La industria inform¨¢tica y la banca unen sus fuerzas para frenar el 'phishing'

En menos de dos a?os, una plaga de correos masivos se ha unido al spam y los virus gan¨¢ndoles en peligrosidad. Se llama phishing y tiene en ascuas a bancos y comercios electr¨®nicos: consiste en enga?ar a sus clientes envi¨¢ndoles mensajes que les instan a introducir sus datos financieros en p¨¢ginas fraudulentas. Espa?a es uno de los pa¨ªses con m¨¢s incidencias, seg¨²n Verisign.

Robar contrase?as es el delito m¨¢s viejo de la Red. Empez¨® como un juego: se enga?aba a los incautos en los chats para conseguir los datos de su cuenta de acceso y entrar gratis a Internet.

Hoy el enga?o se usa para robar n¨²meros y contrase?as de cuentas bancarias.

El correo electr¨®nico es el medio empleado: se env¨ªa un mensaje a miles de personas, procedente supuestamente de un banco, esperando que algunas sean clientes y piquen. Por eso, a esta pr¨¢ctica se la llama phishing, salir de pesca. El mensaje les pide que vayan a una web y pongan all¨ª sus datos bancarios, enga?¨¢ndoles con diversas excusas, como que si no lo hacen se les anula la cuenta.

En dos a?os, este fraude ha hecho saltar todas las alarmas. El ¨²ltimo informe de Symantec afirma: "A finales de diciembre de 2004, bloqueamos una media de 33 millones de intentos de phishing por semana, lo que representa un aumento del 366% desde julio. Prevemos que seguir¨¢ creciendo y ser¨¢ cada vez m¨¢s preocupante".

Message Labs tambi¨¦n ha investigado: "En septiembre de 2003, s¨®lo 279 de los mensajes que escaneamos cada d¨ªa eran phishing. Un a?o despu¨¦s, hab¨ªan subido hasta dos millones. A diferencia de los virus y el correo basura, el problema del phishing es que est¨¢ personalizado. Aunque se env¨ªe masivamente, el objetivo es s¨®lo una compa?¨ªa y sus clientes".

Seg¨²n la Guardia Civil, los criminales suelen ser mafias del Este.

Env¨ªan sus mensajes usando las mismas t¨¦cnicas del correo basura: masivamente y mediante m¨¢quinas atacadas previamente, desde las que es dif¨ªcil seguirles los pasos.

El phishing que recientemente inundaba los buzones espa?oles dec¨ªa: "Necesitamos confirmar que usted es el verdadero due?o de esta cuenta. Si no confirma sus datos en 24 horas, nos veremos obligados a bloquearla para su protecci¨®n". Un formulario en Javascript acompa?aba al mensaje, y en ¨¦l se deb¨ªan introducir el DNI, la clave y la firma del banco. Si la v¨ªctima lo hac¨ªa, los datos se enviaban a un PC de Taiwan asaltado por delincuentes.

Este caso es el m¨¢s complejo del Internet espa?ol. Normalmente, el mensaje insta a la v¨ªctima a visitar un enlace que parece del banco, pero en realidad, mediante t¨¦cnicas de enga?o, lleva a un sitio de los estafadores con el mismo dise?o y logos.

El BBVA fue el primer banco espa?ol v¨ªctima de phishing. En mayo de 2003, un mensaje masivo instaba a sus clientes a darse de alta en un servicio siguiendo el enlace http://w3.grupobbvanet.com, un dominio registrado unos d¨ªas antes y parecido al aut¨¦ntico: www.bbvanet.com. En enero de 2004, otro mensaje ped¨ªa a los clientes del Popular que visitasen un enlace "para mejorar su seguridad". Llevaba a un sitio falso, pero aprovechaba un fallo del navegador Explorer, que en su barra de direcciones segu¨ªa mostrando la URL aut¨¦ntica del banco.

Los clientes de Banesto, Banco Pastor, Caja Madrid y BBVA han sufrido m¨¢s de un ataque consistente en que se les ofrece un enlace que parece bueno pero lleva a una p¨¢gina falsa. En febrero de 2004, el Popular era v¨ªctima de otra variante: al pinchar el enlace, se abr¨ªan dos ventanas, la de la entidad y otra, fraudulenta, id¨¦ntica a la web de autenticaci¨®n del banco pero sin mostrar ninguna URL.

Pesca de altura

En febrero, en un alarde de pesca de altura, un mismo mensaje se dirig¨ªa a los clientes de cuatro bancos: BBVA, Banesto, Cajamar y Banco de Valencia, cada uno con su enlace correspondiente, todos supuestamente aut¨¦nticos pero que llevaban a sitios falsos alojados en un proveedor ruso.

Seg¨²n Verisign, Espa?a es uno de los pa¨ªses con m¨¢s incidencia de phishing y el s¨¦ptimo en env¨ªo masivo de mensajes falsos. El primero es Estados Unidos, donde no s¨®lo se atacan bancos, que son el 80% de las v¨ªctimas, sino tambi¨¦n comercios como eBay, AOL o Amazon. En Europa, seg¨²n la polic¨ªa brit¨¢nica, las pr¨®ximas v¨ªctimas ser¨¢n los comercios.

