dice ser del banco. Si uno se descuida, cae en la trampa", apunta Cella.
También puede suceder que el usuario recibe un e- mail que redirecciona a la web del banco, cuando en realidad se trata de una página fraudulenta. Una vez allí, el sitio puede recomendar la instalación de una versión actualizada del antivirus o volver a configurar los datos personales de la cuenta. Cuando el usuario accede a esas sugerencias o pedidos, se activa el fraude.
Otro delito frecuente vinculado al home banking consiste en el robo de contraseñas. Se conoce como "keylogger" a un programa diseñado para monitorear e identificar cada pulsación del teclado. Se trata de especies de troyanos que almacenan información en el disco duro del usuario y luego la envían al hacker que implantó el malware. De esa forma, los delincuentes pueden obtener claves de acceso, PIN y número de cuentas.
Ante este tipo de fraudes, algunos bancos comenzaron a tomar medidas para aumentar la seguridad de los formularios de autenticación. Por ejemplo, la mayoría de los sitios implantaron teclados virtuales para evitar la detección de las letras y números tipeados. Pero la estrategia también fue descubierta por los hackers, por lo que se comenzó a recurrir a otras medidas preventivas, como un teclado virtual con teclas ordenadas de manera aleatoria, según registra un informe reciente de Eset Latinoamérica.
Ahora bien, con tanto delito dando vuelta, ¿qué puede hacer el usuario para estar tranquilo? Cella recomienda combinar una defensa tecnológica (antivirus y antimalware proactivo) y tener ciertos cuidados, como por ejemplo, evitar completa información que llega incompleta. "Si alguien llama simulando ser del banco y pregunta cuál es la clave de la cuenta, es para desconfiar. Ellos tienen que saber ese tipo de datos. No hay que devolver información sino la pregunta", apunta el mánager regional de Kaspersky, y enseguida apunta que la banca en Internet "es tan segura como la banca en su totalidad".
Plástico peligroso. Al igual que en la violación de seguridad bancaria, los hackers especializados en el robo de tarjetas de crédito suelen echar manos a distintos recursos para obtener los datos de una cuenta y poder operar con ella.
Christian Borghello, Technical y Educational Manager de Eset Latinoamérica, explica que los "carders" son personas que se encargan de obtener números de cuenta para luego venderlos. La técnica de pishing sigue siendo una de las más usadas cuando se trata de robar información de una tarjeta. Por ejemplo, los hackers hacen entrar al usuario a una página falsa de su tarjeta de crédito, donde, por ejemplo, se sortea un auto. Para participar, se le pide al usuario que ingrese su número de tarjeta y PIN. "En el caso que lo haga, se le roba la información. Luego se vende a una base de datos y se duplica la tarjeta de crédito para venderla en otro lado", apunta Borghello.
El especialista destaca que en esos casos hay, por lo menos, tres estafados: el dueño de la tarjeta original, quien compra la tarjeta falsa y el comercio donde se la usó. "Es un negocio muy importante. La mayoría de los servicios ilegales que se adquieren en Internet son comprados con tarjetas falsas", apunta. El detalle a tener en cuenta es que las tarjetas tienen seguro transaccional. Si alguien la roba y hace una adquisición, la compañía emisora cuenta con un seguro de compra. Algunas tarjetas pueden ofrecer también una garantía adicional y beneficios de protección de devolución y compras.
Celulares en la mira. De la mano de su creciente popularidad, los celulares pasaron a convertirse en un foco tentador para los delincuentes informáticos. Los expertos coinciden en señalar que en la actualidad no hay tantas amenazas a los teléfonos, aunque los problemas están por venir. "Más popular es un sistema, más probabilidades hay de que sea hackeado. Si logran meter un troyano en un iPhone, la puerta para el ataque es muy grande. El problema aparece cuando el celular deja de ser un simple teléfono para pasar a ser una computadora".
El especialista indica que uno de los fraudes más comunes consiste en usar la información de un celular robado, especialmente cuando se trata de un smartphone, donde el usuario tiene almacenada información personal y corporativa. Para prevenir ese tipo de ataques existen antivirus para celulares, que permiten enviar una clave al teléfono para que se bloquee en caso de ser robado.
Pero también existen otros ataques, que tienen como germen el envío de spam mediante mensajes de texto. En algunas ocasiones, los hackers mandan sms que promocionan productos o servicios, y contienen un link a una página fraudulenta.
Borghello también señala que en los laboratorios de Eset detectaron un nuevo tipo de delito, que consiste en enviar mensajes de texto que promocionan servicios que no existen. "Por ejemplo, te pueden decir que te descargues una versión gratuita de tal producto enviando un sms. Cuando lo mandás, la respuesta no llega, nunca te responden, pero inmediatamente te debitan un monto de $ 4 o $ 5 de tu crédito del celular", explica.
"Hay servicios legales que ofrecen este tipo de promociones. Los delincuentes se apañan en esos servicios existentes para crear otros similares pero fraudulentos. Cuando se ofrecen algún tipo de servicio gratuito, hay que desconfiar un poco".
Links relacionados
http://www.identidadrobada.com
http://www.eset-la.com/centro-amenazas/index.php
http://latam.kaspersky.com
Cómo son los nuevos fraudes informáticos
jueves, 8 de octubre de 2009
Suscribirse a:
Entradas (Atom)
