Cuando Jake Appelbaum acudió al cajero a principios de marzo para sacar algo de dinero se encontró con que su banco había bloqueado sus tarjetas de débito (las que se usan para sacar dinero o pagar sin opción de crédito). Appelbaum llamó a la línea de atención personal, donde le informaron que debido a un fraude masivo a los clientes de Citibank en Estados Unidos, la red de cajeros de Canadá —donde él se encontraba—, Reino Unido y Rusia no permitirían la retirada de efectivo.
Jake acudió entonces a su blog favorito —boingboing.net, uno de los más visitados de la Red— para publicar su experiencia. Su comentario, publicado el cinco de marzo, fue el principio de una historia que ha finalizado esta misma semana con la detención de 14 personas en Nueva Jersey, EEUU, todos pertenecientes a una red internacional de ciberestafadores con ramificaciones en Reino Unido, Pakistán, Rumanía y España.
"Es el peor delito tecnológico de la historia", resume Avivah Litan, vicepresidenta de investigación en la consultora Gartner, en un informe sobre el ataque, en el que se asegura que es sólo "la punta del iceberg" y que se producirán nuevos delitos utilizando la novedosa técnica que emplearon los detenidos.
Y es que, hasta ahora, las bandas de ciberdelincuentes se habían centrado en el robo de tarjetas de crédito. Ésta es la primera vez que una estafa mundial afecta a las tarjetas de débito, un producto que se consideraba seguro. Aunque la investigación continúa y los detalles no están claros, se sospecha que los delincuentes lograron hacerse con la información de la banda magnética y los números PIN de las tarjetas mediante el robo de datos en los ordenadores de OfficeMax, una cadena de material de oficina con más de 1.000 establecimientos. La empresa almacenaba los números de las tarjetas junto a la clave utilizada para cifrar la información.
Con esta clave, obtener la información y duplicar las tarjetas fue extremadamente sencillo. Supuestamente, los acusados utilizaban estas tarjetas para retirar efectivo en los cajeros de otros países, aunque no se ha revelado el número de clientes afectados ni la cantidad de dinero que ha podido sustraerse.
El caso de Appelbaum retrata la actual situación de la ciberdelincuencia. Considerados hace unos años como travesuras de hackers en busca de sus 15 minutos de fama, los delitos cibernéticos se han convertido en uno de los mayores problemas de seguridad a escala global. Valeria McNiven, miembro del Departamento de Hacienda de Estados Unidos, reveló a finales del pasado año que los delitos cibernéticos —entre los que se incluyen estafas bancarias, pornografía infantil o espionaje industrial— son un lucrativo negocio que genera ya más dinero que el narcotráfico. Sólo en Estados Unidos estos delitos, unidos a los virus y ataques de denegación de servicio, causan pérdidas anuales superiores a los 50.000 millones de euros.
Los delincuentes están entrenados y conocen los últimos agujeros en los sistemas de seguridad. La policía, incluso en los países desarrollados, es incapaz de seguirles la pista.
El último informe semestral de Symantec, una empresa dedicada a la seguridad informática, recoge un importante cambio de tendencia. "Hemos pasado de ataques que buscaban destruir la información a nuevos tipos de ataques que lo que buscan es justo lo contrario, recopilarla", asegura la corporación.
En los últimos seis meses, el número de ataques de denegación de servicio, un tipo de delito que se utiliza para chantajear a grandes corporaciones y compañías, ha crecido un 51%. Este tipo de ataques se realiza mediante equipos zombis, ordenadores infectados que para el dueño funcionan normalmente pero que están bajo el control de una tercera persona. El número de equipos zombis ha aumentado de forma significativa en los últimos años gracias a países tecnológicamente emergentes, como China.
Pero es el phishing el delito que más quebraderos de cabeza está causando en la actualidad. Durante los últimos seis meses de 2005 se produjeron casi ocho millones de intentos de phishing diarios frente a los cinco millones de principios de año. Una encuesta realizada por la empresa de seguridad Sophos asegura que el 58% de los internautas reciben al menos un mensaje diario tratando de pescar sus datos bancarios.
ESPAÑA. El año pasado se produjeron en España 300 casos de phishing, una técnica que ha dejado de centrarse exclusivamente en la imitación de páginas de bancos y que ahora también busca engañar al usuario mediante la falsificación de webs de instituciones gubernamentales. BBVA es la entidad que más intentos de ataque sufre, seguida de Bancaja, Caja Madrid, Banesto, el Banco Popular, el Santander y la Caixa. Caja Madrid ha sido, además, la última afectada. La semana pasada se detectó un nuevo intento de fraude. "En lo que va de año llevamos ya 50 ataques y cada vez son más especializados y sofisticados. Este año se superarán los niveles de 2005", asegura Victor Domingo, presidente de la Asociación de Internautas.
