Teutas - Diritto & Tecnologia

Phishing is a cyber crime on property (see also cybercrime on people -threats, insults, etc.- and cybercrime against the socio-economic system of countries like cyber-terrorism). In Spain, according to many studies, it is increasing at a high rate. Financial institutions, as banks, that provide services over the Internet compete and strive constantly to provide greater safety standards to their clients.

En la base de delitos informáticos como el phishing se encuentran ciertas técnicas de ingeniería social que aprovechan cualquier vulnerabilidad de los sistemas informáticos. Así es como los delincuentes tienden una trampa a los usuarios y adquieren fraudulentamente datos e informaciones personales delicadas, como su número de cuenta bancaria o sus datos de la Seguridad Social. Cuando estas maniobras se acompañan del impulso del spam, o correo basura, logran una mayor difusión y, por tanto, causan un mayor perjuicio.

Nos hemos detenido a leer el completo estudio del Instituto Nacional de Tecnología para la Comunicación (INTECO)[1], publicado a finales de 2007, que tiene como protagonista el fenómeno del phishing y sus efectos a nivel social. Usuarios, entidades públicas y privadas en España frente a este preocupante fenómeno conforman el ámbito de una investigación, cuyos datos más relevantes vamos a comentar en este artículo.

Como preámbulo a los datos nacionales, vale la pena destacar que, a nivel mundial, son bastante fiables los datos ofrecidos por el denominado Anti-Phishing Working Group[2]. Sus trabajos de investigación concluyen que los ataques de phishing se han duplicado entre enero de 2005 y diciembre de 2006. El año 2005 fue un año especialmente aciago para la lucha contra estos delitos a nivel mundial, ya que la proliferación de sitios web "fraudulentos" - auténticas lanzaderas de estos ataques - se multiplicó por 10. El año 2006 también registró un máximo histórico sólo en intentos de ataques bancarios a través de la Red.

Algunas cifras preliminares

Para poder acercarnos mejor al problema del phishing, hay que mencionar los esfuerzos investigadores que está realizando el Instituto Nacional de Tecnologías de la Comunicación (INTECO), el Instituto Nacional de Estadística (INE), junto con los informes proporcionados por la Asociación de Internautas (AI).

Para hacernos una idea del actual panorama nacional, INTECO identifica un aumento de un 300% de los ataques de phishing en nuestro país entre 2005 y 2006. Estas elevadas cifras vienen espoleadas, en buena parte, por un incremento de casos de scam[3], una vía que emplean los delincuentes de la Red para seducir a sus víctimas. Se suma a esto que las agresiones cibernéticas de este tipo han ganado mucho en grado de sofisticación.

Impacto socio-económico del ‘phishing'

Son precisamente los efectos del phishing lo que le hacen ser tan temido. Nos referimos a las pérdidas económicas, pero también a la pérdida de información sensible, algo que para las empresas puede ser un golpe terrible, aún más dramático que la mella monetaria.

Para las sociedades en general - como acentúa el informe de INTECO - estos ataques suponen un gran varapalo al desarrollo de la Sociedad de la Información, especialmente porque se genera una falta de confianza en torno al nivel de seguridad de los sistemas a la hora de realizar transacciones por la Red.

Los usuarios, no sin razón, se muestran cada vez más recelosos en materia de privacidad. Un dato elocuente es que un 68,2% de los españoles consultados para este estudio declara no haber realizado todavía ninguna compra por Internet "por razones de seguridad", pero un alto porcentaje de ellos estaría dispuesto a acceder a más servicios online, siempre y cuando les ofrecieran más garantías de protección de su identidad. Alguna de las reacciones de los usuarios víctimas de una de estas acciones fraudulentas es cambiar de entidad bancaria, como admite el 4% de las personas entrevistadas que han pasado por este trance.

Llama poderosamente la atención que las cuantías de este fraude online no resulten tan elevadas como se cree. Los datos en poder de INTECO hablan de que el fraude tradicional medio está cuantificado en 593 euros por cada intento que se salda con éxito. El fraude a través de la Red tiene un impacto económico inferior, pero recordemos que el objetivo de esta delincuencia es llegar al máximo número de usuarios o entidades. La cuantía de cada una de estas estafas es menor porque así les conviene a los autores: si la cantidad del fraude no supera los 400 euros, se considera falta, y no delito.

El robo de identidad y las empresas

En EE.UU. se han multiplicado de manera asombrosa el número de juicios celebrados por suplantación de identidad entre 1999 y 2006[5]. La concienciación sobre las serias repercusiones que esto tiene para las corporaciones del país ha aumentado ante los ojos de la Ley, hasta el punto de que el Departamento de Justicia estadounidense valora la importancia de este delito, incluso, por encima del problema del tráfico de estupefacientes.

