La industria informática y la banca unen sus fuerzas para frenar el 'phishing'

En menos de dos años, una plaga de correos masivos se ha unido al spam y los virus ganándoles en peligrosidad. Se llama phishing y tiene en ascuas a bancos y comercios electrónicos: consiste en engañar a sus clientes enviándoles mensajes que les instan a introducir sus datos financieros en páginas fraudulentas. España es uno de los países con más incidencias, según Verisign.

Robar contraseñas es el delito más viejo de la Red. Empezó como un juego: se engañaba a los incautos en los chats para conseguir los datos de su cuenta de acceso y entrar gratis a Internet.

Hoy el engaño se usa para robar números y contraseñas de cuentas bancarias.

El correo electrónico es el medio empleado: se envía un mensaje a miles de personas, procedente supuestamente de un banco, esperando que algunas sean clientes y piquen. Por eso, a esta práctica se la llama phishing, salir de pesca. El mensaje les pide que vayan a una web y pongan allí sus datos bancarios, engañándoles con diversas excusas, como que si no lo hacen se les anula la cuenta.

En dos años, este fraude ha hecho saltar todas las alarmas. El último informe de Symantec afirma: "A finales de diciembre de 2004, bloqueamos una media de 33 millones de intentos de phishing por semana, lo que representa un aumento del 366% desde julio. Prevemos que seguirá creciendo y será cada vez más preocupante".

Message Labs también ha investigado: "En septiembre de 2003, sólo 279 de los mensajes que escaneamos cada día eran phishing. Un año después, habían subido hasta dos millones. A diferencia de los virus y el correo basura, el problema del phishing es que está personalizado. Aunque se envíe masivamente, el objetivo es sólo una compañía y sus clientes".

Según la Guardia Civil, los criminales suelen ser mafias del Este.

Envían sus mensajes usando las mismas técnicas del correo basura: masivamente y mediante máquinas atacadas previamente, desde las que es difícil seguirles los pasos.

El phishing que recientemente inundaba los buzones españoles decía: "Necesitamos confirmar que usted es el verdadero dueño de esta cuenta. Si no confirma sus datos en 24 horas, nos veremos obligados a bloquearla para su protección". Un formulario en Javascript acompañaba al mensaje, y en él se debían introducir el DNI, la clave y la firma del banco. Si la víctima lo hacía, los datos se enviaban a un PC de Taiwan asaltado por delincuentes.

Este caso es el más complejo del Internet español. Normalmente, el mensaje insta a la víctima a visitar un enlace que parece del banco, pero en realidad, mediante técnicas de engaño, lleva a un sitio de los estafadores con el mismo diseño y logos.

El BBVA fue el primer banco español víctima de phishing. En mayo de 2003, un mensaje masivo instaba a sus clientes a darse de alta en un servicio siguiendo el enlace http://w3.grupobbvanet.com, un dominio registrado unos días antes y parecido al auténtico: www.bbvanet.com. En enero de 2004, otro mensaje pedía a los clientes del Popular que visitasen un enlace "para mejorar su seguridad". Llevaba a un sitio falso, pero aprovechaba un fallo del navegador Explorer, que en su barra de direcciones seguía mostrando la URL auténtica del banco.

Los clientes de Banesto, Banco Pastor, Caja Madrid y BBVA han sufrido más de un ataque consistente en que se les ofrece un enlace que parece bueno pero lleva a una página falsa. En febrero de 2004, el Popular era víctima de otra variante: al pinchar el enlace, se abrían dos ventanas, la de la entidad y otra, fraudulenta, idéntica a la web de autenticación del banco pero sin mostrar ninguna URL.

Pesca de altura

En febrero, en un alarde de pesca de altura, un mismo mensaje se dirigía a los clientes de cuatro bancos: BBVA, Banesto, Cajamar y Banco de Valencia, cada uno con su enlace correspondiente, todos supuestamente auténticos pero que llevaban a sitios falsos alojados en un proveedor ruso.

Según Verisign, España es uno de los países con más incidencia de phishing y el séptimo en envío masivo de mensajes falsos. El primero es Estados Unidos, donde no sólo se atacan bancos, que son el 80% de las víctimas, sino también comercios como eBay, AOL o Amazon. En Europa, según la policía británica, las próximas víctimas serán los comercios.

