Los Sherlock Holmes del siglo XXI trabajan en el ciberespacio
Quienes combaten el mal debieron ampliar su área de acción a Internet, donde los hechos delictivos crecen y causan fuertes pérdidas.
Por Carlos Manzoni.
Una alta ejecutiva es obligada a depositar 50.000 euros para evitar que se publique su incursión en un sitio de citas sexuales. Al mismo tiempo, un concurso totalmente amañado premia a un hijo de un CEO con un celular último modelo; cuando el chico llegue a su casa, impregnará con un virus los dispositivos móviles de su padre. Ambos son modus operandi del ciberdelito del siglo XXI, pergeñado por malhechores que tienen como aliada a Internet.
Este flagelo, que produce 300.000 ataques por día, está en cuarto lugar de preocupación entre las empresas, algo que las lleva a invertir entre US$ 1 y 10 millones por año en prevención, según cuenta Sergi Gil, responsable de CyberSOC Academy Deloitte.
Gil, que vino a la Argentina de la mano de la Universidad Siglo 21 para entregar una beca y dar una charla sobre ciberseguridad, precisa que el 90% de lo que desembolsan las compañías se destina a máquinas y el resto, a formación de la gente para que esté preparada ante un posible ciberataque.
El hombre cuenta que las acciones de una empresa perdieron 15% en un día, luego de que los accionistas se enteraron de que sus redes habían sido infectadas y violadas por crackers (así se denomina a estos delincuentes, para diferenciarlos de los hackers). ¿Y quién es la persona más atacada? «La secretaria del alto directivo», acota. «Porque es ella la que tiene la agenda completa, guarda todos los números de cuentas bancarias de su jefe y hasta sabe si tiene una amante», explica este barcelonés, fanático de Barcelona y con butaca en el Nou Camp.
Lo peor de este panorama no son las cifras, sino el hecho de que «los buenos» están siempre por detrás de «los malos». Para Gil, una empresa debe saber anticiparse a los ataques, mediante inteligencia; luego se tiene que dar cuenta de que es atacada, y, por último, debe saber reaccionar al ataque. «No sólo a nivel técnico, sino a nivel de comunicación y jurídico», agrega.
Otra mala noticia. «No hay en las empresas recursos formados para anticipar los ataques», dice Gil. Es en ese contexto en el que llegó a la Argentina para incentivar a los alumnos de la Universidad Siglo 21 a tomar la certificación internacional (curso específico), creada entre Deloitte y Red Ilumno. Sólo en la Unión Europea hay una oferta de empleo para 700.000 personas, que no llega a cubrirse.
Sergi dice que el cibercrimen mueve más dinero que el narcotráfico, el contrabando de armas y la prostitución; por eso las mafias no se quieren quedar atrás y lo que hacen es contratar a gente que se dedique exclusivamente a hacer ataques. «Antes lo que hacían era tirar el virus en Internet y esperar la pesca de algún incauto. Pero hoy eso ha cambiado, y el 95% de los ataques es dirigido, es decir, que se ataca a una persona o una empresa con un objetivo muy concreto.»
Entre los fines específicos está robar mapas, patentes o fórmulas, espiar los mails, las fotos y las claves de la computadora, entre otros. «Esa gente se dedica sólo a eso y, si no lo consigue, harán ingeniería social para lograrlo», destaca Gil.
Hay ciertos rubros en los que es imposible estimar el daño que les puede provocar un ataque de éstos. Porque, por ejemplo, ¿cómo calcular la pérdida de confianza que produce en un cliente de un banco saber que los delincuentes tienen los códigos de todas sus tarjetas? No por nada las que más invierten en ciberseguridad son las entidades financieras.
¿Algún recaudo personal? Los ejecutivos, según Gil, tienen que hacer contraseñas largas y cambiarlas cada seis meses. El ingenio de los «malos» no tiene límite: «Un grupo montó una empresa de eventos, hizo varios y llegó a un acuerdo con un colegio, con premios y preguntas. Uno de los regalos era un celular, cuyo ganador ya estaba marcado y no era otro que el hijo de un alto ejecutivo. El chico llegó a su casa, se conectó a Wi-Fi al mismo tiempo que su padre y así habilitó a los delincuentes toda su información privada y de la firma».
