Lo que su banco no le cuenta (pero debería hacerlo) sobre seguridad online
Publicado en Expansión por Cynthia Alva
¿Ha recibido alguna vez un correo haciíéndose pasar por su entidad bancaria, solicitándole sus claves de acceso a sus cuentas? Probablemente sí, ya que cada año se envían más de 8 millones de correos de este tipo, clasificados como "phishing". Para evitar caer en la trampa, basta con ignorar ese mensaje. Pero a partir de ahora va a ser más fácil. El "phishing" está pasando de moda.
Ahora lo que se lleva es el "man in the browser", un sistema que se instala en su ordenador y registra todos los pasos que usted da para acceder a sus cuentas bancarias (direcciones URL a las que accede, contraseñas que teclea, números de usuarios).
Una vez que ese virus ha guardado todos esos pasos, los envía al ciberdelincuente, que ya tiene una radiografía exacta de todo lo que tiene que hacer para acceder a las cuentas de la víctima.
Del Phising al Espía
Según S21sec, empresa española de seguridad, en España, el 75% de los intentos de robo por Internet en 2008 correspondieron, al 'phishing bancario', un procedimiento dirigido a los usuarios de banca en línea mediante el cual los estafadores obtienen los datos de las cuentas bancarias para vaciarlas.
Para ello, enviaban e-mails a las potenciales víctimas haciíéndose pasar por las entidades financieras y solicitándoles las claves de acceso. A principios del 2007, una red de vigilancia española de seguridad, había detectado 3.000 elementos de código malicioso al día en España, para el 2008 la media era de 22.000.
Pero ahora los ciberdelicuentes se han sofisticado. "Hasta el ordenador más protegido puede sufrir de un robo de este tipo, sólo hace falta un pequeño descuido del usuario para caer en la trampa: que abra un texto o visite una página cualquiera", advierte Thomas Avedik, especialista suizo en seguridad bancaria y añade: "Estos ataques ya no necesitan de la 'ayuda' de la víctima, como en el 'phishing', ahora son más sofisticados".
Esta amenaza silenciosa, representa un negocio millonario para la ciberdelincuencia. Según la empresa de seguridad estadounidense Blue Coat System, el 60% de los usuarios de la banca electrónica han estado expuestos a este tipo de robo, lo que ha generado píérdidas anuales de 1.000 millones de dólares (709.850 millones de euros) en todo el mundo.
Muchos bancos importantes saben del peligro que representan este tipo de amenazas, pero optan por no hacer públicas las cifras sobre los casos o los montos que representan los robos; ya que pondría en riesgo no sólo su imagen, sino la confianza de sus clientes que utilizan los servicios en línea.
Es por ello, que la banca ha optado por absorber los costes de los robos y hacer de la seguridad en sus sistemas una prioridad en su lucha contra los ciberdelicuentes financieros. "Los ataques a la banca en línea son cada días más letales, por lo que se necesita proteger mejor la conexión al banco", opina Avedik.
Existen ejemplos sobre medidas que muchos bancos han optado para mejorar sus sistemas de seguridad. Uno de ellos se encuentra en Suiza, donde Crealogix, una empresa de tecnología y seguridad, ha sido pionera al crear un dispositivo USB 'CLX.Sentinel', que descarga un software especializado, capaz de proteger la conexión al banco mientras se realizan transacciones en línea.
Algunas entidades han instaurado un sistema de claves por coordenadas, o sistemas de doble clave, una para entrar al sistema y otra para operar. Con la tarjeta de coordenadas, el usuario recibe físicamente una tarjeta con varias decenas claves. Cada vez que opera, el banco le solicita una clave distinta, lo que dificulta enormemente la labor del ciberdelincuente.
"Ya no sirve con ver que la web que visitamos tiene una conexión segura y un candado amarillo, ahora se tiene que comprobar y verificar el certificado de autenticidad para ver si estamos en el servidor original de la empresa con la que vamos a operar", explica la Asociación de Internautas (AI), con sede en España.
Los expertos en seguridad no esperan que el problema desaparezca de forma inmediata, pero sí buscan mecanismos para minimizar los ataques.
Ante esta situación, varias empresas tecnológicas recomiendan:
- Mantener actualizados los sistemas operativos y los antivirus, permanentemente
- Nunca enviar o compartir datos sensibles por correo electrónico.
- En general no confiar en la autenticidad de los correos.
- No reutilizar una contraseña que ya se está usando para otra página web.
- Utilizar un 'bookmark' para acceder al banco en línea.
- Tener cuidado con las páginas web que se visitan.
- No descargar archivos de los que se desconoce la procedencia.
- Mantener siempre el contacto con el banco.
