Llegamos a ustedes gracias a:



Reportajes y análisis

¿Es consciente de la amenaza que lo rodea?

[08/06/2010] ¿Alguna vez ha recibido un correo de su banco pidiéndole que active su cuenta? O ¿quizás ha llegado a su bandeja de entrada un mensaje informándole de la existencia de un video comprometedor de algún artista? Bueno, entonces ha sido víctima de un ataque de phishing y de un troyano, dos de los males que los internautas peruanos vamos a ver con mayor frecuencia en los siguientes meses.

Así es. Contra lo que se pudiera pensar los ataques de phishing y de troyanos han recrudecido en nuestro país. Y esto se debe a que los defraudadores informáticos abandonan las plazas latinoamericanas principales (México y Brasil), y se concentran en los países que tienen menos experiencia con este tipo de fraudes.
Contra ellos, la mejor arma es encontrarse bien informado y tomar las precauciones necesarias, tanto de comportamiento como de software, cada vez que visitemos los nuevos canales a través de los cuales realizamos nuestras transacciones.
Evolución del crimen
Vemos en nuestro mercado que muchas empresas están usando algún medio alternativo de autenticación. Ya se está hablando de las tarjetas con chip, claves adicionales para transacciones específicas, autenticación por mensajería de texto, y otros métodos de autenticación basados en el riesgo. Entonces, cada vez que un banco se protege con alguna técnica, esto representa un desafío para el defraudador que buscará las formas de cómo superar esa técnica y robar las credenciales, sostiene Sonia Córdova, territory manager de Perú y Bolivia de RSA al referirse a la forma en que el tema de la seguridad avanza.
Por cada paso que da una de las partes la otra avanza también, convirtiendo al tema de la seguridad en un pendiente constante que debe ser enfrentado cada vez con mejores técnicas de seguridad.
Para darse una idea del estado en el que se encuentra el tema a nivel mundial, la firma realizó recientemente una encuesta denominada 2010 Global Online Consumer Security Survey y determinó el estado de las amenazas a la seguridad en Internet en varios países del mundo y de la región latinoamericana, incluído Perú. Sus hallazgos son bastante interesantes.
La primera imagen que mostró Córdova de la encuesta fue un cuadro en el que se detalla cuán concientes son los usuarios de las amenazas que los rodean en el mundo virtual.
A nivel mundial son los virus la amenaza que más atención capta de los usuarios con un 88%, dejando por debajo de ellos a los otros 10 tipos de amenazas sobre los cuales indagó la encuesta. Así el phishing, SMiShing, Vishing, Troyanos, Keyloggers, Malware, Spyware, Adware, Botnets y Gusanos, quedaron por debajo de los clásicos virus, aunque es casi seguro que éstos últimos ya casi no representan mucho del ataque que reciben los usuarios. Además, la encuesta reveló que existen ahora ataques tan novedosos y exóticos que la sola mención de su nombre no nos dice mucho de qué se trata.
Quizás se pregunte que son el vishing y el SMiShing; el primero de ellos es un ataque realizado sobre los sistemas automáticos que funcionan en base a voz, como los IVR; mientras que el segundo -si se fija bien en la forma en que se encuentra escrito su nombre- se concentran en realizar ataques mediante los SMS. Queda claro que las amenazas siguen evolucionando.
Particularmente en el Perú los virus también ocupan el primer lugar, pero es positivo ver que las amenazas que más nos afectan en la actualidad -el phishing y los troyanos- también son bastante conocidos en nuestro suelo, con 66% y 89%, respectivamente.
Y como dijimos en los países de la región latinoamericana el phishing esta creciendo, no desapareciendo, aunque si se compara la tasa de crecimiento año a año, su porcentaje está decreciendo. Éste crece porque el modus operandi de los defraudares es comenzar en los países que tienen más bancos, y por ello es que en América Latina se empezó atacando hace años a Brasil y luego en México. El Perú sigue en la lista, junto a otros países como Colombia. De hecho el número de ataques de phishing detectados por RSA en el 2009 creció en 16% con respecto a la cifra del 2008.