El 66% de los ciberataques es por culpa o negligencia de empleados. Ese porcentaje se podría resolver en un 80% con formación. Los maleantes van tanto a empresas grandes como a pymes. En las primeras tienen grandes recompensas, pero en las últimas les es mucho más fácil acceder.
De las pymes no sólo tienen su información, sino la de sus clientes. En cuanto a geografía, Gil deja en claro que América latina está igual de «infectada» con estos delitos que Europa, África y Asia. «Quien está un poco mejor es Estados Unidos, porque allí son más conscientes e invierten antes», cuenta.
Las industrias más atacadas en la actualidad son las de manufactura, debido a la información que manejan (Apple, Google, las automotrices y las farmacéuticas, están entre ellas) y las de venta electrónica. El costo de una auditoría o consultoría sobre este tema va desde US$ 3000 hasta 100.000 por servicio.
A nivel jurídico, hay muchas lagunas y, por lo general, la ley corre por detrás de los ciberdelitos. Además, hay una especie de «paraísos para el ciberdelito», como por ejemplo Rusia y Rumania. Los delincuentes lo saben, entonces, aunque vivan en otros, lanzan los ataques desde esos lugares para que no se los pueda penar.
Será por todo esto, tal vez, que ya se habla acerca de que Internet es el quinto escenario de guerra en el mundo, luego de la tierra, el agua, el aire y el espacio.
Dramático crecimiento del robo de dinero por la Web
Por Ariel Torres.
Casi se echa de menos la época en la que los virus buscaban destruir la información en las computadoras. Ahora es mucho peor. Hoy los programas y técnicas maliciosas buscan robar dinero. El sociópata que lanzaba un software dañino a la Red ha sido reemplazado por grupos organizados que infectan computadoras y móviles para robar credenciales bancarias y de comercio electrónico. Otra de las variantes intenta -y con desoladora frecuencia consigue- explotar los recursos de nuestro sistema: la conexión con Internet y el espacio de disco, para luego usar esas redes robot (botnets, en la jerga) para distribuir otros virus y publicidad no solicitada. Ese tiempo de red se alquila a terceros.
Los virus han mutado, en sintonía con los tiempos, y la diversidad abruma. Si hace 25 años existía un puñado de modos de ataque, hoy la lista llena volúmenes y los números cortan el aliento. La compañía de seguridad Kaspersky Labs consigna, basándose en estadísticas que recoge automáticamente, que en 2014 detectó más de 6000 millones de ataques, y que el 38% de los usuarios habían sufrido al menos un incidente de seguridad en la Web el último año.
Algunas formas de ataque son particularmente escalofriantes. Tal es el caso del ransomware, que creció 165% en el mundo en el primer trimestre del año, y ya ha llegado a la Argentina, según la empresa de seguridad Intel Security (ex McAfee). Este tipo de malware llega como un adjunto por correo electrónico e insta al usuario a abrirlo con alguna excusa apremiante. Si la persona le da doble clic se dispara un programa que encripta los documentos de la computadora, para luego pedir un rescate en bitcoins (moneda virtual). La suma equivale a unos 500 dólares.
El cuento del tío virtual
Gran parte de la metodología de los ataques informáticos de la actualidad se basa en lo que se conoce como ingeniería social. Es decir, trucos para convencer a las víctimas de abrir un archivo malicioso o instalarlo. Tal fue el caso del sonado virus que infectó más de 100.000 cuentas de Facebook en febrero pasado y que hace un par de semanas volvió a ser noticia. En el muro de los usuarios de la red social aparecía una publicación de alguno de sus contactos que prometía un video pornográfico. Los que intentaban verlo se encontraban con un aviso razonable: era necesario actualizar el reproductor de Flash. Los usuarios, sometidos a actualizaciones constantes, cayeron en la trampa y obedecieron la orden del pirata informático. Descargaron la supuesta actualización y la ejecutaron.
Nunca pudieron ver ningún video. En cambio, sus navegadores quedaron infectados con una extensión que publicaba en el muro de 20 de sus amigos en Facebook el mismo post del video para adultos. Algunos cayeron a su vez en la trampa y, unos minutos después, estaban propagando el ataque, sin siquiera darse cuenta. Y no era la primera vez.
