Ya no se trata de aventuras individuales de un hacker, sino de bandas internacionales muy organizadas y poderosas. La tecnología de protección existe y está disponible, pero el talón de Aquiles está en los usuarios y sus malos hábitos en línea.

¿Sabe usted qué cosa es el smishing, el skimming o la carta nigeriana? Le convendría saberlo, a menos que no pertenezca al grupo de personas que tiene un teléfono móvil, utiliza el correo electrónico, navega Internet o retira dinero de un cajero automático. Si no hace nada de eso, no tiene de qué preocuparse. El diccionario del cibercrimen ha crecido tanto como la magnitud de su impacto en la economía. Datos de Kaspersky indican que en diciembre pasado los ataques con malware para robar datos financieros se incrementaron 22.4 %, en tanto que la compañía de seguridad RSA calcula en 9.100 millones de dólares al año las pérdidas por phishing (páginas web falsas para robar información financiera), y un estudio del FBI estima en 2.300 millones de dólares el daño causado en el mundo en los últimos tres años sólo por ramsonware, uno de los delitos informáticos de moda por estos días.

El ramsonware es la versión digital del secuestro. Pero en la sociedad de la información no se secuestra a las personas sino a sus datos, y se pide un pago por el rescate. Lo padecen por igual usuarios y corporaciones. En Colombia le ocurrió a un número considerable de ciudadanos en la región Caribe, el año pasado. Todos había visitado cierto sitio en la Web que – sin saberlo – estaba infectado con un software malicioso, y pocos días después recibieron mensajes que les pedían pagar un rescate por desbloquear sus teléfonos móviles. Efectivamente, no podían hacer nada con sus smartphone con sistema operativo Android y sin antivirus, excepto leer el mensaje que les pedía el pago de un rescate por devolverles el control sobre el dispositivo. El valor del rescate no era muy grande, cuestión de unos 50 dólares, por lo que la mayoría accedió con el afán de recuperar el teléfono por el que había pagado uno, dos o más millones de pesos.

Los criminales del ramsonware piden a los usuarios que les envíen tarjetas de regalo de tiendas en línea, y cuando las víctimas son corporaciones, les piden el pago del rescate en bitcoins, de tal modo que sea muy difícil rastrear a los autores del delito. Un estudio de la compañía Kaspersky, fabricante de soluciones de seguridad de la información, estima que más de 550 colombianos han sido víctima de una operación de ramsonware de carácter continental que ellos bautizaron como “Saguaro”, originada en México por ciberdelincuentes locales y que ha cobrado 120.000 víctimas desde que fue lanzada en 2009. Luego de seis años enfocada en territorio mexicano, la banda expandió su operación a Brasil, Venezuela y ahora a nuestro país. Los atacantes envían mensajes de correo electrónico falsos, provenientes supuestamente de la DIAN, o la Procuraduría, con un archivo adjunto, el cual contiene el código malicioso. Si el usuario cae en la trampa, abrirá el archivo y permitirá a los cibercriminales acceder a su computador, tableta o teléfono móvil. “Ramsonware no es una amenaza sofisticada; en realidad es simple, pero un número muy grande de personas caen”, explica Dmitry Bestuzhev, director para América Latina del equipo de investigación de Kaspersky Lab. Para este experto, es evidente que hay mucho trabajo por hacer en cuanto a la educación de la gente frente al cibercrimen. El descuido humano sigue siendo una de las puertas abiertas que facilitan el trabajo de los cibercriminales.

Pero no se trata solo de las débiles competencias informáticas de los adultos. Los Millennials, adictos a la tecnología, han traído nuevos riesgos al mundo digital. “Los Millennials prefieren la comodidad antes que la seguridad y hay bancos que diseñan estrategias específicas para ellos, y les permiten abrir cuentas sin necesidad de desplazarse hasta una oficina del banco”, explica David Castañeda, vicepresidente de investigación y desarrollo de Easy Solutions. Esta compañía realizó una investigación sobre el impacto de este grupo de población en el mapa de la seguridad digital. El 86% de personas entre 25 y 34 años son usuarios de smartphone, y el 94% de ellos utiliza la banca en línea. Casi ninguno de ellos quiere hacer fila en una oficina. Pero lo más alarmante de sus hábitos digitales viene a continuación: Solo en Estados Unidos el 44% de ellos ha sido víctima del cibercrimen, el 31% comparte sus contraseñas y credenciales bancarias y el 84% pone en riesgo sus cuentas al revisarlas desde puntos WiFi públicos. David Castañeda considera que es todo un reto para el sector financiero atender a este segmento de población, el más prometedor, con un adecuado equilibrio entre seguridad y comodidad.

