“La industria TI tiene la responsabilidad de destacar los fraudes online, ya sea el phishing o cualquier otro”

Entrevista con España es el cuarto país del mundo que más ataques de phising recibe. Diego Arrabal, director general de F5 Networks para España analiza en que se basa este fraude y las posibilidades para combatirlo.

El phising es una práctica delictiva que cada vez se está cobrando más víctimas. Pero ¿Por qué sucede esto? Si cada vez hay más ataques también debería aumentar la información sobre estos y las maneras de prevenirlos. Diego Arrabal, director de F5 Networks España, empresa dedicada a las aplicaciones y sistemas de seguridad, descubre algunas de las claves.

P: ¿Podrías explicarnos en qué consiste el phising?

R: En Informática, phishing es una actividad delictiva mediante el uso de las técnicas de ingeniería social. Los phishers efectúan los ataques fraudulentos para hacerse con la información personal y confidencial tal como nombre de usuario, contraseñas y claves, así como detalles de tarjetas de créditos suplantando la identidad de una institución de confianza. A nivel mundial, eBay y PayPal son las dos compañías que figuran como principales objetivos de este tipo de fraude, aunque por supuesto cabe hablar de la banca online como otro objetivo común de los phishers o hackers ?especializados? en este tipo de ataques.

Habitualmente, el phishing se apoya en correo electrónico o mensajería instantánea para llegar a los usuarios, dirigirles a una falsa web y pedir sus datos personales. Debido al desproporcionado crecimiento de los ataques (el pasado mes de junio 191 entidades financieras fueron objetivo de este tipo de ataques, según el informe del Centro de Mando Antifraude estadounidense), se están planteando medidas técnicas, legislación para suplir los vacíos legales existentes y cursos de formación para evitar el fraude.

P:

¿Cuáles son las estafas phishing más habituales?

R: Existe una extensa tipología de estafas tecnológicas, pero en el caso concreto de phishing los fraudes más habituales son los de la banca online y transacciones electrónicas. En ambos casos el objetivo del fraude es hacerse con los datos bancarios confidenciales de los usuarios para extraer posteriormente dinero de sus cuentas o vender esos mismos datos.

Se trata de una actividad organizada y a menudo detrás se encuentran redes de delincuencia que crean falsas páginas web y realizan envíos masivos de correo suplantando la identidad de instituciones de confianza para hacerse de esta manera con los datos personales de los usuarios. Se informa mediante correo electrónico a los internautas que deben revisar el estado de sus cuentas por algún motivo y en los que incluyen un enlace con la web que han creado. A los clientes que entran en el enlace se les pide su nombre de usuario y contraseña. Entonces, se encuentran con un mensaje que les indica que lo intenten más tarde o cualquier otra excusa, por lo que el cliente no se suele percatar de que acaba de revelar sus datos secretos a una organización criminal que intentará transferir sus ahorros a otra cuenta.

Al margen de este tipo de phishing, también existen ataques que no necesitan de participación del propio usuario para hacerse con sus datos. Se trata de introducir virus troyanos modificados en los propios sistemas informáticos bancarios para extraer información secreta de las cuentas de los clientes: tanto los datos personales como números secretos de acceso a las cuentas.

P: España tiene el dudoso honor de ser el cuarto país a nivel mundial que más ataques de phishing recibe ¿a qué crees que se debe? R: Para realizar operaciones o simplemente para que los usuarios tengan acceso a éstas, los bancos están obligados a poner la información y datos personales relevantes a disposición de los clientes a través de un navegador. La cuestión es que las mismas características que convierten a un navegador en una herramienta práctica y rentable, son también las que los hacen inseguros. Es decir, que a más transacciones o más cantidad de datos confidenciales, mayor también el riesgo de ataques.

No obstante y aunque suene contradictorio, el sistema TI bancario español es uno de los más desarrollados a nivel mundial, según los estudios de IDC. La inversión en las tecnologías de información está penetrando a mayores niveles no solamente el sector de la banca, pero también en los seguros. En el caso concreto de la banca y pagos mediante tarjeta de crédito, por ejemplo, existe ya una normativa como es el Estándar de Seguridad de los Datos de la PCI (Payment Card Industry) que entrará en vigor en julio de 2008. Su objetivo es proteger la información de los poseedores de tarjetas, y conseguirlo incorporando las mejores tecnologías para garantizar la seguridad perimetral de las redes corporativas de las empresas que manejen la información, la privacidad de los datos, y la seguridad por niveles. Este estándar proporciona un marco para desarrollar un procesado seguro de los datos de cuentas incluyendo prevención, detección y reacción ante incidentes de seguridad. Todo ello significa que hay una conciencia del problema y poco a poco se están implementando medidas para prevenir y evitar los ataques.