En 2011, a los usuarios de Facebook se les ofreció la posibilidad de instalar el botón No me gusta en sus cuentas. Para eso, sólo debían copiar y pegar un fragmento de código en sus navegadores. Sin entender lo que ese código decía, los que obedecieron el pedido terminaron con sus cuentas infectadas y, de nuevo, propagando el ataque.
Pero detrás de esta ingeniería social hay mucho más que el ánimo de molestar. El virus del video pornográfico esconde, en realidad, un componente que lee lo que escribimos en el teclado. Así, es capaz de robarse contraseñas, números de tarjetas de crédito y datos para suplantar la identidad del usuario.
Otra de las amenazas activas en la Argentina es el phishing(jerga por fishing, «pescar» en inglés), que funciona del siguiente modo. La víctima recibe un mensaje de correo electrónico que, supuestamente, proviene del banco con el que opera. El aspecto de la comunicación es perfecto; nadie dudaría que se originó de forma legítima. En ese mail, la supuesta entidad bancaria alerta al cliente de que sus datos podrían haber sido comprometidos (es una de las muchas excusas) y lo urge a entrar a la banca online. Para mayor comodidad (ahí viene la trampa) le ofrece un link que lo llevará directo a la página de ingreso. La persona, asustada, da clic y, en efecto, la página a la que accede es la que ve todos los días al conectarse al home banking. Idéntica hasta el último pixel. Sólo que acaba de entrar en un sitio que simula ser un banco. El resto es previsible: cuando ponga su contraseña, el sitio fraudulento se la robará.
Lamentablemente, según el mismo estudio de Intel Security citado antes, el 97% de las personas en el nivel mundial es incapaz de identificar los mensajes de correo electrónico peligrosos. Los menores de 18 años en la región Asia-Pacífico -continúa el estudio- se desempeñaron mejor que los adultos, identificando 7 de cada 10, un promedio más aventajado del que obtuvieron los jóvenes en América del Norte y América latina, con 6 de 10.
Un segundo de reflexión
Es que resulta imposible vencer la ingeniería social instalando un antivirus o intentando discernir si ese mensaje tentador o atemorizante es legítimo. Existe, no obstante, un truco que, si se aplica sistemáticamente, puede desactivar estos engaños. Para entenderlo hay que observar cuál es el punto débil del delincuente informático. Para que la trampa funcione, sus víctimas deben ejecutar una acción. Darle doble clic a un adjunto, ir a un sitio, instalar un programa en la computadora o una app en el smartphone, copiar y pegar un fragmento de código, y sigue la lista.
Sin ese pequeño, en apariencia insignificante eslabón, no podrá infectar el equipo y su estrategia fracasará. Por eso, si un mensaje -cualquiera y en cualquier servicio- solicita que se ejecute una acción en nombre de alguna urgencia que nos afecta emocionalmente, entonces es una trampa. Siempre.
Como el delincuente convencional, el que ataca computadoras va donde el público se reúne. Así, los móviles están también bajo fuego. El estudio de Kaspersky mencionado antes detectó más de 4,6 millones de paquetes de instalación de programas móviles maliciosos. Entre noviembre de 2013 y octubre del año pasado, la compañía había identificado casi 1,4 millones de ataques. En el mismo período de 2012-2013 ese número había sido de 335.000.
La buena noticia -si acaso- es que los criterios que ayudan a prevenir incidentes en las demás plataformas también es de utilidad aquí. En especial aquello que concierne a la ingeniería social.
Sólo el comienzo
Pero la batalla contra el crimen informático organizado no ha hecho sino empezar. Un documento técnico de Cristian Borghello sobre cibercrimen bancario, que la compañía de seguridad ZMA ofreció a LA NACION, es palmario. «El malware puede ser detectado y eliminado por los antivirus pero, debido a las ganancias exorbitantes de los delincuentes, la innovación y evolución del malware, el juego del gato y el ratón es cada vez más sólo el juego del ratón», dice Borghello luego de analizar nuevas técnicas usadas para robar información sensible de los usuarios.
