Saturday, September 20, 2008

Cuáles son las técnicas que usan los hackers en Argentina para robarle su identidad

Los delincuentes aprovechan las últimas tecnologías de la información y la comunicación y de la ingeniería social para acceder a los datos privados de los usuarios de las redes informáticas para cometer luego todo tipo de fraudes y daños económicos.

El robo de identidad, tanto en el mundo real como en el virtual, es una práctica delictiva en alza constante, por una sencilla razón: cada vez más la economía de las personas es atravesada por las tecnologías de la información y la comunicación (TIC). Y la mayoría de los usuarios de estos sistemas no presta atención y no tiene conciencia sobre las buenas prácticas para proteger sus datos personales.

¿Qué es un robo de identidad? ¿Cómo se roban los datos personales de un usuario de Internet? ¿Cuáles son las técnicas más usadas en la Argentina? iProfesional.com consultó a especialistas de seguridad informática argentinos, quienes coincidieron en advertir la necesidad de que los usuarios de PC tengan en cuenta nociones básicas de precaución antes de ingresar una clave en la Red o publicar un comentario en un blog o subir una foto a Internet.

Un dato reciente demuestra la magnitud de lo que trata este informe de iProfesional.com: El Departamento de Justicia estadounidense anunció el 5 de agosto que acusó a 11 personas en relación con el hurto y venta de más de 41 millones de números de tarjetas de crédito y débito de nueve grandes tiendas.

“Aunque la tecnología ha facilitado mucho nuestras vidas, ha creado igualmente nuevas vulnerabilidades”, dijo el fiscal federal Michael J. Sullivan en una declaración. “Este caso muestra claramente cómo unos cuantos golpes de teclado con propósitos delictivos pueden tener resultados muy costosos”, agregó.

Los acusados entraron en las redes de comercios como la famosa librería Barnes & Noble. Instalaron programas informáticos para obtener los números de tarjetas de crédito, las contraseñas e información personal de los propietarios de esas cuentas, y luego ocultaron la información en discos duros de computadoras que controlaban en Estados Unidos y Europa oriental. La banda causó "cuantiosas pérdidas a bancos, comercios minoristas y consumidores”.

Mientras en este caso los delincuentes se aprovecharon de las fallas de un sistema, en otras ocasiones apuntan a la falta de conciencia del usuario. Una encuesta del centro de estudios estadounidense Pew Internet señala que “el 60% de los usuarios de Internet entrevistados no están preocupados por la información personal que hay de ellos online”.

Cada uno de esos datos personales tiene un valor en el mercado negro. Por ejemplo, según informó Symantec, un proveedor de seguridad informática, el de una cuenta bancaria se cotiza entre los u$s10 y u$s1.000; el de una tarjeta de crédito entre los 0,40 a 20 dólares; una identidad completa entre uno y u$s15 y las cuentas de subastas en línea oscilan entre u$s1 y 18 dólares.

Definiciones

El robo de identidad es técnicamente un nombre que agrupa ciertas modalidades en donde una persona le suplanta a otra su identidad. La sustitución de la misma puede ser: real o física; y digital o virtual. “El robo o usurpación de identidad se configura cuando una persona obtiene o realiza alguna actividad en nombre de nosotros, utilizando documentación robada, perdida, adquirida a través de programas maliciosos de Internet o de la ingeniería social”, explicó Daniel Monastersky, abogado especializado en TICS y CEO de la web Identidad Robada.

Si estamos hablando de identidad digital, agregó por su lado Roberto Langdon, presidente de la compañía 2MINDS, los medios y técnicas apuntarán a recabar todo tipo de información posible sobre la víctima, en cuanto a sus equipos, nombres de usuario y claves, y aplicaciones o hábitos de navegación, datos personales de tarjetas de crédito o bancos, para acceder a diversas funciones y/o aplicaciones en Internet. “Es decir todo lo que identifica a una persona en el mundo digital”, remarcó este profesor universitario de seguridad informática en las universidades del CEMA y de la Policía Federal Argentina.

¿Para que actividades delictivas buscan estos datos los ladrones? “Los delincuentes buscan beneficiarse de varias formas. Por ejemplo con el acceso a determinados núcleos de información, a los que sólo tiene acceso la persona a la cual se le sustrajo la identidad. También estilan tomar créditos de bajos montos, comprar electrodomésticos en cuotas, solicitar determinadas tarjetas de compra”, respondió Ezequiel Sallis, director de la empresa Root-Secure. “En estos últimos casos –apuntó-- lamentablemente existen por parte de algunas prestadoras de crédito, controles pobres que permiten fotocopias adulteradas, DNI pobremente falsificados. Muchas veces es falta de control de la empresa y otras tantas veces es la connivencia entre el que sustrajo la identidad y el empleado de la firma”.

