Villalquite - Leon

RAMÓN ARAGONÉS


En 2006 se detectaron en España casi 1.200 ataques de phising (fraude realizado en internet para estafar a los usuarios de bancos mediante el desvío a otras páginas falsas), cifra que multiplica por cuatro las del año anterior. Y tan sólo en enero de este año se han producido 150 ataques.


De esta forma, realizar una transferencia bancaria, operar en bolsa, buscar trabajo en la red, pagar los impuestos locales online o interactuar con Hacienda por internet está comenzando a ser una actividad de alto riesgo si no se toman las debidas precauciones. Consulta las recomendaciones y consejos de los expertos

Las últimas modalidades de esta estafa cibernética, consistente en la implantación en el ordenador de los denominados virus maliciosos o espías (malware), ha encendido la luz de alarma de los expertos ya que permite a las grandes mafias internacionales hacerse con las claves del usuario de forma pasiva, sin que la víctima se percate del hurto hasta que ya es demasiado tarde. Estos virus, que pueden ser de tipo gusano o troyano, son introducido en el ordenador de forma oculta mediante la instalación por el usuario de otros programas obtenidos de la red que aparentemente tiene otros fines, como juegos, tarjetas de felicitación o enlaces que llegan por e-mail.

Los especialistas de seguridad en fraude por internet reconocen estar “muy preocupados” por la rapidez con la que prolifera esta nueva versión de timo financiero y por el hecho de que la mayoría de los antivirus existentes actualmente en el mercado no previenen totalmente a los usuarios de ser estafado.

A ello se une el que las asociaciones de internautas constatan cada día el crecimiento de herramientas y programas que circulan libremente y de forma gratuita por internet y que facilitan a delincuentes y aspirantes a cacos el robo de claves bancarias y de información privada sensible de personas que llevan a cabo transacciones a través de la red.

La propia Comisión Nacional del Mercado de Valores (CNMV) ha tomado conciencia de la gravedad del asunto y ha incorporado un apartado en su página web con exhaustivos consejos para aquellos inversores que realizan compra venta de valores u otros productos financieros por internet.

La Policía española admite estar desbordada ya que muchos de estos ataques se producen desde el extranjero, especialmente desde Asia y de países de la Europa del Este, donde cada vez con más frecuencia tienen que desplazarse los jueces que investigan estas estafas. A ello se une un problema que han detectado en los últimos tiempos las fuerzas de seguridad y que consiste en la contratación de personas a través de falsas ofertas de trabajo en internet y que colaboran sin saberlo en la ejecución de las estafas. Este sistema, que se denomina scam, se basa en fichar a personas (denominados muleros) que buscan trabajo en la red. Una vez contratadas, les envían a sus cuentas personales el dinero obtenido mediante los diversos hurtos. Posteriormente, les ordenan que envíen transferencias con determinada cantidad de dinero a bancos especializados en envío de fondos para inmigrantes, a cambio de lo cual les pagan una comisión de entre un 10 y un 15% del dinero transferido. De esta forma blanquean el dinero y hacen más difícil su persecución por parte de las fuerzas de seguridad.

¿Quién se hace cargo del fraude?

Hasta ahora, los importes obtenidos de manera fraudulenta por los piratas financieros a través del robo de claves suelen ser relativamente elevadas y fácilmente detectables por el usuario (hasta 30.000 euros). En cualquier caso, las estafas más habituales rondan entre los 3.000 y los 18.000 euros por operación. Y la pregunta que se hacen muchos es ¿qué ocurre cuando el afectado descubre el fraude? Y ¿quién se hace cargo del mismo, el banco o el afectado?

Según las diversas fuentes consultadas por INVERTIA, una vez que los usuarios sufren una estafa y la denuncian, las entidades financieras suelen hacer frente, en la mayoría de los casos, al problema. Es decir, que en muchos casos, suelen devolver el dinero a los clientes. No obstante, previamente se aseguran de que el usuario ha tomado las mínimas medidas de seguridad recomendadas en su página web. “Es lógico, porque es tan responsable del fraude el banco como el usuario si no toma medidas” explica una fuente de un banco español que no quiere ser identificada.

