jueves, 22 de enero de 2009

El “phishing” o la obtención fraudulenta de datos

Hola, ante todo quiero desearles un muy feliz y próspero 2009 para todos los lectores...la verdad es que me distraje y me olvidé de subir el artículo de diciembre que publiqué en la revista Aldea del barrio del Abasto, referido al "robo" de datos en las redes. Espero les guste.

Como cualquier otra mañana, usted se sienta frente a su computadora dispuesto a leer su correo electrónico. Comienza a descargar los mensajes cuando uno de ellos le llama la atención. Proviene de su banco. El departamento de seguridad le informa que, debido a reiterados intentos fallidos de acceder a su cuenta vía online, la misma ha sido deshabilitada y por lo tanto deberá acceder a la página del banco para, mediante el ingreso de sus datos, poder utilizarla nuevamente. Hace click en el enlace provisto en el e-mail, aparece la página habitual del banco con la cual usted suele hacer sus operaciones, pero sobrepuesta a la misma aparece otra solicitándole sus datos. Usted no sospecha, tiene el mismo estilo, tipografía y logotipos que la página que queda al fondo; por lo tanto ingresa la información requerida. Un cartel le anuncia que su cuenta ha quedado restaurada y que puede volver a operar como de costumbre. Unos dias despúes, al recibir su resumen de movimientos, descubre extracciones y transferencias que usted nunca efectuó. Entre intrigado y desesperado, concurre al banco para hacer el reclamo correspondiente. Cuando termina de relatar su historia, le dicen que el banco nunca solicita ese tipo de información via correo electrónico, y que usted ha sido victima del denominado “phishing” u obtención fraudulenta de datos personales.
Esbozando una definición, el “phishing” (una deformación de la palabra inglesa fishing, que significa pescar) es el proceso utilizado para obtener datos sensibles de una persona (nombres de usuario, claves electrónicas, números de tarjetas de crédito, etc) mediante la falsificación de sitios web verdaderos pertenecientes a bancos, entidades financieras y de tarjetas de crédito. El concepto no es nuevo. Ya por 1987 fueron descriptas las técnicas de phishing y la primera mención del término fue hecha en 1996. Por aquel entonces se utilizaba para capturar datos de tarjetas de crédito y abrir cuentas en el proveedor de Internet America On Line (AOL). Posteriormente, en el año 2001 comienzan las primeras defraudaciones contra entidades financieras, tomando caracteristicas de verdadero ciberdelito ya por el año 2004.
El phishing es una subespecie de lo que se denomina ingeniería social, es decir, la habilidad que tienen los hackers de manipular la tendencia de los seres humanos en confiar en los demás. Existen diversas técnicas, entre las cuales podemos mencionar la manipulación de las direcciones URL, utilización de imágenes para evitar los filtros anti-phising (basados en reconocimiento de texto), falsificación de sitios Web, la técnica del hombre en el medio (o man – in – the – middle) en donde el phiser (o hacker) convence a su víctima que está visitando un sitio web genuino cuando en realidad fue redirigido hacia un sitio fraudulento. Existe también el llamado “vishing” o voice phising, en el cual, por ejemplo, se utiliza una línea telefónica “disfrazada” como el verdadero “call center” de una institución bancaria para llamar a la potencial víctima y que esta, sin sospechar nada, ingrese mediante su teléfono por tonos los datos requeridos, los cuales son capturados por software especializado.
No hay estadísticas ciertas acerca del daño real de este ciberdelito. Las empresas son reacias a aceptar que sus clientes fueron afectados, tanto como por una simple cuestión de imágen como por la eventualidad de dar a conocer que sus sistemas hayan podido ser comprometidos. De acuerdo a una estimación (las cifras son controvertidas pues no surgen de datos firmes) publicada en Wikipedia, entre mayo del 2004 y mayo del 2005, aproximadamente un millón doscientos mil usuarios fueron víctimas del phising en los Estados Unidos con un costo de novecientos ventinueve millones de dólares. Estos números han ido escalando: entre agosto de 2006 y el mismo mes de 2007 tres millones seiscientos mil usuarios sufrieron pérdidas por phising por alrededor de tres mil doscientos millones de dólares. Respecto de nuestro país, aun hay menos datos, solamente alguna mención aislada en los medios de comunicación, tal como la nota del diario Clarín en su versión electrónica del 12 de julio del 2006, en donde se mencionaba que habian comenzado a circular varios mails apócrifos simulando provenir de varios bancos argentinos.
Varias acciones pueden ser tomadas para disminuir los ataques de phising. Algunas apuntan sobre todo a la educación del usuario, enseñando a reconocer si este puede estar siendo una potencial víctima de un intento de phising. A modo de ejemplo podemos mencionar el llamar al centro de atención al cliente de la institución que supuestamente le está enviando el mail, para corroborar que este sea verdadero, verificar que se le llame o bien por su nombre o apellido o bien por el username utilizado para acceder a los servicios online, en lugar de un genérico “Estimado usuario” o “Estimado cliente”; o no utilizar nunca los links o enlaces que acompañan los correos electrónicos, sino tipear en el navegador la dirección web de la institución o compañía. Otras son respuestas técnicas, desarrolladas por los programadores de los aplicativos, navegadores, clientes de correo, etc, encontrando entre ellas las ayudas a distinguir sitios verdaderos de fraudulentos mediante protocolos de seguridad (SSL) y autoridades de certificación, alertas emitidas por los navegadores basadas en listas conocidad de sitios phising y software diseñoado a tal efecto, inclusión de una imágen solamente conocida por el usuario para que de esta manera este último ingrese su clave solo si ve la misma, filtros anti – spam especializados para que no lleguen mails falsos a las casillas de correo y otras mas.
En cuanto a la tipificación legal, no existen leyes específicas contra este tipo de delito, sino que son utilizadas, al menos en paises como Estados Unidos y el Reino Unido, leyes contra el fraude y el spam (envío de correo no deseado). En el año 2007, Jeffrey Brett Goodin, habitante de California, fue condenado a setenta meses de prisión por haber violado la ley conocida como CAN – SPAM Act de 2003 enviando miles de correos electrónicos haciéndose pasar por el departamento de facturación de AOL para obtener datos de cuentas bancarias y tarjetas de crédito. En nuestro vecino país Brasil, fue detenida una persona acusada de encabezar una asociación ilícita dedicada al phising, la cual en dos años obtuvo ganancias ilícitas por una suma estimada entre dieciocho y treinta y siete millones de dólares. En Argentina, no poseemos legislación que castigue esta conducta, ya que el inciso 16 del artículo 173 del Código Penal habla de la defraudación a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático, supuesto que no se presenta en este delito, ya que el phiser no interrumpe ni altera el legitimo sitio web, sino que desvía la atención del usuario hacia su propia página web.
Para finalizar, no debemos caer ni en pánico ni en paranoia cada vez que recibamos en nuestros correos un mail sospechoso. Debemos estar lo suficientemente atentos para observar los elementos que hemos citado anteriormente, nunca apurarnos a ingresar datos sensibles sin antes corroborar fehacientemente que estamos ante el sitio web legítimo del que somos usuarios o también no brindar ningún tipo de información ante llamadas telefónicas recibidas, sin chequear previamente su procedencia. La seguridad perfecta no existe, pero poníendo en práctica unas pocas medidas, podremos evitar ser víctimas de un delito cada vez mas extendido, y que tanto daño patrimonial causa.