El Gobierno de EE UU prepara una ley anti-phishing que prev¨¦ multas de 250.000 d¨®lares y cinco a?os de prisi¨®n. Mientras, la industria inform¨¢tica y la banca han unido sus fuerzas en el Anti-Phishing Working Group, lobby con m¨¢s de 800 compa?¨ªas. La lista de miembros es confidencial, pero aseguran que est¨¢n ocho de los 10 bancos m¨¢s importantes de EE UU. S¨ª es p¨²blica la lista de patrocinadores, donde destaca la espa?ola Panda Software, entre Visa, Mastercard, Microsoft, RSA Security, Trust-e, US-CERT, Websense, Adobe, Verisign, Symantec, Entrust o McAfee. Adem¨¢s de presionar para acelerar la aprovaci¨®n de la Anti-Phishing Act, el grupo se dedica a hacer estad¨ªsticas sobre ataques, t¨¦cnicas y vulnerabilidades en programas que propicien los ataques y recoger denuncias. Seg¨²n su informe, los ataques en EE UU crecen un 30% al mes y s¨®lo en enero se detectaron 2.560 sitios fraudulentos, con 5,8 d¨ªas de vida.

"Con unos d¨ªas ya les vale: hacen env¨ªos masivos y siempre hay alguien que pica. A veces la p¨¢gina sigue funcionando un mes o dos: aunque el departamento legal del banco avisa al proveedor, ¨¦ste tarda en cerrarla. Son sitios an¨®nimos, en servidores gratuitos donde se piden pocos datos", dice Abraham Pasamar, consultor de seguridad del esCERT.

Los bancos suelen enterarse: "Cuando les avisamos ya lo saben, porque los env¨ªos son tan masivos que tambi¨¦n les llegan". Robarles, dice Pasamar, no es tan f¨¢cil: "Se recolectan nombres de usuario y contrase?as, pero muchos bancos piden c¨®digos adicionales para las transferencias, aunque pueden hacerse pasar por el cliente leg¨ªtimo y pedirlos". Pocos denuncian ser v¨ªctimas del fraude aunque seg¨²n el esCERT un 5% de internautas caen en la trampa. En noviembre, la Guardia Civil deten¨ªa a dos personas en Valencia y Madrid por robar m¨¢s de 12.000 euros a clientes del BBVA. Hac¨ªan transferencias a un banco ruso.

Los bancos corrigen sus fallos

La consultora Hispasec realiz¨® un estudio, en noviembre de 2004, que conclu¨ªa que el 44% de p¨¢ginas bancarias espa?olas eran vulnerables a estos ataques: no permit¨ªan comprobar, mediante la barra de direcciones del navegador, que el usuario estaba en la web aut¨¦ntica del banco, ni tampoco que introduc¨ªa sus datos en un servidor seguro.

Antonio Ropero, su autor, explica: "Un mes despu¨¦s, un tercio de los que presentaban fallos los hab¨ªan corregido, y evidenciaban su preocupaci¨®n por el asunto. A¨²n as¨ª, quedan 13 entidades que fallan en algo".

Seg¨²n Ropero, el phishing es un buen negocio: "El env¨ªo masivo de mensajes es econ¨®mico y, s¨®lo con que pique uno y se le vac¨ªe la cuenta, el ataque ser¨¢ rentable". Seg¨²n el Ponemon Institute, en Estados Unidos las p¨¦rdidas ascendieron a 500 millones de d¨®lares en 2004.

"El phishing no se realiza s¨®lo sobre bancos. Se puede usar para crear bases de datos personales". En enero, circul¨® un mensaje, supuestamente del INE, que ped¨ªa a los internautas ir a una web y dejar diversos datos.

Los criminales refinan cada vez m¨¢s la t¨¦cnica. El ataque m¨¢s nuevo, sufrido por el Citizens Bank, Visa y Mastercard, es el cross-site scripting, al que son vulnerables millones de sitios, sobre todo los de comercio electr¨®nico. La t¨¦cnica aprovecha fallos en los scripts (peque?os programas usados para formularios, b¨²squedas) de la web leg¨ªtima, para inyectar c¨®digo y abrir un nuevo marco que parece estar dentro del banco o comercio cuando es un sitio fraudulento. Tambi¨¦n sirve para robar cookies, donde se almacenan sus contrase?as y n¨²meros de cuenta de los usuarios.

Otra amenaza son los programas troyanos, que se introducen en el PC mediante mensajes o webs infectadas, dice Ropero: "Se activan cuando el usuario visita determinadas webs de bancos, capturando las credenciales de acceso e incluso las pantallas, para conocer el estado de las cuentas corrientes y si vale la pena atacarlas".

El Centro de Alerta Antivirus advierte sobre un virus troyano que roba las claves de las v¨ªctimas de phishing. Sevalcabor (Robaclaves, al rev¨¦s) es capaz de neutralizar la actividad del antivirus del ordenador infectado.