Lo bueno es que la conciencia con respecto al problema también ha crecido. En la misma encuesta se señala que solo un 5% de los encuestados se encontraba nada preocupado por esta amenaza, mientras que un 35% se encontraba un poco preocupado, y un 59% se encontraba muy preocupado. Esto significa que la conciencia con respecto al problema que representa el phishing se ha duplicado con respecto al 2007.
Y no es de sorprender esta preocupación. En el país, en el 2007, solo el 5% de los consumidores afirmaron haber sido víctimas de un ataque de phishing, mientras que tan solo dos años después esta cifra se ha sextuplicado, alcanzando un 31% de los encuestados, porcentaje solo superado por Brasil (41%) y superior a los mostrados por Chile, Colombia y México.
A pesar de sus logros, el phishing no se ha detenido. De hecho, sigue avanzando tomando nuevas formas o, mejor dicho, usando nuevos canales. Entre los encuestados que señalaron haber recibido un ataque, ya no solo se detecta los clásicos ataques vía correo electrónico -que superan el 70% de los casos- sino que también ya se han detectado ataques vía SMS (en un 30% aproximadamente) y vía canales de voz (un poco más del 20%). Es decir, los defraudadores ahora acuden a los canales que antes se consideraban seguros.
Ciertamente, esta también es una prueba de que las campañas de concientización, sobre todo de las entidades financieras, han tenido éxito. Son muy pocos los que ahora pueden caer en estos ataques si la vía es el correo electrónico; sencillamente esos correos, si no son descartados como spam por un buen programa antivirus, son dejados de lado por la propia persona que ya sabe que su banco no le va a pedir por correo que cambie su contraseña, o algo por el estilo.
Pero ello nuevamente es ocasión para que los atacantes afilen sus métodos y cambien de sitios. Si ahora es muy difícil atacar a través de los sitios de las entidades financieras, entonces es mejor hacerlo a través de los sitios de otros comercios, e incluso de las redes sociales. Ahí también debemos de tener cuidado.
La encuesta señala sobre esto. Las personas ya se encuentran preocupadas de ser víctimas de un ataque en una red social, pero también en un sitio del gobierno, o de una institución del cuidado de la salud. Sin embargo, siguen siendo los ataques a los sitios de las entidades financieras las que más temor generan, a pesar de que son éstas las organizaciones que mayores precauciones toman en el campo de la seguridad informática.
Como señala la encuesta, un 93% de los consumidores están preocupados de que su información sea robada o accedida desde su sitio de banca en línea.
Hablando de los troyanos, que fue el segundo tipo de ataque que surgió en nuestro país, se pregunto a los consumidores en Estados Unidos que tan preocupados se encontraban por esta amenaza. Aproximadamente el 81% de ellos se encontraba muy preocupado con este tipo de ataque, lo cual quiere decir que el fraude ya está dejando de mirar a los grandes mercados como Estados Unidos y está muy fuerte en América Latina en donde la misma pregunta alcanzó un 95%.
Por otro lado, se aplican técnica en tiempo real y de forma automatizada para obtener mejores resultados en los fraudes.
Tradicionalmente, se cometía un fraude, se robaba las credenciales y luego éstas se llevaban con alguien para que en dos o tres semanas se realice una transacción y se roben el dinero. Hoy en día, si están haciendo la recopilación de estas credenciales en tiempo real usan las credenciales para cometer el fraude, sostiene Córdova.
La recaudación pasiva se ha vuelto muy lenta para ser efectiva, ya que un banco puede saber en una semana cuáles fueron sus credenciales robadas y puede tomar medidas. Ante ello se están produciendo ahora fraudes en línea que empiezan a usar las credenciales para hacer transacciones en forma casi inmediata. Ahora el 71% de las credenciales robadas se usan en la primera semana.
