El Congreso Mundial contra Delitos Electrónicos (Counter eCrime Operations Summit), organizado por el Anti-phishing Working Group, La Caixa y Telefónica, ha conseguido reunir en Barcelona a servicios secretos de varios países, el FBI, policías, guardias civiles, empresarios, informáticos, banqueros y hackers. Uno de los participantes, el experto en delitos informáticos Peter Cassidy, secretario general del Anti-phishing Working Group, se muestra optimista en la lucha contra la ciberdelincuencia. La organización a la que pertenece intenta evitar el fraude bancario on-line.
¿El phishing sigue siendo rentable a día de hoy?
Sí. Es como el timo de la estampita de la era informática. Además, es un método muy barato: los delincuentes envían millones de correos electrónicos y, aunque sólo cuatro personas caigan en la trampa, ya son suficientes. En esta actividad de delincuencia organizada, el ciberdelincuente envía un mensaje de correo electrónico suplantando a un banco para que el destinatario introduzca su identificación on-line. Al contrario de lo que cree el estafado, no está introduciendo sus datos en la página oficial de su banco sino en una web falsa. Es un timo de confianza, muy sencillo. Han conseguido controlar máquinas a través de Internet y para ellos es como hacer marketing.
¿Cuál es el proceso que se pone en marcha cuandose hacen con los datosdel usuario?
Hay organizaciones que una vez que tienen las claves realizan directamente el robo, aunque otras optan por vender esos datos a otros criminales.
Les interesan más las empresas…
Por supuesto. Si dan con los datos del contable de una empresa, se pueden llevar todo el dinero que esté autorizado a manejar esa persona. Aunque lo más extendido es la estafa por correo electrónico, los delincuentes incluso envían discos que parecen oficiales y que en realidad incluyen programas maliciosos. En el colmo de la especialización, los delincuentes dirigen sus ataques a ejecutivos con conocimientos concretos sobre ciertos productos y recursos de grandes empresas.
¿Espionaje industrial?
Ni más ni menos. Quieren secretos corporativos, información confidencial…
¿Cuál es el perfil del criminal electrónico?
Uno es el del tipo con habilidades informáticas que delinque. Otro, el de mafias organizadas que invierten en conseguir las herramientas necesarias para aprovechar este delito. Funciona como el mundo de las drogas, donde invierten en procesar la coca para convertirla en cocaína. Los delincuentes no estudian química orgánica, sino que buscan a quien les haga el trabajo, utilizan el talento de otros para atentar.
¿Podría poner un ejemplo?
En Brasil detuvieron a una banda de ciberdelincuentes. El líder tenía 19 años y muchos de los miembros, menos de 15. Programaban software delictivo que controlaba los números de las tarjetas de crédito y creaban tarjetas falsas. Y todo lo han aprendido los jóvenes solos.
¿Quién va por delante, el delincuente o el banco?
Los especialistas buscamos una respuesta global que haga del phishing un riesgo gestionable para cualquier empresa. También trabajamos para que cometer este tipo de delitos informáticos sea demasiado costoso para los cibercriminales. Ya empieza a serlo.
Fuente: Público.es
Bajo licencia Creative Commons
Enlaces de interés:
La Guardia Civil, en una operación llevada a cabo en Navarra y Málaga, ha desarticulado un grupo de ‘hackers’ que había obtenido datos bancarios de más de 20.000 personas, y poseía más de 500 tarjetas de crédito falsificadas, así como de abundante documentación de diversos países de la Unión Europea.
Vicente Ripa, delegado del Gobierno en Navarra, explicó que el cerebro de la red es un joven ‘hacker’ buscado internacionalmente de sólo 19 años, M.E.A, que actuaba junto con M.I., de 27 años; M.E.M., de 28 años; A.R., de 30; y A.N., también de 30 años. Todos ellos de nacionalidad marroquí. Además, fue detenida la joven C.N.M.R., de 21 años, natural de Ceuta y vecina de Fuengirola. Todos ellos fueron arrestados en Málaga, y los tres primeros se encuentran en prisión. La operación continúa abierta.
Los detenidos disponían en sus archivos más de 200.000 direcciones de correo para ser utilizadas en sus campañas fraudulentas. También se les han intervenido 500 tarjetas de crédito falsificadas, así como lectores de tarjeta, grabadores y distorsionadores de frecuencia. El grupo disponía de diversas páginas web para la recarga de tarjetas prepago de telefonía, a mitad de precio, que utilizaban para capturar los datos bancarios de las personas que recargaban sus tarjetas.
La operación se inició hace un año, cuando un vecino de la localidad navarra de Elizondo denunció ante la Guardia Civil que le habían sustraído la totalidad del dinero de su cuenta mediante transferencias no autorizadas. A partir de ahí, la Guardia Civil detectó en Internet un gran número de campañas de ‘phishing’, consistentes en el envío masivo de correos electrónicos, suplantando la identidad de varias entidades bancarias nacionales.
Páginas web falsas
El ‘cerebro’ del grupo se encargaba de diseñar páginas web casi idénticas a las de las entidades, para así obtener datos bancarios y personales; y para no ser identificados, establecían conexiones desde ordenadores de otros usuarios o a través de redes inalámbricas abiertas. Además, el equipo de piratas accedían ilegalmente a sistemas informáticos de empresas y a sus bases de datos, para robar información personal y económica.
Los detenidos también contaban con diversas páginas web para la recarga de tarjetas de prepago de telefonía, a mitad de precio, que utilizaban igualmente para capturar los datos bancarios de los usuarios, que eran utilizados en ocasiones para realizar compras fraudulentas a través de la red.
Hasta el momento no se han cuantificado las cantidades totales del fraude, aunque se estima que es considerablemente elevado por la multitud de usos recabados. Según explicó el delegado, en muchas ocasiones, eran los propios usuarios los que los introducían confiados desde su ordenador personal, con la aparente seguridad de que los remiten a entidades de ahorro e inversión o de telefonía móvil.
El dinero acababa llegando a los estafadores virtuales, que ingresaban los fondos de particulares mediante transferencias bancarias telemáticas en cadena, intentando borrar todo rastro del robo en la red. En otras ocasiones, el resultado era recargas telefónicas con dinero ajeno. Aunque no siempre estos estafadores deben servirse para realizar sus fechorías de la confianza de los ciudadanos, ya que su destreza también les permitía adentrarse en sistemas informáticos para obtener directamente los datos bancarios de terceros, porque «son verdaderos expertos con un dominio extraordinario de la técnica y un conocimiento profundo de los usos más habituales en la red», precisó Ripa.
Fuentes: diversas