"Env¨ªe sus claves por fax"

Si un desconocido muy amable le pide en plena calle su tarjeta de cr¨¦dito y las claves que la activan, no le crea, por mucho que diga trabajar para su banco. Pero si esto sucede en Internet, hay muchas personas que caen en el enga?o, incluso si se les solicita en un sospechoso castellano imperfecto y con faltas de ortograf¨ªa que env¨ªe por fax los datos necesarios para operar con su cuenta por la Red. Ante el exceso de confianza de sus clientes, el ¨²nico remedio para las entidades bancarias el desactivar la estafa antes incluso de que esta se produzca, tarea para la que muchos recurren al servicio de S21sec, una de las empresas de seguridad presentes en SIMO 2005.

Los ingenieros de esta compa?¨ªa espa?ola y sus especialistas en t¨¦cnicas de monitorizaci¨®n de Internet e ingenier¨ªa social trabajan cada d¨ªa para lograrlo con m¨¦todos diversos, desde la vigilancia de los registros de nuevos dominios a la creaci¨®n de cuentas de correo que se utilizan como sensores, cualquier m¨¦todo es v¨¢lido para combatir esta plaga. Una lucha en la que, seg¨²n afirman desde S21sec "ciertos sectores de la industria dan ejemplo de c¨®mo se lidera tecnolog¨ªa de seguridad".

La estafa por phishing, esas en las que se intenta enga?ar a un internauta para que facilite datos que facilitan el robo de dinero o ratos personales, es una de las mayores amenazas que circulan hoy en d¨ªa por la red. Afecta principalmente a entidades bancarias y financieras, pero tambi¨¦n a otras empresas que para defender a sus clientes y su imagen deben contratar los servicios de compa?¨ªas especializadas que detengan los ataques antes de que se produzcan.

Evitar dos intentos de estafa cada d¨ªa

"Hemos cerrado unas 400 p¨¢ginas [destinadas a estafas] en lo que llevamos de 2005, siempre hay un hacker desocupado", explica Luis Mart¨ªn con cierta resignaci¨®n. Hasta hace poco director de Movilidad y Estrategia de Plataforma en Microsoft Ib¨¦rica, es ahora el responsable del comit¨¦ de operaciones de S21sec, que trabaja para 20 de las 35 grandes empresas espa?olas presentes en el IBEX y gran parte del sector bancario, "en torno al 90%", seg¨²n fuentes de la compa?¨ªa de seguridad. Y es que cada d¨ªa su compa?¨ªa cierra al menos dos p¨¢ginas construidas para estafar.

Para localizarlas, cuentan con la ayuda de Verisign, empresa que gestiona dominios en todo el mundo y que les alerta sobre la creaci¨®n de direcciones de Internet muy parecidas a las de los bancos -utilizadas normalmente para confundir a los internautas y que crean que se trata de la p¨¢gina de su entidad-, haciendo posible que desactiven esas webs antes incluso de que se env¨ªen los correos que dirigen hacia ellas a las v¨ªctimas del fraude.

Gmail, el menos vulnerable al spam

La mayor¨ªa de estafas de este tipo procede de EE UU, probablemente porque es en este pa¨ªs donde hay un mayor volumen de poblaci¨®n conectada. Los mensajes suelen provenir de ordenadores que han sido "ganados" por los atacantes -toman su control despu¨¦s de que hayan sido infectados por alg¨²n tipo de virus que permite el acceso del hacker-, o desde cuentas de correo obtenidas en servicios gratuitos.

Entre los correos gratuitos m¨¢s utilizados, uno de los consultores de s21sec se?ala a Gmail, de Google, como el menos vulnerable a este tipo de ataques "por la calidad de su filtro antispam".

Muchos de los correos que se env¨ªan suelen contener faltas ortogr¨¢ficas y presentan una redacci¨®n propia de un traductor autom¨¢tico, pero a¨²n as¨ª "la gente pica". Uno de los casos m¨¢s llamativos que recuerdan en s21Sec es el de un mensaje que ped¨ªa a los clientes de una entidad bancaria que, adem¨¢s de la clave de acceso al servicio, enviaran a un n¨²mero de fax una copia de su tarjeta de claves, necesaria para realizar cualquier tipo de operaci¨®n con la cuenta.

Los bancos "son muy responsables"

Mart¨ªn sostiene que las empresas "cada vez valen menos lo que dicen en los libros y m¨¢s por su potencia y por su imagen". Eso es lo que lleva a la mayor¨ªa de ellas a intentar evitar el da?o que puede causarles una estafa generalizada a sus clientes o simplemente el mal uso de su marca en Internet. La vigilancia digital, una de las labores de S21sec, puede lograrlo localizando las p¨¢ginas de imitadores o estafadores y haciendo lo posible para sacarlos de la Red.

"Normalmente el da?o proviene de la suplantaci¨®n de identidad, con el phishing y el pharming, explica Mart¨ªn. La tarea es cada vez m¨¢s dif¨ªcil, puesto que los estafadores "usan servicios de alojamiento con pocos recursos, cutres, que normalmente son dif¨ªciles de cerrar" simplemente porque no hay nadie que te atienda. As¨ª, los obst¨¢culos para evitar el phishing no son tanto barreras t¨¦cnicas, sino trucos como colgar un viernes la p¨¢gina desde la que se estafa, y hacerlo a trav¨¦s de una empresa que no trabaja los fines de semana.

Sobre la responsabilidad que cada parte tiene en este tipo de estafas, Martin sale en defensa de la labor de los bancos, que seg¨²n afirma "son muy responsables con su imagen". Esto les lleva a liderar, asegura, el uso de "t¨¦cnicas y tecnolog¨ªas para que sus clientes y su imagen no salgan da?ados. La mayor¨ªa de nuestros clientes nos han contratado de forma preventiva".