Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra
Reportaje:

Los 'troyanos' dominan el fraude

Los ciberladrones de datos causan ya la mitad de los desfalcos 'online'

En las calles de Tel Aviv (Israel) el calor es sofocante, pero en la sala de control antifraude de la empresa RSA ni se nota. En un ambiente gris e impersonal, 15 jóvenes informáticos clavan los ojos en sus respectivas pantallas bajo el chorro del aire acondicionado. Uno de ellos, rubio y con coleta, recibe un aviso de un banco italiano que está siendo víctima de un ataque de phishing: alguien ha clonado la web para intentar engañar a sus clientes. Tras teclear códigos extraños, Owen averigua que el clon se aloja en el servidor de la web de una empresa cordobesa de aceite de oliva y se pone en contacto con ellos para frenar el ataque. Mientras esto sucede, en la habitación contigua David, otro informático, está inmerso en tareas algo más complejas. Tiene ante sí un ordenador infectado con un troyano, un programa informático que se infiltra en los ordenadores con el fin de sustraer datos, suplantar identidades y alterar programas. David accede a la web (real) de una entidad bancaria e introduce su clave, "Pedro1234". Como si de una caja negra se tratara, el troyano registra la operación en un lenguaje encriptado para que sólo su dueño pueda descifrarlo.

Los virus se compran y se venden. Uno bueno cuesta 2.500 euros

Los expertos creen que el peligro está en el descuido del propio usuario

La Red está cambiando y el fraude online también. Si en 2006 el phishing -falsos correos, generalmente sumulando entidades bancarias- suponía el grueso de los ataques que circulaban por los ordenadores españoles (el 86%, según la compañía S21sec), el año pasado se redujo a un 62%. En 2009, la modalidad en auge es silenciosa. Los troyanos, calculan los expertos, ya causan la mitad de los ataques.

¿Cómo infecta un troyano un ordenador? Muchos lo hacen por la vía del tradicional spam (basura) o al descargar un vídeo. O se cuelan a través de webs perfectamente legales que han sido infectadas, como le sucedió a la página oficial de Paul McCartney o a la de la revista Business Week.

Aunque los expertos aseguran que el fraude no supone ni el 1% de las operaciones online, mueve bastante dinero y supone todo un mercado con sus tarifas, su oferta y su demanda. Un troyano, por ejemplo, cuesta entre 300 y 2.500 euros (en el caso de uno muy exclusivo), pero también los hay gratuitos y abiertos a las modificaciones de todo el que quiera mejorarlo. Una vez que los criminales logran nuestras claves bancarias, las ofrecen por paquetes en Internet (cada clave cuesta entre 0,3 y 0,8 euros si la cuenta no ha sido usada antes). Esta fase del fraude, la que se encarga de obtener nuestras claves, sólo se embolsa el 20% del total. El grueso es para quienes logran sacar el dinero de la cuenta, la parte más peligrosa y la que atrae a menos candidatos (uno de cada cuatro). Ellos son quienes se encargan de captar mulas (personas engañadas mediante ofertas de trabajo falsas) o expertos en blanqueo de dinero. Estos últimos se ofrecen voluntarios y compiten entre sí, como se ve en la siguiente conversación, capturada de un chat:

Electric master: "Soy bueno. Sólo cobro el 25%. Saadi es de Pakistán, no te fíes de un paquistaní. Siempre te traicionan".

Saadi: "Soy bueno. Sólo cobro el 20%. Electric-master es de Estados Unidos, no te fíes de los americanos. Traicionan, como Bush :)".

Pero volvamos a los troyanos. ¿Cuál es el alcance real de este peligro invisible? Difícil saberlo. Yaron Shohat, responsable del área de antifraude de RSA -la división de seguridad de EMC-, calcula que el 25% de los ordenadores están ya "infectados" y que sólo el 20% de los antivirus los detectan. "Es una guerra perdida", opina. ¿Cómo proteger entonces nuestras cuentas bancarias? "Por capas, como una cebolla. Poniendo filtros en cada etapa".

Alertas de seguridad que se activan cuando registran movimientos sospechosos en nuestras cuentas; informáticos que se infiltran en foros del mercado negro para entorpecer la comunicación entre criminales o que pasan horas para descifrar el modus operandi de un troyano. En esas estaban los informáticos de la empresa de seguridad S21sec, cuando recibieron un mensaje: "por qué no dejas ya esta m**rda. quieres que te ayude un poco? es que me da risa ver las horas que pasas sudando intentándolo...". El autor del troyano burlándose de su esfuerzo.

Valorar el alcance del fraude es difícil, entre otras cosas porque los bancos no hablan del tema. Sin embargo, los responsables de seguridad de dos entidades, que piden anonimato, lanzan un mensaje tranquilizador: "El mayor peligro es el usuario. El uso que haga de Internet y que tenga un buen antivirus", dice uno. "Más que preocuparnos, nos ocupa", añade un segundo. "El fraude no afecta ni al 1 por millón de los movimientos. Es como los accidentes de avión. Hay muy pocos, pero cuando hay uno, es un lío".

Pescar ballenas y otras tendencias

El uso que le damos a la web está cambiando y, con él, los métodos de fraude. Las técnicas para engañar a los clientes se van sofisticando. Entre las novedades, los expertos citan tres tendencias:

La primera se conoce como Man in the middle, algo así como "un hombre en medio" y sucede cuando una persona real interviene en el intento de fraude. Por ejemplo: un usuario recibe una llamada telefónica de alguien que se presenta como un oficinista de su entidad y le pide "por seguridad" sus datos. Otro ejemplo: un internauta entra en la web de su banco y de pronto se abre una ventana de chat: alguien que se presenta como un empleado de la entidad le pide, "por seguridad", datos personales.

La segunda tendencia se conoce como Spear phishing o whaling (algo así como pesca de ballenas) y consiste en ataques dirigidos a personas concretas, normalmente con más poder adquisitivo (o a los ordenadores de sus familiares o asistentes). Son ataques dirigidos y que se apoyan en la información que obtienen a través de sus redes sociales o sus correos electrónicos. Sirva de ejemplo el siguiente mensaje, sacado de un foro: "Tengo acceso a una cuenta con más de un millón de dólares. Tengo el nombre de usuario y la clave. También he infectado su ordenador con un troyano y tengo acceso a su myspace y a sus cuentas de e-mail. Se aceptan ofertas".

La tercera modalidad es la que más inquieta a empresas y Gobiernos: el robo de información confidencial. Ya que hay tantos ordenadores infectados con troyanos, ¿por qué no aprovechar la infraestructura para acceder a este tipo de información?

En cifras

- Según la Asociación de Usuarios de Bancos, Cajas y Seguros, el 16,7% de los españoles reconoce haber sido víctima de fraude en la Red, causándoles en su mayoría daños superiores a 500 euros.

- En 2007, el 3,30% de personas que recibieron intentos de phishing reconocieron haber perdido dinero a causa del ataque (Gartner).

- España ocupa la sexta posición en el ranking mundial de actividad maliciosa, con el 4% de la actividad (Symantec, 2008).

- La empresa de seguridad Symantec también detectó 69.130 anunciantes diferentes y 44.321.095 mensajes en los foros de la economía sumergida del fraude online.

* Este artículo apareció en la edición impresa del Domingo, 27 de septiembre de 2009

Más información