El Gobierno de EE UU prepara una ley anti-phishing que prevé multas de 250.000 dólares y cinco años de prisión. Mientras, la industria informática y la banca han unido sus fuerzas en el Anti-Phishing Working Group, lobby con más de 800 compañías. La lista de miembros es confidencial, pero aseguran que están ocho de los 10 bancos más importantes de EE UU. Sí es pública la lista de patrocinadores, donde destaca la española Panda Software, entre Visa, Mastercard, Microsoft, RSA Security, Trust-e, US-CERT, Websense, Adobe, Verisign, Symantec, Entrust o McAfee. Además de presionar para acelerar la aprovación de la Anti-Phishing Act, el grupo se dedica a hacer estadísticas sobre ataques, técnicas y vulnerabilidades en programas que propicien los ataques y recoger denuncias. Según su informe, los ataques en EE UU crecen un 30% al mes y sólo en enero se detectaron 2.560 sitios fraudulentos, con 5,8 días de vida.

"Con unos días ya les vale: hacen envíos masivos y siempre hay alguien que pica. A veces la página sigue funcionando un mes o dos: aunque el departamento legal del banco avisa al proveedor, éste tarda en cerrarla. Son sitios anónimos, en servidores gratuitos donde se piden pocos datos", dice Abraham Pasamar, consultor de seguridad del esCERT.

Los bancos suelen enterarse: "Cuando les avisamos ya lo saben, porque los envíos son tan masivos que también les llegan". Robarles, dice Pasamar, no es tan fácil: "Se recolectan nombres de usuario y contraseñas, pero muchos bancos piden códigos adicionales para las transferencias, aunque pueden hacerse pasar por el cliente legítimo y pedirlos". Pocos denuncian ser víctimas del fraude aunque según el esCERT un 5% de internautas caen en la trampa. En noviembre, la Guardia Civil detenía a dos personas en Valencia y Madrid por robar más de 12.000 euros a clientes del BBVA. Hacían transferencias a un banco ruso.

Los bancos corrigen sus fallos

La consultora Hispasec realizó un estudio, en noviembre de 2004, que concluía que el 44% de páginas bancarias españolas eran vulnerables a estos ataques: no permitían comprobar, mediante la barra de direcciones del navegador, que el usuario estaba en la web auténtica del banco, ni tampoco que introducía sus datos en un servidor seguro.

Antonio Ropero, su autor, explica: "Un mes después, un tercio de los que presentaban fallos los habían corregido, y evidenciaban su preocupación por el asunto. Aún así, quedan 13 entidades que fallan en algo".

Según Ropero, el phishing es un buen negocio: "El envío masivo de mensajes es económico y, sólo con que pique uno y se le vacíe la cuenta, el ataque será rentable". Según el Ponemon Institute, en Estados Unidos las pérdidas ascendieron a 500 millones de dólares en 2004.

"El phishing no se realiza sólo sobre bancos. Se puede usar para crear bases de datos personales". En enero, circuló un mensaje, supuestamente del INE, que pedía a los internautas ir a una web y dejar diversos datos.

Los criminales refinan cada vez más la técnica. El ataque más nuevo, sufrido por el Citizens Bank, Visa y Mastercard, es el cross-site scripting, al que son vulnerables millones de sitios, sobre todo los de comercio electrónico. La técnica aprovecha fallos en los scripts (pequeños programas usados para formularios, búsquedas) de la web legítima, para inyectar código y abrir un nuevo marco que parece estar dentro del banco o comercio cuando es un sitio fraudulento. También sirve para robar cookies, donde se almacenan sus contraseñas y números de cuenta de los usuarios.

Otra amenaza son los programas troyanos, que se introducen en el PC mediante mensajes o webs infectadas, dice Ropero: "Se activan cuando el usuario visita determinadas webs de bancos, capturando las credenciales de acceso e incluso las pantallas, para conocer el estado de las cuentas corrientes y si vale la pena atacarlas".

El Centro de Alerta Antivirus advierte sobre un virus troyano que roba las claves de las víctimas de phishing. Sevalcabor (Robaclaves, al revés) es capaz de neutralizar la actividad del antivirus del ordenador infectado.