La página web de la Policía Nacional del Ecuador fue profanada por un grupo de hackers de Oriente Medio. En el portal inscribieron un mensaje: “Lo hicimos”.
Gonzalo Arias, jefe de la Unidad de Investigación de Delitos de Tecnología de la Policía Judicial (PJ), refiere que los hackers querían dar a conocer su capacidad para acceder, de forma ilegal, en páginas web institucionales. “Para ellos fue como un trofeo”. Ocurrió hace cinco años.La intervención del portal es una de las ocho modalidades de delitos informáticos que se registran en el Ecuador. Los portales de la Presidencia de la República, el del desaparecido Tribunal Supremo Electoral y el del Ministerio de Energía también fueron intervenidos años atrás.
Un estudio de la Escuela de Sistemas de la Universidad Católica del Ecuador (PUCE) revela que, entre mayo y junio de este año, 50 sitios fueron atacados: 15 eran de entidades públicas,12 de educativas, 15 de empresas privadas y ocho de otras organizaciones.
Entre las instituciones oficiales vulneradas están los municipios de Nueva Loja, en Sucumbíos, y de Otavalo, en Imbabura. También el proyecto Yasuní ITT y el Psiquiátrico San Lázaro.
Francisco Rodríguez, director de la Facultad de Sistemas de la Universidad Católica, dice que en Guayaquil fue identificado un grupo de hackers: los Latin Hack Team. El seguimiento hecho a esa mafia muestra que modifican sitios web de instituciones públicas y privadas; manipulan datos, y envían correos ‘maliciosos’.
La técnica que utilizan se llama desfiguración. Consiste en aprovechar la vulnerabilidad de los portales. “Reemplazan información de un sitio por la de otro. Ponen mensajes que en muchos casos son políticos”, dice Rodríguez.
Santiago Acurio, director de Tecnologías de la Información de la Fiscalía, asegura que el ‘phishing’ también se incluye en esta lista de ataques y es la segunda modalidad del cibercrimen. Con esta técnica se suplanta la identidad de un sitio web por otro para extraer información de forma fraudulenta. Ocurre con frecuencia con las cuentas bancarias.
Los perjudicados por esta clase de delito ingresan a páginas similares a las originales, creadas por hackers, donde digitan toda la información personal. Se utilizan como enganche los correos electrónicos masivos. La página incluso muestra el diseño de las instituciones, con sus logos, para confundir a los usuarios.
Según un estudio del laboratorio ruso Kaspersky, el 72% de servidores vulnerados por ‘phishing’ en Ecuador pertenece al sector público, el 21% al comercial y el 7% al educativo.
La tercera manifestación del ciberdelito en el país apunta a las transacciones financieras. El 11 de junio, el quiteño Wilmer S. hizo una transferencia bancaria de 2 800 dólares, vía Internet; pagó el alquiler de un local.
Al finalizar la operación, verificó que en su cuenta había un saldo de 1 200 dólares, pero dos horas después acudió al cajero y se percató de que esa cifra había desaparecido: fue transferido a otra cuenta sin su autorización. “Esta es la forma típica de fraude informático”, dice Acurio.
A esta se suma la alteración de bases de datos de bancos: personas que tienen acceso a información confidencial de cuentas de personas naturales y jurídicas y crean datos inexistentes en la información almacenada para robar (cuarta forma de delito).
“Esa metodología es usada para cambiar contabilidad en empresas”, manifiesta Arias. “Hemos encontrado casos en los que la gente que trabaja en la institución hace un mal uso de las bases de datos. Hacemos peritajes de la alteración”. Acurio precisa que las personas que cometen este ilícito se llaman ‘insiders’.
La quinta modalidad es la duplicación de tarjetas de crédito y débito (‘skiming’). “Hay dos clases: la falsificación electrónica (clonación) y el uso no consentido de una tarjeta”. Con la primera estrategia se duplica la información de la banda magnética de una tarjeta. Para la otra, se colocan dispositivos de lectura de las claves personales en los cajeros automáticos de los bancos.
Los índices de delitos en línea se triplicaron en este año con relación al 2009 (ver cuadro adjunto). Desde enero hasta abril, la Fiscalía registró 146 denuncias de apropiación ilícita utilizando medios tecnológicos. El año pasado se registraron 168 (12 casos cada 30 días).
La Policía detectó que el ciberdelito también encuentra réditos en la pornografía infantil (sexta manifestación), donde están involucradas organizaciones criminales internacionales. Un caso -refiere Arias- se dio con un grupo español que se suministraba pornografía infantil en Galápagos.
La promoción del sicariato, de préstamos o de viajes (trata) en Internet es la séptima cara del cibercrimen. Interpol investiga estos casos, aunque agentes que operan en Ecuador reconocen dificultades, porque los grupos delictivos utilizan plataformas gratuitas como Yahoo!, Hotmail, Gmail, redes sociales (Facebook o MSN), blogs, etc. “Estos servidores están en el extranjero y es muy complicado concluir una investigación”, dice el jefe policial.
La PJ coordina acciones con el personal de empresas como Microsoft. Frente al incremento del delito, hace seis meses la Policía creó la Unidad de Investigación de Delitos de Tecnología de la PJ. Esta indaga, con 30 agentes, los orígenes, móviles y consecuencias de estos delitos.
Rodríguez explica que la octava modalidad de ciberdelito es la compra de programas piratas. “Al adquirir un disco de juegos o paquetes informáticos, este regularmente tiene programas maliciosos. Eso provoca que en las máquinas se abran puertos por los que ingresan virus para extraer datos y contraseñas de la persona que instaló el software”.
Para Acurio, el combate a estos ilícitos debe complementarse con una reforma al Código Penal. La propuesta -agrega- es adecuar la legislación de acuerdo con el Convenio del Cibercrimen de la Unión Europea, suscrito en el 2001. “Con esto se lograría estandarizar los tipos penales y el sistema procesal”. Además, acceder a las plataformas gratuitas para detectar a los infractores.
El caso de Wilmer S. está en la Fiscalía. Tras la estafa de la que fue víctima, asegura que perdió la confianza en la entidad bancaria. Según la Policía, para evitar ser una cibervíctima, nunca se debe entregar información personal (como claves o números de tarjetas) por teléfono, por correo electrónico o en formularios abiertos en Internet. Solo deben usarse las cuentas encriptadas oficiales.