Redacción Tecnología
tecnologia@elcomercio.com
Ya ocurrió en 2005, cuando el huracán Katrina azotó a Estados Unidos. Ahora es Haití.
Tras el terremoto que sacudió a este país, los piratas informáticos enviaron una oleada de correos electrónicos, donde se hacen pasar por organizaciones fiables que solicitan donaciones para los afectados, tal como ocurrió con otros desastres naturales.
Entre los correos fraudulentos hay algunos que aparentemente provienen de la Cruz Roja Internacional. A Lorena Pérez, usuaria, le llegó, el jueves 4 de febrero uno de estos ‘e-mails’ con archivos adjuntos que contenían imágenes de Haití. “Tengo un amigo informático que me advirtió sobre el riesgo de abrir estos correos masivos, así que se lo reenvíe para saber si era fiable”.
Fue una decisión acertada, porque su colega confirmó que las imágenes contenían un troyano, un programa malicioso que se introduce en la computadora, por medio del correo electrónico, y, sin que lo advierta el usuario, extrae información valiosa de la máquina.
Esta forma de ataque que emplea un mensaje de correo para engañar al usuario es conocido como phising.
Daniel Aguas, especialista en seguridad informática, explica que en estos mensajes, los piratas, llamados también ‘phishers’, introducen un enlace a un sitio web, por ejemplo, la Cruz Roja Internacional.
Como la página web es idéntica a la original, hay cibernautas que caen en la trampa y entregan información que más tarde los pueden comprometer.
David Andrade, usuario, indica que en estas páginas fraudulentas solicitan a los cibernautas que confirmen su información personal con cualquier pretexto.
“La mayoría se inventa que su información se ha perdido y piden reconfirmar nombres, números de cuentas, tarjetas de crédito, entre otros datos. La mayoría de los phisher actúan desde países como Brasil, México, Asia y Europa Oriental.
Aguas apunta, además, que el término ‘phising’ proviene del inglés ‘fishing’ que significa pescar. “Le agregaron la letra p, porque los piratas antes utilizaban el teléfono para engañar y teléfono en inglés empieza con la letra p de phone”.
Aguas dice los ‘phishers’ no emplean técnicas complicadas.
Es suficiente con copiar la imagen corporativa de una entidad legítima, disponible de forma pública en sus sitios web.
“Lo preocupante es que nos enfrentamos a atacantes que crean un sitio web ilegítimo en cuestión de minutos”. El mecanismo con el cual invitan al usuario a visitar la página falsa es mediante un ‘e-mail’.
“Algunos piratas envían ‘spam’ (correo no deseado) para pescar, como indica el término ‘phising’, cibernautas desprevenidos.
Hoy, la mayoría de ataques de ‘phishing’ están dirigidos a las entidades financieras.
‘Diseñan páginas idénticas a las de los bancos para pedir actualización de datos a los usuarios”. Para Diego Cueva, líder técnico de Banca en Línea, para hacer ‘phising’ no se requiere ser un ‘hacker’. “Cualquier persona con conocimientos medios en html y programación lo puede lograr”. Cada día, estos piratas informáticos crean nuevas técnicas para hacer lo que mejor saben: engañar. Cueva cita la técnica llamada flux que para él es la forma más efectiva de phishing, ya que el usuario no puede identificar que lo están engañando.
Para aplicar este método, el pirata instala un programa en la computadora, a través de un mensaje de correo. Este se encarga de desviar sus conexiones de Internet hacia sitios falsos o a host (una computadora) que hace de intermediarios con la página final y recogen la información del usuario mientras la persona navega por la Red.
El problema actual es la dificultad de contrarrestar estos ataques. Las acciones, con frecuencia, son más reactivas.
Cueva dice que no hay forma de que una institución sepa que le están aplicando la técnica del phishing. “Solo se enteran cuando los clientes se dirigen a la entidad para quejarse”.
Punto de vista
Enrique Mafla/ PhD en Computación
‘El FBI advirtió sobre los engaños’
Debido a estos ataques, los bancos han advertido a sus clientes que por seguridad no soliciten por Internet ningún tipo de información sensible. Por eso, si al usuario le llega un ‘e-mail’ de un supuesto banco, hay que sospechar y llamar a la entidad financiera para cerciorarse.
Cabe apuntar que el FBI ya advirtió sobre las estafas que surgirían a partir del terremoto de Haití. Ahora, no se requieren elevados conocimientos informáticos para engañar. En Internet existen módulos de programas que las personas pueden bajar de la Web para efectuar estafas. Detrás de ellas siempre hay bandas bien organizadas.