Negocio en expansión

A diario ocurren millones de ataques a personas y a organizaciones, aunque solo una fracción de ellos tiene éxito. Cifras de Kaspersky estiman que en Latinoamérica ocurre un ataque cada 12 segundos y 1.100.000 ataques cada día. Por otro lado, el Estudio comparativo de protección de datos 2016, realizado por Intel Security, encontró que en promedio una organización sufre 20 incidentes de seguridad al día y que el tamaño sí importa, pues cuanto más grande es la organización, más atractiva resulta para el cibercrimen. Los atacantes se hacen con los registros de las bases de datos de clientes y afiliados de bancos, hospitales, sistemas de seguridad social y otras organizaciones, para cobrar por ellas o para utilizar los datos de las personas con fines económicos. Investigaciones de McAfee Labs encontraron que un solo cibercriminal que utiliza el ramsonware recibió ganancias por US 94 millones durante los primeros seis meses de 2016, y otro recibió US 121 millones en el mismo periodo, todos pagados en bitcoins por organizaciones en Norteamérica y Europa, algunas de ellas hospitales que sufrieron el secuestro de los datos de sus pacientes. Los autores de estos ataques suelen cobrar entre 1 y 5 bitcoins por cada dato secuestrado.

“El hacker ya no es un geek apasionado por los sistemas, que está jugando con su computador en algún garaje de cualquier ciudad; ahora lo que existe es toda una economía de millones de dólares al año”, explica Isam Hauchar, director corporativo del Segmento Empresas y Negocios de Claro. En su opinión, las Pyme suelen subestimar el riesgo al considerar que por su tamaño no serán blanco de ataques. “Se debe ser consciente que el riesgo de ser atacados aumenta diariamente y por tanto son necesarias contramedidas que minimicen o eviten los incidentes de seguridad”, agrega.

¿Se puede ir a un Cajero Automático?

La clonación de tarjetas débito y crédito azotó a los colombianos por años. Se conoce técnicamente como “skimming” al proceso de copiar, mediante un dispositivo instalado ilegalmente en los cajeros, los datos de la banda magnética de una tarjeta para posteriormente utilizarla sin el consentimiento del propietario. La gente llegó a sentir terror cada vez que debía acudir a un cajero. En el país se llevó a cabo un proceso de recambio de cajeros electrónicos, desde que la Superintendencia emitió la resolución 042, la cual hizo que en últimos 7 años se cambiara el 95% de los 14.500 cajeros instalados en suelo colombiano. Los cajeros tienen ahora una videograbadora para guardar registro fílmico de la transacción y se instalaron sensores anti skimming, gracias a lo cual el delito de la clonación ha disminuido sensiblemente.

Los cajeros automáticos, no obstante, son blanco de ataques “lógicos”, es decir, mediante sofisticados sistemas de software que han empezado a aparecer en otras partes del mundo. Reportes de Kaspersky indican que hay una marcada preferencia de los cibercriminales por atacar directamente a los bancos, en lugar de a las personas. La principal estrategia es tomar el control de cajeros automáticos, a distancia y sin clonar tarjetas, mediante software malicioso implantado en los servidores de los bancos, lo que se conoce como “jackpoint”. Un banco europeo perdió recientemente US 17 millones en un ataque de este tipo. Los atacantes desviaban fondos a la velocidad de 200 dólares por minuto, hasta que el delito fue detectado. En Colombia ocurrió un sonado caso en 2014, en el que los delincuentes lograron hurtar el equivalente a 304.000 dólares provenientes de catorce cajeros automáticos infectados. Jorge Arenas, gerente general de NCR, fabricante de cajeros automáticos, señala que no se han vuelto a presentar casos de este tipo y considera que “en cuanto a lo lógico, los bancos del país están bien protegidos”, a pesar de que persiste el problema en “lo físico”, es decir, delitos como engañar a una persona para cambiarle la tarjeta débito durante una asesoría espontánea en un cajero, y todavía algo de clonación. Las tarjetas que sólo tienen chip (sin banda magnética) no pueden ser clonadas.

El lado bueno

Que no cunda el pánico. Hay muchas bandas dedicadas al fraude pero también hay muchas compañías dedicadas a la seguridad digital. En opinión de Daniel Cuéllar, vicepresidente de Gemalto para el Pacto Andino y Caribe, “es seguro hacer transacciones electrónicas en Colombia, si se realizan en los sitios Web y plataformas legítimas de los bancos”. De hecho, Gemalto es el creador para la banca colombiana de la más extendida aplicación de pagos móviles en la historia financiera del país, Banca Móvil, implementada desde 2006 en casi todos los teléfonos y todavía en uso en el segmento “no smartphones“, y que durante 10 años movió millones de transacciones electrónicas con la envidiable tasa de cero fraude. La lista de tecnologías disponibles para asegurar la legitimidad de una transacción electrónica es considerable: biometría, reconocimiento de voz, reconocimiento facial, autenticación de doble factor, tokenización, entre otras. Son las fórmulas con las que un banco puede verificar la identidad del usuario que inicia una transacción. Pero además se asegura la transmisión de los datos mediante sistemas de encriptación que no han sido rotos jamás, y por último, el banco almacena de manera segura la información en sus servidores, para impedir el acceso no autorizado.