Técnicas
La obtención de datos personales puede darse en inumerables situaciones distintas, explicó Gustavo Presman, investigador forense informático, que van “desde el robo de la documentación personal en un medio de transporte público hasta el acceso no autorizado a bases de datos, pasando por el robo de correo postal o la obtención de alguna información revisando la basura que tiramos. Estos últimos casos –señaló-- son mas frecuentes cuando se busca un objetivo en particular para ejecutar esta conducta delictiva”.

También las técnicas de ingeniería social permiten “adivinar” contraseñas sencillas que los usuarios utilizan para el uso de servicios personales y financieros que incluyen información sensible, indicó.

“En ocasiones nosotros mismos podemos estar ofreciendo datos en una página de Internet ya sea por una promoción o concurso cuyo objetivo real pueda ser la obtención de datos personales. Las páginas de Internet de sitios no seguros y las redes sociales son un imán para atraer a navegantes desprevenidos y robarles sus datos”, advirtió Presman.

La identidad de un usuario puede ser suplantada en dos niveles, describió Sallis, en la realidad del día a día en el mundo real, y en la misma realidad en el mundo virtual. “Incluso en algunas ocasiones se complementan datos de ambas realidades para lograr una suplantación mas efectiva”, afirmó.

Langdon describió un cuadro alarmante que apunta al propio usuario. “El robo de identidad de un usuario de internet comienza por los siguientes aspectos:

No tener un nivel de protección y seguridad adecuado en su equipo y red de acceso a Internet: “Es muy común que las víctimas no sean concientes del riesgo que conlleva operar sobre Internet, sin las protecciones adecuadas (firewall, sistema de prevención de intrusos, antivirus legítimo, antispywares). Generalmente nadie verifica que si acceden a un sitio que ‘dice’ ser seguro con protocolo https y con el candadito abajo, nadie verifica qué es lo que muestra o despliega ese candadito. Allí se verifica si hay certificados digitales en vigencia que avalan al sitio que se está accediendo, y en lo posible, tener herramientas antiphishing para no entrar en sitios simulados”, explicó Langdon.

No tener precauciones en verificar los sitios donde deja su información personal. “Hoy está de moda los sitios sociales como Facebook, Linkedin, Plaxo, Hi5, etc., donde obviamente que hay algunos pocos que son serios y confiables, como el caso de Plaxo y Linkedin, y donde también hay otros que no lo son, y requieren que la persona acepte invitaciones de desconocidos, para luego incluir toda su información allí, la que sirve para justamente tener en bandeja la información de identidad de una persona”, dijo el especialista. “Es frecuente que el usuario y clave que el usuario utilice para su registro, tenga similitudes con los que usa en otras aplicaciones, por lo que el delincuente probará primero con ese usuario y clave para ver si accede a sus sitios de acceso frecuente, o con sus variaciones acotadas”.

Los blogs sin protección están dejando en dominio público toda la información de hábitos y costumbres de sus usuarios, incluyendo fotos de él o ella, y de sus familiares y amigos, lo que facilita además del robo de identidad, los intentos de extorsión y secuestro de cualquiera de los miembros registrados y de sus familiares y amigos, señaló el presidente de 2Minds. “Es vital para el delincuente que roba identidad, contar con toda la información posible respecto del entorno de la víctima, para dar solidez a sus transacciones y potenciales consultas de verificación”, advirtió.

No tener políticas de manejo de passwords. Para Langdon, “las claves se deben cambiar cada 30 días, y ser de longitud no menor a 8 posiciones, sumamente deseable de 10 ó 12 posiciones. No se deben tener tildadas las opciones de “recordar password” en las distintas aplicaciones que se usan (Hotmail, Yahoo, etc.) porque cuando ingresan troyanos a un equipo, que buscan robar información, los datos de usuarios y claves es lo primero que rastrean. Esto es uno de los factores que ayudan al robo de cuentas de Hotmail, por ejemplo.

Facilitar el acceso de dispositivos con información de terceros al equipo propio, sin los debidos recaudos. “Es fácil encontrar pendrives contaminados con troyanos o keyloggers (programas que capturan los golpes en el teclado) que se descargan en el equipo de la víctima. El hecho de que pertenezca a una persona de confianza no invalida que éste ya pueda estar contaminado con anterioridad”, dijo Langdon. Los pendrives se deben verificar con escaneos de seguridad, tal cual lo hacemos con los discos. De hecho son un disco más.

