Los ciberladrones copian en silencio todo lo que se teclea

En general, quienes usan el correo electrónico no saben protegerse lo suficiente contra los mensajes de phishing [pesca en sentido figurado] que fingen ser de un banco o una empresa, pero que en realidad son intentos de robar contraseñas u otra información personal. Hay indicios de que entre los ciberdelincuentes mundiales la pesca quizá esté ya pasada de moda.

En algunos países, como Brasil, ha sido eclipsada por una forma aún más virulenta de estafa electrónica: el uso de programas de detección de pulsaciones [keyloggers] que copian en silencio lo que teclean los usuarios del ordenador y envían la información a los estafadores.

A menudo estos programas se ocultan dentro de otros y después infectan la máquina, lo que los sitúa en la categoría de programas nocivos conocidos como "caballos troyanos" o simplemente "troyanos".

A mediados de febrero, la policía federal brasileña detuvo en la ciudad norteña de Campiña Grande y en varios Estados circundantes a 55 personas -nueve, menores- por insertar en los ordenadores de incautos brasileños detectores de pulsaciones que registraban lo que éstos tecleaban cuando visitaban sus bancos en Internet. Los diminutos programas devolvían los nombres de usuario y las contraseñas a la banda. Según la policía brasileña, el fraude ascendió a unos 4,7 millones de dólares procedentes de 200 cuentas diferentes en seis bancos desde mayo.

El objetivo de estos delincuentes es infectar los ordenadores de la misma forma que los virus. La diferencia es que los programas detectores de pulsaciones explotan los fallos de seguridad y controlan la senda que envía los datos del teclado a otras partes del ordenador. Es un sistema más agresivo que la pesca, más basada en la impostura que en la infección, y que engaña a la gente para que dé su información a un sitio de Internet falso.

A menudo los programas están ocultos en descargas de programas ordinarios, adjuntos de correo o archivos compartidos en redes iguales. Incluso pueden estar insertos en páginas web, aprovechando las características del explorador que permiten a los programas activarse automáticamente. "Estos troyanos son muy selectivos", explica Cristine Hoepers, directora del Equipo de Respuesta a Emergencias Informáticas brasileño. "Controlan la navegación que realizan las víctimas, y sólo empiezan a registrar información cuando el usuario entra en sitios de interés para el estafador". Y añade: "En Brasil raramente vemos la pesca tradicional".

De acuerdo con los datos recopilados por empresas de seguridad informática en 2005, el uso de "programas delictivos" como los detectores de pulsaciones para robar claves de usuario y contraseñas -y en último término dinero en efectivo- se ha disparado. A menudo los delitos son internacionales, y ponen en riesgo a los usuarios de cualquier parte. "Es el futuro", afirma Peter Cassidy, secretario general del Grupo de Trabajo Antifraude, consorcio de empresas y policías que lucha contra el fraude y la usurpación de identidades en Internet. El grupo de Cassidy descubrió que el número de páginas de Internet de las que se sabe ocultan este tipo de código malicioso se duplicó entre noviembre y diciembre, superando las 1.900. La empresa de antivirus Symantec ha informado de que la mitad de los programas maliciosos que detecta no están diseñados para dañar los ordenadores, sino para recoger datos personales.

En el transcurso de 2005, iDefense, una unidad de Verisign que informa sobre seguridad informática a organismos públicos y empresas, contó 6.000 variantes distintas de detectores de pulsaciones, un aumento del 65% respecto a 2004. Casi un tercio de todos los códigos maliciosos rastreados por la empresa contienen ahora algún componente de detección de pulsaciones.

Y el SANS Institute, un grupo que forma y titula a profesionales de la seguridad informática, calcula que en el pasado otoño en EE UU llegó a haber 9,9 millones de ordenadores infectados con detectores de pulsaciones de uno u otro tipo, poniendo hasta 2.400 millones de dólares en cuentas bancarias -y quizá mucho más- literalmente al alcance de los estafadores.

En la mayoría de los casos, un programa para la detección de pulsaciones o similar simplemente espera a que se visiten ciertos sitios, como la página de un banco, o una cuenta de crédito electrónica, o que se introduzcan ciertas claves -DNI por ejemplo- para activarse. Lo tecleado se guarda en un archivo, se copian los formularios, e incluso se pueden tomar silenciosamente fotos de la pantalla de un usuario. Después, la información se envía a un sitio de Internet o a un servidor de espera donde un programa diferente, o ladrón, repasa los datos en busca de información útil. La tecnología para capturar textos e imágenes de pantalla no es nueva ni especialmente avanzada. Los detectores de pulsaciones incluso se venden comercialmente como herramientas para controlar qué hacen los niños en Internet.

Quizá sea sea su sencillez la que hace que los detectores de pulsaciones sean tan populares entre los ladrones. "La pesca exige mucho tiempo y esfuerzo", explica David Thomas, jefe de la sección de intrusión informática de la Oficina Federal de Investigación. "Este tipo de programa es una forma mucho más eficaz de conseguir lo que quieren".

También la programación suele ser bastante elemental, según Eugene Kaspersky, cofundador de Kaspersky Labs, una empresa internacional de antivirus y seguridad informática con sede en Moscú.

"Los puede crear un pirata de 12 años", dice. "Me temo que si el número de delincuentes aumenta a esta velocidad, las empresas de antivirus no podrán crear una protección adecuada". Y añade que ha llegado el momento de la operación internacional entre investigadores, que están abrumados por la naturaleza mundial de la ciberdelincuencia. "En la calle Internet hay muchos más delincuentes que policías", dice Kaspersky.