"Los bancos están haciendo lo que deben y pueden y las fuerzas de seguridad españolas están muy preparadas, con un nivel excelente, de lo mejor que se puede encontrar en el mundo", confirmaSergio Hernando, de Hispasec. Esta empresa de seguridad considera que la formación de los usuarios es clave a la hora de prevenir el fraude bancario. "Si un usuario está mínimamente formado en seguridad, no suele tener problemas en la Red", añade.
En el Centro de Alerta Temprana —CAT— opinan de forma bastante similar. "Los bancos están haciendo enormes inversiones en seguridad y campañas de información de incidencias. Usando el sentido común y las herramientas apropiadas se pueden neutralizar los problemas en un 98% de los casos", asegura Marcos Gómez, responsable de seguridad del CAT. "Pero en seguridad informática nunca se puede hablar de un 100% de seguridad. Si un hacker quiere hacer daño y dispone de la habilidad y el tiempo necesario, siempre puede hacerlo", añade.
HISTORIA. Pero las estafas por Internet son tan viejas como la Red. Y, como ésta, el cibercrimen ha ido creciendo y diversificándose. Del timo de las cartas nigerianas se ha pasado a una media de ocho millones de intentos de estafa por phishing al día, según datos de Symantec. Aunque la creación de virus ha bajado en un 40%, los especializados en robar datos bancarios no dejan de crecer. Lo más reciente es un kit de phishing que convierte a un ignorante en informática en ciberestafador.
Las cartas nigerianas son la versión ciber del timo del tocomocho. En su versión original, un alto cargo del Gobierno nigeriano necesita sacar dinero del país y pide al incauto algo de dinero por adelantado para gastos legales y sobornos. A cambio, la víctima se lleva una buena comisión. Los timadores envían millones de correos electrónicos a la espera de que unas decenas de personas piquen el anzuelo. Esta modalidad no tiene mucho éxito en España, aunque sí en Estados Unidos. Como dice la propia Policía, "nuestro país tiene ya mucha tradición en la picaresca".
Los troyanos son el único tipo de virus que creció en 2005. Se trata de un programa que se instala en el PC sin el conocimiento de la víctima. Según lo haya programado el delincuente, puede grabar todo lo que se escribe en el teclado. Entre estos keylogger, los hay especializados en robar datos bancarios. Existen unas 2.000 versiones distintas.
Permanecen durmientes hasta que el usuario teclea la dirección de su banco. Entonces se activan, y recogen el nombre y la clave. Sólo uno de ellos, el PWSteal.Bancos.T, tiene una lista con las direcciones web de 2.764 bancos y la instrucción de despertar en cuanto se teclea cualquiera de ellas.
Los troyanos dedicados a estafas bancarias sí tienen éxito en España. Según el Grupo de Trabajo Anti-phishing, que engloba a bancos y comercios en línea de todo el mundo, el 15% de las web que esconden algún troyano son españolas. Y también aquí se crean robaclaves. Los laboratorios de Panda Software descubrieron recientemente el troyano Banker.BSX, especializado en bancos de países de habla hispana. Se expande a través de Messenger y, ya instalado, lo graba todo, incluido lo escrito en los teclados virtuales que algunos bancos han ideado para evitar estafas.
Por su parte, el phishing en su forma original, donde los estafadores envían un correo con un enlace a una web que se hace pasar por la del banco, "está en la cresta de la ola", dicen en Hispasec. No sólo hay más ataques, sino que son mejores oleada tras oleada. Si antes los ataques se basaban en envíos indiscriminados de correos, ahora, primero se roba información y, segundo, con estos datos, se diseñan mensajes en función del destinatario. De esta manera, la alarma es menor y pasan más desapercibidos. Además, consiguen una mayor eficacia en el engaño.
Por si fuera poco, el phishing está ahora al alcance de cualquiera. Existen kits, como el Rock Phish Kit, que contienen plantillas de correos fraudulentos para enviar, listas de direcciones y modelos de páginas web de bancos. También enseñan dónde albergarlas. Incluyen documentación sobre cómo blanquear el dinero robado e, incluso, consejos para conseguir muleros encargados de recibir el dinero. Hay kits completos que cuestan sólo 200 euros.
Como escriben en la web de la consultora Hispasec: "Es una carrera que no parece tener fin. Cuando se controla el grueso de las amenazas, surgen variantes que obligan a replantearse todo el modelo". La nueva variante es el robo del PIN de las tarjetas de débito.