P: En tu opinión ¿hace falta mayor concienciación social sobre este problema? R: Sin duda ninguna. Hemos logrado un estado donde la mayoría de los usuarios dispone de un PC y una conexión a Internet, siendo cada vez mayor la cantidad de datos personales que los usuarios registran e intercambian online. En este caso se trata de una información vulnerable a los ataques. Es una situación comparable al sencillo ejemplo de los robos, si en el metro de Madrid hay carteristas es un deber público avisar a los transeúntes para que tengan cuidado, lo mismo ocurre en el caso del phishing. La industria TI tiene la responsabilidad de destacar los riesgos existentes, ya sea phishing o cualquier otro tipo de fraude online. Se trata de una responsabilidad compartida con los organismos públicos.

P. ¿Es necesaria una mayor intervención de los bancos para evitar este delito?

R:

En actualidad, los bancos han hecho un esfuerzo real solamente en términos de concienciar a los usuarios de la existencia de este tipo de ataques. Habitualmente los bancos avisan en sus páginas de comprobar siempre la veracidad de los sitios y piden a los usuarios no facilitar sus datos personales. No obstante, la responsabilidad corresponde más al usuario que es el que debe darse cuenta, entender y protegerse por sus propios medios, bien instalando un software para evitar los ataques o bien evitando entrar en sitios de dudosa confianza. En la mayoría de los casos, el punto débil reside en los usuarios de la banca online, aunque en algunas ocasiones hubo casos de los propios empleados de las instituciones que hayan perdido los datos confidenciales de los clientes. Por tanto, la confidencialidad de los datos debe garantizarse en doble sentido, interno y externo.

Respecto a los usuarios de la banca online, la solución pasa por asegurar los procesos vulnerables a los ataques. En este sentido los bancos deberían, por ejemplo, ofrecer software de seguridad para los usuarios finales para asegurar al menos la parte técnica. Se trataría de ofrecer un circuito cerrado de seguridad tal como pasa en las oficinas físicas de las instituciones bancarias. Cualquier oficina bancaria dispone de medidas in situ para evitar posibles robos.

P: ¿En qué consisten vuestras medidas técnicas anti phising? R: Hasta ahora bastaba con asegurar el perímetro de una red para evitar conexiones no deseadas, y para ello contábamos con los firewall de redes tradicionales. Este tipo de dispositivos encuentra serias limitaciones a la hora de proteger los datos que se encuentran en las aplicaciones -información personal sobre usuarios, números de tarjetas?- ya que no saben identificar cuándo las aplicaciones Web (sobre las se basa la banca online) están siendo atacadas por alguien cuyo objetivo es recoger información privada.

Asimismo, para afrontar los sofisticados ataques es necesario un elemento de seguridad que tenga la inteligencia necesaria como para saber cuándo una aplicación que contiene información sensible está siendo atacada. Esta tecnología se conoce como firewall de aplicaciones y se basa en un modelo positivo de seguridad que consiste en ?denegar todas aquellas transacciones menos las que están permitidas?. Cuando un usuario se conecta con su banco a través de Internet realiza consultas y transacciones. Un firewall de aplicaciones tiene la capacidad de permitir sólo aquellas transacciones que sean válidas y estén autorizadas, mientras se protege automáticamente de cualquier ataque exterior la información que manejan las aplicaciones Web críticas de las empresas.

P: La banca representa el sector más afectado por el phising, y recientemente se dio la noticia de que las agencias de viajes eran las más afectadas por el fenómeno squatering (creación de dominios falsos muy parecidos a los originales para robarles clientes a las páginas oficiales) ¿Qué otros sectores son susceptibles a este tipo de amenazas? R: Cualquier industria que registre transacciones online de cantidades de dinero significativas es vulnerable de convertirse en el blanco de este tipo de ataques. De acuerdo con esta sencilla premisa los sectores vulnerables serían: seguros, servicios de pago, sites de subastas, agencias de viajes on line.