Algunas de ellas -continúa Borghello- consiguen infectar el sistema operativo, el navegador o la aplicación móvil de la víctima y sortear de este modo el cifrado que hay entre el banco y el cliente o la autenticación en dos pasos (por ejemplo, por medio de un código enviado por SMS). Los delincuentes buscan también infectar las terminales de los puntos de venta y los cajeros automáticos. Los ingenieros de seguridad informática crean nuevas formas de defenderse y la batalla continuará, tal parece que por mucho tiempo. Entre tanto, sigue siendo aconsejable no ejecutar una acción que se nos pide con un pretexto urgente que nos tienta o nos asusta. Desde Troya para acá, este mecanismo ha permanecido inmutable.
Las técnicas más difundidas
Ransomware
El virus encripta los documentos del usuario y luego pide un rescate en bitcoins
Phishing
Un mensaje que parece ser del banco conduce a un sitio fraudulento que roba las credenciales
Botnet
La computadora es obligada, de forma subrepticia, a funcionar como parte de una red que el delincuente controla remotamente.
Revelan lo fácil que es hackear cualquier cuenta de WhatsApp
Por Ricardo Braginski.
Sólo se necesita tener acceso unos minutos al teléfono de la otra persona. Lo demostró un hacker español.
No conviene dejar el celular fuera de control ni siquiera por unos minutos. Eso es lo que puede demorar cualquier persona, aún con pocos conocimientos técnicos, para robar la cuenta de WhatsApp y hacerse de todos los contactos y la historia de conversaciones que uno tenga. Lo acaba de descubrir el hacker español Chema Alonso, que advirtió los usuarios que tengan mucho cuidado dónde dejan su celular y le envió a la empresa una sugerencia para que solucione este problema.
«La verdad es que de tan simple este método da hasta un poco de miedo. Con que solo dejes el celular en tu escritorio y vayas al baño, cuando vuelvas ya te pueden haber robado la cuenta. Y si el atacante quiere, te va a costar mucho recuperar tus datos», le dice a Clarín Chema Alonso, un hacker conocido por mostrar cómo se vulneran sistemas muchos más complejos.
El procedimiento, efectivamente, es sencillo. Lo primero que hay que tener es un celular con la aplicación recién descargada y sin activar (los más sofisticados pueden usar un emulador de celular en la PC que hace lo mismo). En ese equipo se debe activar la aplicación. Cuando pregunta cuál es el número de teléfono, se pone el de la víctima.
WhatsApp ofrece dos formas de verificar la autenticidad de la línea telefónica. La más usada y más simple es a través de un SMS. El mensaje llega al celular y en un par de clics, la cuenta WhatsApp ya sale andando. Pero como el SMS es un sistema que muchas veces no funciona bien, el mensajero da la opción de que el código llegue a través de un llamado telefónico. Esta última opción es precisamente el punto débil por donde se puede meter el intruso. Y esto esa así porque cuando ingresan las llamadas entrantes, los celulares automáticamente desbloquean el equipo (patrones y contraseñas) y cualquiera puede atender la llamada. Esa llamada informará el nuevo código.
Una vez que tiene el nuevo código, al intruso solo le queda introducirlo en el otro celular. Accederá a los contactos y conversaciones. Al estar en el nuevo teléfono, la cuenta se borra del celular original. El intruso tiene mucho tiempo para espiar o hacer desastres haciéndose pasar por el usuario original: el tiempo que el dueño de la línea tarde en advertir el robo más otros 30 minutos que es lo que demora WhatsApp en reponer la cuenta. «Peor aún, porque la primera vez te da 30 minutos, pero si el atacante vuelve a solicitar acceso la segunda vez da una hora y así va subiendo hasta a 4 horas», dice Alonso.
Francisco Amato, experto en seguridad informática y CEO de Infobyte, afirma que para que el sistema sea más seguro «debería haber una instancia más entre la llamada y la habilitación de la cuenta». Fuentes de la industria le dijeron a Clarín que WhatsApp usa uno de los sistemas de encriptado más avanzados, y que esto hace que los datos estén muy protegidos dentro del sistema. Aunque parece que descuidaron la puerta de entrada.
La mayoría de los empleados están conscientes de los riesgos cibernéticos pero no los toman en cuenta en la práctica.
La utilización inapropiada de las herramientas informáticas puede ocasionar problemas.
Una investigación mundial sobre seguridad empresarial reveló que los empleados suelen visitar sitios web inapropiados cuando están en sus trabajos, a pesar de ser conscientes de los riesgos que esto podría ocasionar a sus empresas.
