Bot, botnets, phishing, troyanos, ataques DoS, keyloggers, robos de identidad. Si cree que la banca online es segura, se equivoca.

Millones de personas consultan sus cuentas bancarias y pagan facturas por Internet y todo parece funcionar sin problemas. Sin embargo, cada año, millones de cibernautas son estafados por distintos medios, cada vez más sofisticados, que comparten una característica en común: la credulidad humana.

«El cibercrimen arriesga poco y gana mucho, y es poco probable que se pille a los delincuentes», dice Kelly Martin, redactor de Security Focus, la revista online de Symantec, una de las primeras empresas de seguridad corporativa del mundo, con sede en California, EE.UU.

El cálculo frío en que se fundamenta cada intento de phishing –en el que el estafador finge ser un banco real y envía correos electrónicos pidiendo los códigos de acceso– o cada correo de un déspota africano que pide ayuda para canalizar 45 millones de dólares a Occidente, es que alguien, en alguna parte, morderá el anzuelo.

Según incontables reportajes en los medios de comunicación, existe un próspero mercado internacional virtual para datos financieros y de consumidores robados, sin hablar de los robos de identidad.

Según la revista Consumer Reports, en 2005, los consumidores perdieron más de 8.000 millones de dólares sólo en los Estados Unidos por culpa de virus informáticos, programas espía y fraudes por Internet.

Los ciberdelincuentes, aseguran medios de prensa, tienen foros de Internet o bazares online para intercambiar números de tarjetas de crédito robados y vender el acceso a cuentas bancarias secuestradas e información personal como números de la seguridad social, números de identificación personal (PIN) y contraseñas. Muchos de estos sitios se clausuran apenas descubiertos pero no tardan en aparecer otros.

Se sustrae información confidencial a través de medios cada vez más sofisticados. En algunos casos, se registra todo lo que se teclea en un ordenador –números de cuenta, contraseñas, etc.– y los hackers examinan los datos recopilados para obtener la información pertinente.

Así es cómo funciona el fraude, o ha funcionado, explica David Thomas, un antiguo hacker reconvertido en confidente de la FBI, a Wired Magazine. Con un número de tarjeta de crédito robado –pero que todavía funcionaba– ladrones ucranianos compraron productos por valor de 30.000 dólares por Internet y los enviaron a un apartado postal en Estados Unidos. Thomas recogió los artículos y los revendió en eBay, quedándose el 40 % de las ganancias y enviando el resto a Rusia.

En julio de 2006, el New York Times informó como Shiva Brent Sharma compró el acceso a números de tarjetas de crédito robados online, cambió la información de los titulares y luego se hizo transferir fondos, utilizando identidades falsas respaldadas por permisos de conducir aparentemente legítimos.

Sharma, de 22 años, dijo que llegaba a ganar 20.000 dólares en un solo día. Ahora cumple una pena de cuatro años en la Mohawk Correctional Facility en Rome, en el Estado de Nueva York.

«Perseguir a estos ladrones de tarjetas es como perseguir a terroristas en Afganistán», dice Yohai Einav, director del equipo de inteligencia anti-fraude de RSA Security en Tel Aviv. RSA Security es un proveedor norteamericano de soluciones de seguridad para las empresas. «Están allí en alguna parte», dice, «pero encontrar sus guaridas, sus búnkeres subterráneos, resulta casi imposible».

Aunque ha habido algunas detenciones de ciberladrones muy comentadas en la prensa, la mayoría de los reportajes recalcan que se trata de la punta del iceberg.

Pero no todo son malas noticias. Según el Informe de 2007 de la Encuesta de Fraudes de Identidad, elaborado por Javelin Strategy and Research, el fraude de identidad bajó un 12 % en Estados Unidos durante el pasado año. Fingir ser otra persona es uno de los primeros pasos en cualquier tipo de cibercrimen.

«La cifra de víctimas del fraude de identidad en EE.UU. bajó en 500.000 personas en 2006 respecto a 2005», dice el informe. «En dinero, bajó un 12 % respecto al año anterior, de 55.700 millones de dólares a 49.300 millones de dólares».

James Van Dyke, presidente y fundador de Javelin, comenta: «Si bien el fraude de identidad sigue siendo un problema grave en EE.UU., nuestro nuevo estudio sugiere una reducción significativa del fraude de identidad como resultado directo de los cambios que se han producido en el comportamiento de la industria y del consumidor. Gracias en parte a una protección íntegra de los datos, el seguimiento del fraude y la concienciación del consumidor, ahora disponemos de métodos más efectivos para detectar rápidamente, o evitar, el fraude antes de que pueda consumarse».

Glosario:

• Bot es un término utilizado para describir un ordenador controlado a distancia por otra persona.
• Una botnet, o red bot, es un grupo de miles, o incluso millones, de ordenadores controlados a distancia. Se estima que las redes bot más grandes tienen más de 1,5 millones de ordenadores. Las botnets son los motores que canalizan casi toda la actividad criminal en Internet.
• DoS significa ataques de Denegación de Servicio, en los cuales se utilizan botnets básicamente para inundar un sitio web con volúmenes debilitantes de tráfico, impidiendo el acceso a otros. Como en un secuestro, muchas veces se exige un rescate para detener los ataques.
• Phishing es el término utilizado para robar datos de cuentas bancarias, utilizando correos electrónicos y remitiendo a las víctimas a un sitio web falso que imita el de un banco real, con la finalidad de vaciar sus cuentas. Según el Phishing Activity Trends Report publicado por el Grupo de Trabajo Anti-Phishing en febrero de 2007, durante ese mes se registraron 23.610 sitios web utilizados para el phishing. En un artículo escrito por estudiantes de Harvard y de la Universidad de California en Berkeley (uno de los primeros estudios académicos sobre el tema), se señala que un buen sitio de phishing engaña al 90 % de los internautas.
• Un troyano, como implica su nombre procedente de la mitología griega, es un software que se instala en un ordenador sin que lo sepa el usuario y elude la protección antivirus.
• El keystroke logging o ‘keylogger’ es una herramienta de software que registra las pulsaciones del teclado. Puede ser útil para determinar las fuentes de error en los sistemas informáticos pero también puede utilizarse para espiar el uso que hacen otras personas del ordenador. Se pueden registrar las pulsaciones del teclado mediante hardware y software.