De todas formas, la organización de consumidores Ausbanc cree que aunque la legislación actual de nuestro país es poco específica en esta materia, es recomendable ir a juicio contra la entidad. “La obligación de los bancos, según la regulación vigente, es garantizar a los usuarios el poder realizar sus operaciones con total seguridad y de la forma más adecuada y correcta” comentan desde esta asociación.

En este sentido, Marcos Gómez, subdirector de e-Confianza y responsable del Centro de Alerta Temprana Antivirus de Inteco (dependiente del Ministerio de Industria) hace hincapié en que el problema ha tomado tal envergadura que ya los usuarios no pueden esperar a que las instituciones resuelvan el problema sino que “todos tenemos que tomar conciencia y poner en práctica medidas básicas de seguridad, como cuando vamos a un cajero o a sacar dinero o al banco a cobrar un cheque”. De hecho, este organismo ha lanzado diversas web (alertaantivirus.es e Inteco.es) en las que pone a disposición de los cibernautas numerosas herramientas y todo tipo de información para evitar caer en las garras de las bandas internacionales de ciberdelincuentes.

También la Asociación de Internautas tiene una página web (seguridad.internautas.org) en la que facilita todo tipo de datos para prevenir los fraudes. Según su presidente de esta institución, Victor Domingo, “cada día recibimos a través de esta web entre 2.000 y 2.500 avisos alertándonos y comunicándonos posibles estafas en internet”.

Hacienda, INE y las aseguradoras, últimas víctimas

Los últimos ataques demuestran que ya no existen barreras para estos piratas informáticos. Así, aunque en 2006 las entidades más atacadas fueron Banesto (145 casos), Santander (118 casos) y Caja Madrid (115 casos), el objeto de los últimos fraudes han sido organismos hasta ahora respetados por estas mafias de la red, como la Agencia Tributaria, el Instituto Nacional de Estadística (INE) o la asegurador Mapfre.

Además, estas bandas de ladrones cibernéticas recurren a otros timos como las loterías fraudulentas o ventas de vehículos y tarjetas de telefonía móvil a bajo coste para arremeter contra los más incautos o introducirles los virus “roba claves”. En otros casos, los delincuentes se valen de la práctica conocida como del “zombie”, que consiste en hacerse con el control de un ordenador propiedad de algún usuario de ADSL anónimo que no cuenta con antivirus ni cortafuegos y que ni siquiera detecta que está siendo controlado. Estos ordenadores de terceros (que llegan a constituir verdaderas redes o botnet) son utilizados por las mafias para realizar sus estafas o para lanzar spam masivo para hacerse con nuevas claves bancarias.

Otro fraude cibernético en auge es el pharming, que consiste en la introducción de un virus en el ordenador de los usuarios de internet, de forma que cuando éste escribe en la barra de dirección de su navegador la página del banco, en vez de ir a ella va a otra falsa. Confiados de que esa es la web deseada, realizaría las compras o accesos a las cuentas bancarias en una página suplantada, con lo que finalmente los atacantes obtienen sus códigos secretos.

Según el Servicio Antiphising de Telefónica Empresa, otra institución implicada de lleno en combatir la piratería informática online, esta proliferación de fraudes por internet han multiplicado por cuatro el envío masivos de correos con fines delictivos, hasta los 700 millones.

De acuerdo con un estudio realizado por Symantec, que supervisa el 40% del tráfico que se mueve por internet, el 80% del correo eléctronico es spam (mensajes masivos no solicitados y con contenidos comerciales y dudoso), y dentro de esta categoría una buena parte de ella eran programas de phising y virus del tipo troyano y gusanos.

Tan sólo en 2006, el Centro de Alerta Temprana Antivirus de Inteco descubrió la aparición de 500 nuevas amenazas y teme que este año las cifras serán mucho mayores.

Ante esta situación, y viendo la gravedad que va tomando el asunto, el Gobierno está ultimando el lanzamiento en los próximos meses -a través de su plataforma oficial “Red.es”- de una campaña de publicidad informando a los usuarios de los riegos que corren en internet si no toman las medidas adecuadas.