Otra técnica que señaló Córdova fue la del llamado chat in the middle que se presenta dentro del home banking, como un chat en línea que aparece como un representante del banco para ayudar al cliente.
En resumen, se puede decir que ahora todas estas técnicas se crean rápidamente porque hay una gran comunidad de defraudadores que incluso las venden. Existen muchas paginas en Internet donde venden estas técnicas y un desarrollador con conocimientos medianos podría comprar este tipo de programa y hacer su propio troyano.
Es por eso que los ataques crecen; ya no solo es gente especializada sino cualquier persona con habilidades de desarrollo que compra un programa y lo modifica para atacar a un segmento específico.
La respuesta
Junto con Córdova se encontraba en la presentación David Mattos, gerente de la Unidad de Soluciones de Prevención de Fraude de RSA, quien se encargó de mostrar cómo es que se puede responder a estos ataques. Y la respuesta fue: con inteligencia.
Tenemos un grupo en Israel que son todas personas de inteligencia y análisis, que se encuentran hablando con los malos, y que pueden ver las credenciales que están robando, sostuvo el ejecutivo.
Uno de los frutos de esa inteligencia fue la captura de un video en el que un defraudador, aparentemente ruso, mostraba cómo hacer inyección de HTML en un sitio web de un banco. El video se obtuvo hace aproximadamente un mes y es el primero que se encuentra de este tipo, y dice mucho de la sofisticación y desfachatez con la que llegan a operar los defraudadores.
Y, efectivamente, el video que mostró Mattos presentaba la pantalla del defraudador y todos los pasos que siguió para ejecutar su inyección de HTML. Obviamente, solo podemos decir que con unas credenciales robadas accedió al sitio de un banco desde su computadora, el cual había sido infectado previamente con un troyano. Ante nuestros ojos vimos cómo el defraudador logró sacar un monto relativamente pequeño de la cuenta, pero dejar la pantalla del sitio como si nada hubiera pasado, incluso el saldo quedaba –aparentemente-sin tocar.
Compartir la información es vital. Si sé lo que pasó media hora antes en otro banco, puedo tomar medidas. Nosotros tenemos casi 10 mil clientes en el mundo, todos comparten información sobre fraudes confirmados, así que si hubo un fraude hace 15 minutos esa información se comparte con otros clientes, señaló Mattos.
El fraude cambia todos los días, pero algo interesante con lo que se tiene que trabajar en las instituciones son las reglas de defensa de las mismas. Éstas son previsibles para el defraudador, y por tanto no son convenientes porque si el defraudador quiere ingresar a un sitio lo primero que hará será saber cuáles son las reglas que lo gobiernan. Así si se tiene un límite de mil dólares para transacciones, el defraudador las realizará por 999 dólares.
RSA tiene servicios antiphishing pero también se preocupa de bajar los troyanos, analizar su funcionamiento y compartir esta información con sus clientes. Básicamente, lo que hacen es una ingeniería reversa del malware, investigan su sistema operativo y revisan sus líneas de comunicación para detectar qué tipo de credenciales está obteniendo y hacia dónde las envía.
Pero además, hay que tomar en cuenta que los chicos malos que logran entrar quiere ir a las transacciones, no van a ver los saldos, por lo que ustedes tienen la capacidad de no molestar a sus clientes con soluciones demasiado engorrosas si no es necesario. El 80% de los clientes entra para ver el balance de sus cuentas, solo el 20% entra para realizar transacciones. Entonces si tan solo van a molestar a los clientes el 20% del tiempo hay que hacerlo, sostuvo el ejecutivo.
La solución que ofrecieron con todas las cualidades necesarias para estos casos fue un portafolio de servicios denominado RSA Identity Protection and Verification Suite, dirigida especialmente a enfrentar amenazas del tipo Man in the Browser.
La solución tiene capas como el monitoreo de transacciones, la autenticación adaptada, la solución contra fraudes y el servicio de inteligencia con el crimen cibernético.
Jose Antonio Trujillo, CIO Perú