“Más que el dinero defraudado, afecta en mayor grado el ataque a la marca”

El director comercial de RSA España, Fidel Pérez, asegura que la banca electrónica “es un medio muy rentable para las entidades bancarias”, que ven como se reducen los costes de gestión.
La banca virtual, aún así, debe enfrentarse a problemas graves que difieren de los de su hermana tradicional, como es el caso del phishing.
“Más que el dinero defraudado en estas situaciones, lo que afecta en mayor grado a las entidades es el ataque a la marca”, explica Pérez.
Los bancos deben demostrar que sus sites son seguros, para lo cual RSA España ofrece una serie de soluciones de vanguardia.
La compañía, que vivirá un crecimiento espectacular en este ejercicio, tiene “mucho hueco aún en el mercado, que podemos llenar gracias a nuestras tecnologías, nuestra red de partners y a nuestra inclusión en EMC”.
¿En cuánto podría cifrar las pérdidas que sufren los bancos a raíz de los ataques de phishing?
No hay una estimación económica de lo que suponen los ataques de phishing para las entidades, aunque algunos estudios hablan de que aproximadamente un 2 por ciento de las personas objetivo del phishing pican. Es decir, ofrecen su identidad y sus credenciales a los ‘malos’.
El volumen de dinero que consiguen defraudar es un dato que las identidades financieras son extremadamente celosas en publicar y en dar a conocer. Aún así, más que el dinero defraudado, afecta en mayor grado el ataque a la marca. Cuando aparece en un periódico la noticia de que una entidad está sufriendo estas embestidas, sin duda alguna es menoscabada.


El tema más importante es el de la pérdida de confianza por parte de los usuarios, por tanto, ya que este tipo de ataques reducen la confianza del usuario en la utilización del canal online para relacionarse con el banco. Esto obliga al consumidor a dirigirse a las oficinas físicas, algo que siempre es más caro para la entidad bancaria.
Aunque no se pueden estimar las pérdidas, ¿existe alguna estimación sobre el volumen de negocio de la industria de la piratería?
Hay muchas cifras, pero ni las consultoras ni ninguna organización similar ofrecen estos datos. La situación nos hace suponer que el volumen de dinero que están obteniendo es muy grande, puesto que la inversión que hacen los delincuentes es muy alta, así como la cantidad de gente que está involucrada en estas actividades fraudulentas.
Estos dos datos permiten también concluir que hay una verdadera industria y con unas rentabilidades importantes, que además los delincuentes están dispuestos a reinvertir para que la industria del fraude siga funcionando.
Para conseguir estos objetivos es necesaria una organización, como comentó en alguna ocasión. ¿Cómo funciona esta ‘industria del mal’?
Estamos hablando de una verdadera industria, con una división del trabajo, una cadena de valor perfectamente definida y múltiples factores que se relacionan a través de la red.
No existe una única persona que haga todo el trabajo en el sistema de fraude. Están quienes desarrollan el código malicioso, quienes lo venden a través de los chats, los que desarrollan redes de ordenadores zombis que, a su vez, alquilan a quienes quieren hacer un ataque de phishing.
También contamos como los que lanzan el ataque de phishing, que son los que reciben las identidades robadas o que pueden ser otros, y que se complementan con quienes negocian con las identidades robadas en red para que unos nuevos intermediarios inicien las transferencias fraudulentas.
Para hacer estas transferencias, se utiliza a los muleros, que en cantidades más o menos pequeñas desvían el dinero de la cuenta a que previamente se le ha robado la identidad y que, mediante servicios de transporte de dinero a distancia, lo remiten al organizador.
Y estas redes tienen que tener connivencia en algunos casos con ISPS o con proveedores de telecomunicaciones de algunos países, para que puedan alojar todos estos servidores fraudulentos y para ser más o menos inmunes a los posibles ataques de la justicia.
Ante esta situación complicada, ¿qué herramientas ofrece RSA para paliar el efecto de las redes?
En el caso concreto del phishing, tenemos una propuesta tecnológica desde hace muchos años en el mercado. En España damos estos servicios desde hace unos 3 años a través de nuestra asociación con Telefónica.
En primer lugar procedemos a la detección del phishing a través del análisis de los correos que pasan por la red de Telefónica, que nos permite detectar un ataque contra una entidad. Ante esto, avisamos al banco y luego empezamos con un proceso de bloqueo y de tirar el servidor que está recibiendo las identidades robadas. Para ello, Telefónica tiene la capacidad de enmascarar las direcciones IP de las webs destino del phishing, que el internauta deja de ver.


Y nosotros, gracias a un equipo de trabajadores que tenemos alerta 365 días al año, 24 horas al día y con capacidad de hablar en más de 20 idiomas distintos, nos ponemos en contacto con las autoridades del país en el que está alojado el servidor que está recibiendo las identidades robadas para provocar su retirada.
La cuestión lingüística es en este punto muy importante, porque es posible que el receptor de las entidades del phishing sea un servidor que esté alojado en, por poner un ejemplo, Rusia, en China o en Brasil, por lo que es necesario tener los contactos para avisarles del fraude y de que debe ser apagado rápidamente.
El servicio antiphishing se completa con informes para las entidades clientes con toda la información de los ataques que reciben, el tiempo en que se paran e incluso en muchos casos las identidades que han sido robadas por los defraudadores.
Igualmente, existe un sistema de contramedidas que prefiero no comentar, para que no pierdan su efectividad.
Una de las innovaciones anunciadas por RSA recientemente ha sido una tarjeta que permite que el cliente obtenga un password de ocho dígitos cada vez que accede a la banca virtual. ¿Alguna entidad española ha decidido introducirla entre sus servicios?
En España sólo tenemos un banco en un proceso de prueba piloto, todavía. Aunque sí contamos con cliente que ha adoptado este formato u otros tipos de generador de password de un solo uso tanto en Europa como en Estados Unidos.
De hecho, algunos bancos están utilizando esta tecnología no sólo como herramienta de seguridad sino también como un verdadero impulsor de su negocio.
Están haciendo la propuesta a sus clientes de ‘somos el banco más seguro de internet’, lo que está consiguiendo aumentar de forma exponencial el uso de la banca en estas entidades. O lo que es lo mismo, potencia la reducción enorme de costes en este tipo de transferencias y el aumento de beneficios.
RSA España ha entrado fuerte en el mercado estatal. ¿Cuál es la previsión de crecimiento?
El crecimiento estimado para este ejercicio (2008) estará rondando el 60-70 %. Este crecimiento no vamos a poder mantenerlo a lo largo del tiempo, aunque sí entendemos que todavía tenemos mucho hueco en el mercado y que podemos llenar gracias a nuestras tecnologías, a nuestra red de partners, que estamos fortaleciendo potentemente, y también nuestra inclusión en EMC, la compañía matriz, que nos está dando una presencia en el mercado y un acceso a grandes cuentas que antes era muy difícil de tener.