Blue Coat Systems, que fue llevada a cabo por la empresa de investigación independiente Vanson Bourne, involucró a 1580 encuestados de 11 países y destacó una tendencia global a ignorar los riesgos cibernéticos en el trabajo por parte de los empleados.
Según el estudio, los empleados no son consecuentes con su conocimiento de la cantidad cada vez mayor de amenazas cibernéticas. Y este comportamiento puede hacer que la información confidencial de la empresa y del individuo quede expuesta al robo y el uso inmediatos, al almacenamiento para su uso en el futuro, o a la venta a un mercado negro en el que las identidades vulneradas de la empresa y del individuo se comercializan globalmente.
Una fuente de amenazas cibernéticas es la práctica de phishing. Los delincuentes cibernéticos realizan extensas y continuas investigaciones de los perfiles sociales de los empleados con el objetivo de encontrar información que puedan utilizar para atacar a las organizaciones. Por ejemplo, un atacante puede crear un correo electrónico aparentemente personalizado y dirigirlo al administrador de TI de una gran empresa utilizando información obtenida de perfiles de redes sociales, como el equipo preferido del destinatario. Dicho correo electrónico puede contener malware que se descarga cuando el destinatario hace clic en el enlace incluido en el texto.
La pornografía sigue siendo uno de los métodos más populares para ocultar malware o contenido malicioso. Si bien los trabajadores son conscientes de las amenazas que suponen los sitios con contenido para adultos, siguen visitando estos sitios potencialmente peligrosos. La encuesta de Blue Coat develó que China tiene el récord más alto (19 %) de visitas a sitios con contenido para adultos desde un dispositivo de trabajo, y la siguen de cerca México (10 %) y el Reino Unido (9 %).
La mayoría de los participantes de la encuesta mundial admitió que comprende las evidentes amenazas cibernéticas que supone la descarga de adjuntos de correos electrónicos que provienen de remitentes desconocidos, o el uso sin autorización de redes sociales y aplicaciones no aprobadas en redes corporativas; pero que, aun a sabiendas, no dejaron de correr el riesgo.
También se develó que si bien el 65% de todos los encuestados considera que utilizar una aplicación nueva sin el consentimiento del departamento de TI es un riesgo importante para la seguridad cibernética de la empresa, el 26% admitió que lo hace. En México, cerca de un tercio (30%) de los encuestados reconoció que utiliza aplicaciones nuevas sin el permiso del departamento de TI, en comparación con el 26 % en Brasil.
En el trabajo aún se corren riesgos evidentes, como abrir correos electrónicos que provienen de remitentes no verificados.Entre los empleados mexicanos, casi la cuarta parte (24%) abre adjuntos de correos electrónicos que provienen de remitentes no verificados, a pesar de que la gran mayoría (71%) lo considera un riesgo importante, mientras que entre las empresas brasileñas, el 76% considera que la amenaza es un tanto más grave y solo el 16% abre correos electrónicos no solicitados.
Cerca de la mitad de los empleados (41%) utilizan sitios de redes sociales por cuestiones personales en el trabajo; esto supone un riesgo importante para las empresas, dado que los delincuentes cibernéticos ocultan el malware en enlaces abreviados y vulneran el tráfico encriptado para entregar cargas útiles.
Solo el 6% de los encuestados admitió que ve contenido para adultos desde dispositivos de trabajo. México ocupó el primer lugar: uno de cada diez empleados (10%) admitió ver contenido para adultos en el trabajo, mientras que en Brasil y los EE.UU. lo admitió el 5%.
A modo de reflexión, Ignacio Conti, gerente regionali de la empresa para el Cono Sur de América Latina, señaló que «aunque la mayoría de los empleados están conscientes de los riesgos cibernéticos, no los toman en cuenta en la práctica». Y agregó que «la tecnología orientada al consumidor de TI y las redes sociales ofrecen ventajas y desventajas a las empresas. Ya no es realista evitar que los empleados las utilicen, por lo tanto, las empresas deben encontrar maneras de admitir estas alternativas tecnológicas y a la vez mitigar los riesgos de seguridad».
Este software es recomendado por bancos prestigiosos como el Santander Río.
Esta es una época de software malicioso y fraudes bancarios.
Brindamos por una seguridad en línea dedicada en la que puede confiar.
Proteja su identidad y su cuenta contra fraudes y delincuentes cibernéticos: están allí afuera intentando entrar.