Se puede poner la tarjeta de crédito en la página de Linio, Éxito.com o en las apps de los bancos colombianos. Siempre que el usuario esté seguro que se trata del sitio oficial, la compra será segura y sin riesgo. De hecho, las transacciones electrónicas en el país crecieron 49% el año pasado y representan el 4.08% del PIB, según el más reciente informe de la Cámara Colombiana de Comercio Electrónico. Durante el último “cyberlunes” realizado el 28, los colombianos realizaron 583.000 compras, aprovechando las ofertas que las tiendas en línea establecen ese día, todas ellas terminadas exitosamente y sin contratiempos, gracias a que se realizaron sobre plataformas seguras. Pero no sobra estar al tanto de los riesgos, mejorar los hábitos digitales y asegurar todos los dispositivos, desde el computador hasta el teléfono, para llevar una vida en línea saludable.

—— Recuadro 1——

Las 8 amenazas de 2016

Un estudio de Easy Solutions, una compañía internacional de origen colombiano especializada en combatir el fraude electrónico, encontró las amenazas digitales más destacadas del presente año:

1. 1. Contaminación de búsquedas en Google. Los criminales pagan campañas publicitarias en nombre de bancos verdaderos y llevan a los usuarios del buscador hacia sitios falsos, en donde roban la información.
2. 2. Perfiles falsos en redes sociales. Se estima que existen al menos 80 millones de perfiles falsos en Facebook, Twitter e Instagram, creados para capturar información de los seguidores.
3. 3. Apps peligrosas. En algunas tiendas de aplicaciones, especialmente de Android, se han filtrado productos fraudulentos, que roban información del usuario que la descargó o infectan su dispositivo móvil.
4. 4. Falsificación de correos corporativos. Un empleado de un banco recibe un correo de un alto directivo de la institución, que le ordena autorizar un pago a un proveedor. El directivo en realidad jamás escribió esa orden, pero el pago fue realizado a una empresa falsa.
5. 5. Ataques a la red SWIFT que los bancos utilizan para comunicarse entre sí. Se han presentado robos hasta por 80 millones de dólares en un solo ataque.
6. 6. Clonación de tarjetas débito y crédito, que utilizan todavía banda magnética.
7. 7. Secuestro de información. Es una forma eficiente de extraer dinero de los usuarios y es probablemente la amenaza más extendida por estos días.
8. 8. Fraude con “Identidad Sintética”. El atacante construye una identidad a partir de información recolectada de otros. Por ejemplo, para solicitar un crédito o una tarjeta de crédito o solicitar servicios a nombre de otra persona.

 

 

—— Recuadro 2——

Diccionario del cibercrimen

La palabra virus informático es cosa del pasado y un juego de niños. El delito digital tiene hoy muchas nuevas maneras de atacar:

Malware. Software peligroso creado por los piratas informáticos, para infectar diferentes dispositivos. Se subdivide en gusanos, troyanos, spyware, scareware y muchas categorías más.

Smishing. Mensajes de texto SMS que engañan al usuario móvil para solicitarle datos personales. En Colombia circulan varios anunciando que usted ganó un vehículo, en nombre de RCN y Carroya.

Carta nigeriana. Un correo electrónico enviado por alguien desde Nigeria que le pide ayuda para recuperar una cuantiosa fortuna. Usted debe enviarle sus datos bancarios para que le consignen allí el dinero. Por increíble que parezca, muchas personas muerden el anzuelo.

Skimming. Se llama así la popular clonación de tarjetas bancarias de banda magnética. Se sabe que ya están en pruebas sistemas de skimming de huellas dactilares.

Ramsonware. Secuestro de datos o bloqueo del acceso a datos del propietario de un teléfono móvil o un computador, por el que se pide el pago de rescate, generalmente en bitcoins.

Phishing. Páginas falsas de entidades financieras reales y prestigiosas, creadas por delincuentes para robar información de los clientes.

Jackpoint. Ataques remotos por software que permiten al delincuente tomar control de un cajero automático.

Botnet. Piratas informáticos toman control de cientos, a veces miles de computadores en los que se ha descargado software malicioso. Los computadores infectados se conocen como “zombies”.

Publicado originalmente en DINERO, edición 510, enero de 2017.