Del estudio de INTECO se puede deducir que el usuario español comienza a estar informado sobre modalidades como el vishing[6] o el smishing[7] por su creciente incidencia, pero aún las cifras son bastante bajas: un 2,9% de los entrevistados aseguró haber recibido algún conato de SMS engañoso. De los consultados, también el 21% declaró haber recibido un mensaje de e-mail donde se les solicitaba las claves de usuario, o cualquier otra información personal, mientras que el 12% había sido objeto de intentos relacionados con el scam, es decir, promesas laborales que esconden un fin fraudulento.

Para una protección adecuada, el 98,5% de las empresas españolas contaría con un sistema anti-virus, el 88,2% tiene instalado un cortafuegos o firewall, el 81,8% dispone de programas contra el spam, y el 77,3% ya ha puesto en marcha programas anti-spy. También las tres cuartas partes de las firmas nacionales realizan copias de seguridad y backup mediante programas especializados, como otra de las medidas emprendidas más habitual.

Trasladándonos a un escenario doméstico, las soluciones más extendidas entre los usuarios de España son, por este orden, los anti-virus, los firewalls, los sistemas de bloqueo de ventanas emergentes y los programas de eliminación de archivos temporales y cookies, principalmente. En resumen, el usuario en su casa suele adoptar dos tipos de medias: las automatizables y las no automatizables, y especialmente las primeras porque resultan más cómodas.

Los afectados proponen

Una de las metas de este estudio ha sido conocer mejor el punto de vista de los usuarios y profesionales afectados por el phishing, con el propósito de que sus conclusiones y propuestas puedan orientar, de alguna manera, futuras iniciativas contra el phishing.

Los usuarios de la banca online, por ejemplo, proponen que sus entidades instauren un servicio de atención y consulta sobre temas relativos a Internet y seguridad a modo preventivo; de forma reactiva, les gustaría contar con una guía sobre cómo actuar cuando se ha sido objeto de una acción fraudulenta vía Internet.

Otra medida expuesta por los consumidores es disponer de un sitio web donde queden recogidas las pautas para un buen uso de Internet, así como un decálogo sobre la utilización correcta de esta herramienta. Los usuarios españoles también se muestran conformes con el lanzamiento de campañas de comunicación para prevenir el fraude online, donde se ofrezca información acerca de hábitos de conducta "seguros" en el uso de la Red. Recomiendan, incluso, que dichas acciones divulgativas se adapten a diversos perfiles de ciudadanos: menores, jóvenes, personas de la Tercera Edad, etc.

Conclusión

Tenemos constancia de que entidades financieras, prestatarias de servicios a través de Internet, bancos, cajas de ahorro y cooperativas de crédito se esfuerzan y compiten constantemente por ofrecer mayores estándares de seguridad a sus clientes.

En el caso de los bancos y cajas de ahorro, el propio informe de INTECO destaca que éstos se han "acorazado" de manera ejemplar en los últimos años. El llamado Centro de Cooperación Interbancaria (CCI)[8] ha anunciado la puesta en funcionamiento de un sistema integral de prevención del fraude bajo las siglas de SEPFRA, cuyo objetivo, entre otros, es la colaboración con organizaciones e instituciones públicas y privadas - nacionales e internacionales - para la lucha contra los delitos económicos.

[1] INTECO es una sociedad estatal promovida por el Ministerio de Industria, Turismo y Comercio.

[2] Anti-Phishing Working Group es el nombre de una asociación empresarial a nivel internacional que persigue la erradicación del robo de identidad y los fraudes relacionados con el phishing y el spoofing.

[3] Ofertas de trabajo online de carácter fraudulento.

[4] Keylogger es una herramienta para el desarrollo de programas destinados al registro de pulsaciones sobre teclados, memorizándolas en un fichero.

[5] Informe elaborado por la Federal Trade Commission.

[6] Práctica fraudulenta que se vale del protocolo Voz sobre IP y de la ingeniería social para engañar y obtener información delicada de los usuarios.

[7] Técnicas fraudulentas basadas en métodos de ingeniería social que se llevan a cabo a través de SMS.

[8] Asociación sin ánimo de lucro formada por bancos, cajas de ahorro y cooperativas de crédito españolas contra el fraude bancario, con el objetivo de compartir e intercambiar información y estrategias contra los fraudes de tipo económico.

---

Aggiungi questo articolo ai tuoi social bookmarks preferiti