Preocupación por el perfeccionamiento de los fraudes

Para David Díaz, Consumer Manager de Symantec para España y Portugal “el mayor problema no es la amenaza que ya suponen estas mafias informáticas especializadas en el robo de claves bancarias y financieras, sino la velocidad a la que van perfeccionándose y superando las barreras técnicas que se van poniendo”.

En estos momentos, España ya representa uno de los principales países emisores de correo basura (spam), el vehículo utilizado por los estafadores para materializar sus hurtos. Actualmente emite el 2% del spam mundial, con lo que se sitúa en línea con países como Francia, Alemania o Reino Unido. Además, de acuerdo con los datos de las organizaciones de consumidores, el alcance del phising en nuestro país es de entre el 3 y el 5%, similar al de Alemania, Francia e Inglaterra.

Aún con todo, los expertos de las fuerzas de seguridad creen que no hay que caer en el dramatismo, ya que, según José Antonio Lozano, del Grupo de Delitos Telemáticos de la Guardia Civil, “todavía se producen más estafas a través de otras formas de pago como las tarjetas de crédito que mediante el phising y otras técnicas ilegales online”.

Consejos y recomendaciones

Los expertos creen que aplicando el sentido común y unas cautelas básicas “como cuando uno va por la calle, en el metro o cuando entra en un banco” las posibilidades de ser presa de una estafa por internet se reducen drásticamente.

Le norma de oro es no facilitar nunca a nadie las claves bancarias y menos aún cuando la petición llega a través de un correo electrónico. Además a la hora de acceder a la entidad con la que se va a realizar la operación hay que hacerlo de forma directa, tecleando el nombre en la barra de direcciones (a pesar de que, como ya hemos comentado, existe el virus del pharming, que suplanta la identidad de la página incluso cuando se escribe en la URL).

Actualmente también es arriesgado entrar desde los “favoritos” ya que otros programas espías sustituyen la página original con la falsa dentro de esta carpeta. Tampoco, como ya ha repetido las entidades financieras y fuerzas de seguridad hasta la saciedad, se debe acceder mediante los hipervínculos incluidos en correos electrónicos ni tampoco a través de los enlaces contenidos en otras páginas web.

Otras medidas de seguridad básicas son formatear cada cierto tiempo el disco duro, tener totalmente actualizado el navegador y, desde luego, utilizar un antivirus de última generación y un cortafuegos (firewell) actualizado. En caso de no ser así, se puede utilizar los que brindan los propios bancos o las empresas de antivirus de forma gratuita. En cualquier caso, desde Symantec, se admite que los antivirus que actualmente tienen instalados en su ordenador la mayoría de los cibernautas no impiden en la mayoría de los casos la entrada de virus troyanos y espías para el fraude bancario. En cambio, las versiones lanzadas por estas compañías en las última semanas ya garantizan la seguridad en un alto porcentaje. Sin embargo, el problema es de otra índole, ya que hoy en día casi la mitad de las personas que navegan por internet no tienen instalados ni siquiera un antivirus ni un cortafuegos.

Por otro lado, otra opción para los más iniciados en internet es sustituir el sistema operativo Windows y el navegador Explorer (por el Opera) por programas del sistema Linux, ya que dicho software libre prácticamente no es vulnerables a los virus. Lo mismo ocurre con los ordenadores Macintosh, que apenas sufren ataques de los ciberdelincuentes ya que sus sitema es más robusto que el de Microsoft.

Para los inversores más experimentados, la CNMV en su “rincón del inversor” aconseja que si se utiliza un ordenador ajeno para consultar saldos o realizar operaciones a través de Internet, hay que tener en cuenta que las visitas realizadas dejan rastros que otras personas podrían aprovechar para acceder a sus inversiones o a sus contraseñas.

Por eso recuerda que es importante borrar la memoria "caché", que guarda los contenidos de las últimas páginas web visitadas. A su vez, advierte del uso de los hipervínculos o enlaces debido a que puede llevar a una página una falsa apariencia de legitimidad. “Por ejemplo, explica el organismo supervisor, algunas web que incluyen ofertas no autorizadas de valores facilitan enlaces a las páginas de organismos supervisores, lo que en modo alguno significa que el contenido de la página haya sido revisado o aprobado por dicho organismo”.