Facilitar el acceso al equipo a usuarios poco conocidos, no confiables, o con poca idoneidad para cumplir normas de seguridad. “En los ámbitos laborales es frecuente este problema. Por esto es mandatorio contar con salvapantallas que protejan los equipos cuando no están en uso por el titular, y cuyo tiempo de espera sea realmente corto”, sostuvo el especialista. “Entender que no es una molestia tener que ingresar sucesivamente con introducción de clave, sino que es una protección importante”. En los ámbitos residenciales hogareños, es común que un mismo equipo sea usado por todos, siendo los más pequeños los más vulnerables a engaños. “Por esto es vital que cada uno tenga su propio usuario para ingresar, y que el tipo de usuario no sea administrador en todos los casos. Al menos no en el caso de los menores”.

Panorama argentino
Aunque no existen estadísticas serias de este delito en el país, para Presman la técnica más utilizada en estos momentos es el "phishing", donde algun servicio financiero o de otra índole le pide al usuario que ingrese a cambiar sus datos. En general se aduce para ello un incremento en la seguridad. Los datos se cargan páginas falsas que imitan el aspecto de las originales, recolectan la información del usuario y la ponen a disposición de los delincuentes

Para Langdon, las técnicas más utilizadas son:

  • Phishing, tanto en e-mails como en sitios web fraudulentos.
  • Ingeniería social.
  • Troyanos y keyloggers.
  • Intrusión en equipos en forma directa.

“En el 50% de los casos denunciados sobre robo de identidad, el mismo se había realizado en empresas de telefonía celular”, identificó Monastersky. La modalidad es la siguiente: Alguien se presenta en la empresa y, utilizando un documento apócrifo compra un teléfono celular, el cual es cargado en la cuenta de la víctima, a quien le llegará la factura para su posterior pago.

En este caso, los damnificados hacen hincapié en las deficiencias para identificar y verificar la identidad de la persona, comentan que “la empresa de telecomunicaciones no toma ningún recaudo y que no pueden tener una base de datos con todos los clientes”. “En uno de los casos –recordó el abogado--, la víctima era cliente y comentó que deberían haberse asegurado si era la persona correcta la que realizaba la transacción, dado que ellos tenían en su poder su fotocopia del DNI”.

Las otras técnicas empleadas son, de acuerdo al CEO de Identidad Robada:

Robo de contraseñas
“Es otra de las modalidades que está en aumento”, dijo el especialista. En algunos de los casos se utilizan para enviar mensajes usurpando la identidad de la víctima y en otros, como en el phishing, para poder ingresar en las cuentas de home banking de los clientes y realizar transferencias del dinero a un tercero. “Si bien todavía no existen cifras oficiales sobre damnificados por casos de phishing en la Argentina, se sabe que varias entidades bancarias han sido víctimas de esta modalidad delictiva”, advirtió.

Secuestro de archivos a cambio de rescate
La modalidad de trabajo es la siguiente: el código malicioso infecta la computadora del usuario por los medios normalmente utilizados por cualquier malware y procede a cifrar los documentos que encuentra (los de uso diario), eliminando la información original y dejando un archivo de texto con las instrucciones para recuperarlos. Los delincuentes posteriormente solicitan una recompensa para liberar los archivos cifrados.

Amenazas y hostigamientos por Internet (ciberbullying )
“Las amenazas por Internet se están convirtiendo en un hecho casi cotidiano. Las denuncias hacen especial hincapié en las amenazas anónimas en foros, fotologs y blogs de la red. En muchas de las denuncias, éstas llegan a causar perjuicios a nivel personal y laboral muy difíciles de superar, llegando incluso a provocar la ruptura de parejas. El ciberbullying ha crecido considerablemente y los que mas estan sufriendo esta modalidad son los menores”, afirmó el abogado.

Datos personales
La solicitud y recolección de datos a través de Internet es un punto a considerar. Si bien existe la ley de protección de datos personales, “todavía son pocas las empresas que cumplen con la normativa”, señaló Monastersky. La ley, en su artículo 6º obliga a los que recolecten datos a proporcionar al titular de los datos personales la información relativa a la finalidad, destinatarios, existencia de archivos, carácter obligatorio o facultativo de las respuestas, etc.

Esta semana se publicará la segunda parte del informe: “Cuáles son las técnicas para prevenirse de los robos de identidad”.

César Dergarabedian
(©) iProfesional.com

No comments: