"Envíe sus claves por fax"

Si un desconocido muy amable le pide en plena calle su tarjeta de crédito y las claves que la activan, no le crea, por mucho que diga trabajar para su banco. Pero si esto sucede en Internet, hay muchas personas que caen en el engaño, incluso si se les solicita en un sospechoso castellano imperfecto y con faltas de ortografía que envíe por fax los datos necesarios para operar con su cuenta por la Red. Ante el exceso de confianza de sus clientes, el único remedio para las entidades bancarias el desactivar la estafa antes incluso de que esta se produzca, tarea para la que muchos recurren al servicio de S21sec, una de las empresas de seguridad presentes en SIMO 2005.

Los ingenieros de esta compañía española y sus especialistas en técnicas de monitorización de Internet e ingeniería social trabajan cada día para lograrlo con métodos diversos, desde la vigilancia de los registros de nuevos dominios a la creación de cuentas de correo que se utilizan como sensores, cualquier método es válido para combatir esta plaga. Una lucha en la que, según afirman desde S21sec "ciertos sectores de la industria dan ejemplo de cómo se lidera tecnología de seguridad".

La estafa por phishing, esas en las que se intenta engañar a un internauta para que facilite datos que facilitan el robo de dinero o ratos personales, es una de las mayores amenazas que circulan hoy en día por la red. Afecta principalmente a entidades bancarias y financieras, pero también a otras empresas que para defender a sus clientes y su imagen deben contratar los servicios de compañías especializadas que detengan los ataques antes de que se produzcan.

Evitar dos intentos de estafa cada día

"Hemos cerrado unas 400 páginas [destinadas a estafas] en lo que llevamos de 2005, siempre hay un hacker desocupado", explica Luis Martín con cierta resignación. Hasta hace poco director de Movilidad y Estrategia de Plataforma en Microsoft Ibérica, es ahora el responsable del comité de operaciones de S21sec, que trabaja para 20 de las 35 grandes empresas españolas presentes en el IBEX y gran parte del sector bancario, "en torno al 90%", según fuentes de la compañía de seguridad. Y es que cada día su compañía cierra al menos dos páginas construidas para estafar.

Para localizarlas, cuentan con la ayuda de Verisign, empresa que gestiona dominios en todo el mundo y que les alerta sobre la creación de direcciones de Internet muy parecidas a las de los bancos -utilizadas normalmente para confundir a los internautas y que crean que se trata de la página de su entidad-, haciendo posible que desactiven esas webs antes incluso de que se envíen los correos que dirigen hacia ellas a las víctimas del fraude.

Gmail, el menos vulnerable al spam

La mayoría de estafas de este tipo procede de EE UU, probablemente porque es en este país donde hay un mayor volumen de población conectada. Los mensajes suelen provenir de ordenadores que han sido "ganados" por los atacantes -toman su control después de que hayan sido infectados por algún tipo de virus que permite el acceso del hacker-, o desde cuentas de correo obtenidas en servicios gratuitos.

Entre los correos gratuitos más utilizados, uno de los consultores de s21sec señala a Gmail, de Google, como el menos vulnerable a este tipo de ataques "por la calidad de su filtro antispam".

Muchos de los correos que se envían suelen contener faltas ortográficas y presentan una redacción propia de un traductor automático, pero aún así "la gente pica". Uno de los casos más llamativos que recuerdan en s21Sec es el de un mensaje que pedía a los clientes de una entidad bancaria que, además de la clave de acceso al servicio, enviaran a un número de fax una copia de su tarjeta de claves, necesaria para realizar cualquier tipo de operación con la cuenta.

Los bancos "son muy responsables"

Martín sostiene que las empresas "cada vez valen menos lo que dicen en los libros y más por su potencia y por su imagen". Eso es lo que lleva a la mayoría de ellas a intentar evitar el daño que puede causarles una estafa generalizada a sus clientes o simplemente el mal uso de su marca en Internet. La vigilancia digital, una de las labores de S21sec, puede lograrlo localizando las páginas de imitadores o estafadores y haciendo lo posible para sacarlos de la Red.

"Normalmente el daño proviene de la suplantación de identidad, con el phishing y el pharming, explica Martín. La tarea es cada vez más difícil, puesto que los estafadores "usan servicios de alojamiento con pocos recursos, cutres, que normalmente son difíciles de cerrar" simplemente porque no hay nadie que te atienda. Así, los obstáculos para evitar el phishing no son tanto barreras técnicas, sino trucos como colgar un viernes la página desde la que se estafa, y hacerlo a través de una empresa que no trabaja los fines de semana.

Sobre la responsabilidad que cada parte tiene en este tipo de estafas, Martin sale en defensa de la labor de los bancos, que según afirma "son muy responsables con su imagen". Esto les lleva a liderar, asegura, el uso de "técnicas y tecnologías para que sus clientes y su imagen no salgan dañados. La mayoría de nuestros clientes nos han contratado de forma preventiva".