Descargue Trusteer Rapport. Confíe en que su cuenta estará protegida.
Usted no cuenta con demasiada seguridad en línea. Debería.
El software malicioso y la suplantación de identidad (phishing) permiten a los delincuentes cibernéticos obtener acceso a su computadora, números de cuenta e información personal. Es posible que tarde días o semanas en detectarlo, pero para entonces será demasiado tarde.
Trusteer Rapport se esfuerza para protegerlo.
Funciona a la par de su actual software de seguridad, incrementando su protección y reduciendo la susceptibilidad ante conductas delictivas; además, lo protege contra amenazas que su antivirus no puede detectar. Trusteer Rapport verifica que usted esté conectado al sitio Web real de su banco y crea una línea de comunicación segura.
Se ha demostrado que Trusteer Rapport es efectivo contra el software malicioso financiero avanzado
Fácil de utilizar.
No sufrirá demoras.
Puede descargar e instalar Trusteer Rapport en solo unos minutos. Se ejecuta en segundo plano, por lo que las tareas de su computadora continúan absolutamente sin interrupciones. Una vez instalado, aparecerá un pequeño ícono de Trusteer Rapport junto a la barra de dirección del explorador y cambiará de color para informarle cuando esté funcionando.
Un grupo de hackers robó millones a varios bancos, según Kaspersky
Por Danny Yadron y Emily Glazer.
SAN FRANCISCO (EFE Dow Jones) — Una banda de piratas informáticos rusoparlantes robó millones de dólares desde finales de 2013 a varios bancos en Rusia, Europa del este y Estados Unidos, según un informe de Kaspersky Lab ZAO, una firma de seguridad informática rusa.
No está claro exactamente cuántos bancos o cuáles se han visto afectados. Algunos ejecutivos del sector financiero estadounidense han recibido información sobre lo descubierto, según fuentes conocedoras de la situación. El gobierno estadounidense tuvo constancia del informe el domingo, aunque algunas fuentes gubernamentales se mostraron escépticas sobre cuánto dinero en bancos estadounidenses se habría perdido.
El informe ofrece una de las visiones más detalladas sobre cómo ha evolucionado la delincuencia en la era informática. Los ladrones capturaron en vídeo lo que ocurría en pantallas de ordenador de los bancos para aprender cómo imitar el modo en que los empleados de las entidades acceden a sus sistemas. Piratearon computadoras que controlan cajeros automáticos para que entregaran dinero cuando los delincuentes pasaban por delante de ellos. También lograron traspasar fondos de una cuenta a otra, aparentemente sin ser descubiertos.
La ubicación de los piratas informáticos no está clara. Algunos de sus servidores están en China y algunos de los dominios de sus páginas web parecen registrados a nombre de ciudadanos chinos, según el informe. Pero, como destaca Kaspersky, estas pistas podrían ser falsas, como se ha demostrado en el pasado.
El Servicio Secreto estadounidense y el FBI no respondieron inmediatamente a las solicitudes de comentarios. La noticia sobre el informe de Kaspersky la dio en primer lugar el diario New York Times.
La gran mayoría de bancos atacados parece estar en Rusia, según el informe. Los analistas de la firma lograron acceder a tres servidores de los piratas y encontraron direcciones de Protocolo de Internet de los posibles objetivos. Kaspersky halló que 178 direcciones IP de estas están vinculadas a Rusia y 37 a Estados Unidos, según el informe. Cada dirección podría no pertenecer a un banco distinto o a un banco que perdió dinero.
Según el informe, un banco perdió US$7,3 millones en el fraude en los cajeros automáticos y otro perdió US$10 millones porque los piratas atacaron su “plataforma de banca online”. Kaspersky estima que las pérdidas acumuladas podrían ascender a US$1.000 millones.
Quizá lo más preocupante del caso es que los piratas informáticos utilizaron para acceder a los bancos agujeros de seguridad ya conocidos en el software de Microsoft Corp, para los que la compañía había publicado “parches”. Si las empresas hubieran actualizado su software, los piratas habrían tenido que encontrar otro modo de acceder, según el informe.
Kaspersky rastreó al grupo de delincuentes hasta 2013 y dice que nada parece indicar que hayan dejado de robar.