También la CNMV recomienda mantener las claves en secreto, no anotarse en lugares visibles o accesibles para terceros y apunta que deben cambiarse regularmente y evitar en lo posible acceder y operar desde ordenadores que puedan usar otras personas (como los ciber-bares, las bibliotecas, universidades, etc.).

Cuidado con la bajada de programas desde internet


A los amantes de las descargas y de las redes P2P, es decir, a aquellos que utilizan frecuentemente internet para bajarse música, películas o programas de forma pirata, como el Emule o BitTorrent, los especialistas le advierten que no deben bajarse software de páginas de desconocidos y extremar la precaución.

Una vez que el usuario sospecha que puede tener el virus, debe cambiar sus claves desde otro ordenador, por ejemplo desde el trabajo, ya que las empresas suelen tener sistemas de protección más potentes que los particulares.

Además de todo ello, hay que desconfiar de los mensajes de correo procedentes de supuestas entidades bancarias y confirmar vía telefónica, en la sucursal bancaria donde están domiciliadas las cuentas bancarias, cualquier petición que reciba de datos de banca electrónica.

Cuando se reciban mensajes que piden el reenvío a sus conocidos, informando de noticias llamativas o apelando a motivos filantrópicos, hay que desconfíar por sistema. Muchos de ellos buscan captar direcciones de correo electrónico para prospectivas comerciales, y son un engaño (hoax).

Además, es recomendable cuando se detecta alguna páginas o correo sospechosa avisar rápidamente a las fuerzas de seguridad o a instituciones públicas como Inteco o privadas como la Asociación de Internautas o las organizaciones de consumidores. En cuanto estas organizaciones reciben el aviso, los servicios de la policía y de estas instituciones se coordinan con las operadoras de telefonía para desactivar los servidores desde donde se están lanzado la estafa y si está ubicado en el extranjero lo notifican a la Interpol.

Opacidad en las entidades financieras

Las mayoría de las grandes entidades bancarias, las más vulnerables a estos nuevos ataques telemáticos, no quieren ni oír hablar de esta nueva estafa, ya que amenaza directamente sus cada vez más implantadas divisiones de banca online. Aunque tras el aumento de estos novedosos delitos, todas ellas ofrecen recomendaciones a sus usuarios, en cambio se muestran parcas a la hora de dar detalles sobre la envergadura de este fraude o sobre su estrategia para frenar esta práctica. Por ello, resulta imposible encontrar datos concretos del número de españoles que ya han perdido dinero por esta nueva modalida de fraude.

Aún con todo, todas ellas han iniciado en los últimos años una carrera contrareloj a través de contratos con prestigiosas firmas de seguridad para mejorar sus sistemas y ponerlo más difícil a los cacos.

Gracias a estos esfuerzos, los expertos creen que ya hay elementos diferenciadores a tener muy en cuenta a la hora de valorar la seguridad que nos brindan cada entidad al operar por internet. Uno de los servicios más seguro para las transacciones son los teclados de algoritmos dinámicos, que han puesto en práctica algunas entidades en los últimos años. Se trata de un sistema que solicita al cliente parte de su clave, que varía cada vez que el usuario entra a realizar una operación.

Otra aportación muy valorada por los expertos es la posibilidad de ordenar al banco a través de la página web el envío de un mensaje de texto sms a nuestro móvil en el momento en el que se produce una transacción. De esta forma, en caso de un fraude los titulares de las cuentas pueden conocer al instante la operación y llamar a la entidad para anularla.

A ello se suman los nuevo sistema de introducción de los dígitos a través del ratón que componen la firma electrónica, ya que evita que el usuario introduzca las claves a través del teclado.

Nota: Esta información ha sido elaborada utilizando la información facilitada por la Brigada de Delitos Monetarios de la Guardia Civil, el Servicio Antiphising de Telefónica Empresas, la Asociación de Internautas, la empresa de antivirus Symantec (que comercializa la marca Norton), la entidad Openbank, la compañía Inteco (dependiente del Ministerio de Industria), la Comisión Nacional del Mercado de Valores (CNMV) y la asociación de consumidores Ausbanc.

Habra que ponerse en guarda.
Muy buena informacion, Nanis...... Gracias