El pirata usó a Haití como anzuelo

Redacción Tecnología
tecnologia@elcomercio.com

Ya ocurrió en 2005, cuando el huracán Katrina azotó a Estados Unidos.    Ahora es Haití.

Tras el terremoto que sacudió a este país, los piratas informáticos enviaron una oleada de correos electrónicos, donde se   hacen pasar por organizaciones fiables que solicitan donaciones para los afectados, tal como ocurrió con otros desastres naturales.

Entre los correos fraudulentos hay algunos que aparentemente provienen de la Cruz Roja Internacional.  A Lorena Pérez, usuaria, le llegó, el jueves 4 de febrero       uno de estos ‘e-mails’ con archivos adjuntos que contenían  imágenes de Haití. “Tengo un amigo informático que me advirtió sobre el riesgo de abrir  estos correos masivos, así que se lo reenvíe para saber si era fiable”.

Fue una decisión acertada, porque su colega confirmó que las imágenes contenían un troyano, un programa malicioso que se introduce en la computadora, por medio   del correo electrónico, y, sin que lo advierta el usuario, extrae información valiosa de la máquina.

Esta forma de ataque que emplea un mensaje de correo  para engañar al usuario es conocido como phising.
Daniel Aguas, especialista en seguridad informática, explica que en estos mensajes, los piratas, llamados también  ‘phishers’, introducen un enlace a un sitio web, por ejemplo, la Cruz Roja Internacional.

Como la página web es idéntica a la  original, hay cibernautas   que caen en la trampa y entregan información  que más tarde los pueden comprometer.  
David Andrade, usuario, indica que en estas páginas  fraudulentas solicitan a los cibernautas que confirmen su información personal con cualquier pretexto.

“La mayoría se inventa que su  información se ha perdido y piden reconfirmar nombres, números de cuentas, tarjetas de crédito, entre otros datos. La mayoría de los phisher actúan desde países como Brasil, México, Asia y Europa Oriental.        

Aguas apunta, además, que el término ‘phising’ proviene del inglés ‘fishing’ que significa pescar. “Le agregaron la letra p, porque los piratas antes utilizaban el teléfono para engañar y teléfono en inglés empieza con la letra p de phone”.
 
Aguas dice los ‘phishers’ no emplean técnicas complicadas.

Es suficiente con copiar la imagen corporativa de una entidad legítima, disponible de forma pública en sus sitios  web.

“Lo preocupante es que nos enfrentamos  a atacantes que crean  un sitio web ilegítimo en cuestión de minutos”. El mecanismo con el cual invitan al usuario a visitar la página falsa es mediante un ‘e-mail’.

“Algunos piratas envían ‘spam’ (correo no deseado) para pescar, como indica el término ‘phising’, cibernautas desprevenidos.
   
Hoy, la mayoría de ataques de ‘phishing’ están dirigidos a las entidades financieras.

‘Diseñan   páginas    idénticas a las de los bancos para pedir actualización de datos a los usuarios”. Para Diego Cueva, líder técnico de  Banca en Línea, para hacer ‘phising’  no se requiere ser un ‘hacker’. “Cualquier persona con conocimientos medios  en html  y programación lo puede lograr”. Cada día, estos  piratas informáticos crean nuevas técnicas para hacer lo que mejor saben: engañar. Cueva cita la técnica llamada flux que para él    es la forma más efectiva de phishing, ya que el usuario  no puede identificar que lo están engañando.
 
Para aplicar este método, el pirata instala un programa en la computadora, a través de un mensaje de correo. Este    se encarga de desviar sus conexiones de Internet hacia sitios falsos o a host  (una computadora)  que hace de intermediarios con la página  final y recogen la información del usuario mientras   la persona  navega por la Red.

El problema actual es la dificultad de   contrarrestar estos ataques. Las acciones, con frecuencia,   son más reactivas.

Cueva dice que   no hay forma de que una institución      sepa que le están aplicando la técnica del  phishing. “Solo se enteran cuando los clientes se dirigen a la entidad para  quejarse”.

Punto de vista

Enrique Mafla/ PhD en   Computación
‘El FBI advirtió sobre los engaños’

Debido a estos ataques, los bancos han advertido a sus clientes que por seguridad no soliciten por Internet ningún tipo de información sensible. Por eso, si al usuario le llega un ‘e-mail’ de un supuesto banco, hay que sospechar y llamar a la entidad financiera para cerciorarse.

Cabe apuntar que el FBI ya advirtió sobre las estafas que surgirían a partir del terremoto de Haití. Ahora, no se requieren elevados conocimientos informáticos para engañar. En Internet    existen módulos de programas que las personas  pueden bajar de la Web para efectuar  estafas. Detrás de ellas siempre hay bandas bien organizadas.

Suplementos digitales