Fuente: The Wall Street Journal, 16/02/15.
——————————————————–
Cómo la búsqueda de una contraseña perfecta se puede volver una paranoia.
Por Lisa Pollack.
Después de un largo período de incubación, me temo que la paranoia digital de mi novio me ha infectado totalmente. Todo comenzó cuando empecé a sufrir de una persistente sensación de incompetencia con respecto a cuántas veces había reutilizado la misma contraseña de ocho caracteres en múltiples sitios web. Mi novio es un desarrollador de software y la seguridad en línea es una de sus especialidades, así como sorber el mismo café durante varias horas mientras leo en un bar es mi especialidad. Sabía que el utilizar la misma débil contraseña una y otra vez era un riesgo de seguridad, pero era tan práctico y tentador como almorzar todos los días en un restaurante en lugar de llevar comida preparada de mi casa a la oficina.
Junto con estos sentimientos yo tenía sensaciones de duda con respecto a los permisos que había concedido a las aplicaciones descargadas desde la tienda de Google Play a mi teléfono inteligente. Enviar mensajes SMS no parece ser algo que tenga que hacerse por medio de un juego y, al permitirle a la aplicación hacerlo por mí, podría haberle abierto la puerta a ladrones virtuales. Los programadores de la aplicación podrían hacer que mi teléfono enviara mensajes a números de tarificación adicional que ellos habían programado. Debí limitarme a descargar el Sudoku y nada más.
El malestar por compartir demasiado en Facebook es, me he dado cuenta, el más fácil de los problemas de paranoia digital de sanar. Al ver cuán inexactos son los anuncios “personalizados” en Facebook la sensación de persecución se evapora al instante: no bebo Starbucks ni loca, no quiero una tarjeta de crédito y yo no voy a adoptar un niño. Es simplemente ridículo imaginar que quiera tomar un café que sabe como si lo hubieran hervido 10 veces.
Pero es la insuficiencia en materia de contraseñas lo que me estaba causando la mayor molestia, así que decidí hacer algo al respecto. Gracias a las investigaciones de mi novio, descargué un gestor de contraseñas que almacena todas tus contraseñas en una bóveda en línea. La bóveda sólo se puede acceder por medio de una única contraseña maestra que, si se establece correctamente, es tan larga y complicada que memorizar tractos de Los Cuentos de Canterbury parece cosa de niños. Y aunque yo no quiero dar la impresión de que la longitud es una medida importante para todo en la vida, me he dado cuenta que mi contraseña maestra es más larga que la de mi novio.
Lo que hace que esta solución sea efectiva es que el tener contraseñas almacenadas estimula a restablecerlas aleatoriamente en los distintos sitios web. De esa manera, mi novio explicó, si la seguridad de un sitio determinado se ve comprometida, el daño es limitado. Los criminales cibernéticos no podrán tener acceso a mi cuenta de PayPal porque comprometieron la base de datos de AirBnB, a pesar de que podrán cancelar nuestra estancia en un ático encantador durante nuestras vacaciones, pero realmente dudo que exista gente tan malvada …
Los gerentes de contraseñas también ofrecen la posibilidad de “añadir accesorios”, y como detesto hacer las cosas a medias, me interesé en ello. Mi novio pidió un “dongle” – llamado un “YubiKey” – para poner en su llavero, mientras yo opté por descargar una aplicación en mi teléfono llamado “Google Authenticator». Ambas metodologías permiten una medida de seguridad adicional conocida como «autenticación de dos factores», pero mi accesorio me permite aparentar ser un agente de la CIA en lugar de un conserje. Los códigos generados por la aplicación de Google, los cuales se registran periódicamente en el administrador de contraseñas, se autodestruyen cada 30 segundos, así que se ve aún más intrigante.
A pesar de que todo esto ha aliviado mi sensación de inseguridad con respecto a las contraseñas, también ha tenido un efecto secundario inesperado. Cuando veo a un colega entrar una contraseña de siete caracteres de memoria, no puedo evitar pensar cuán pintoresco luce. Todas mis contraseñas, excepto la contraseña maestra, tienen entre 12 y 15 caracteres y se generan aleatoriamente. Hasta saber de memoria más de varias contraseñas parece algo anticuado. Mi nivel de esnobismo digital ha crecido tanto y tan rápidamente, que mi obsesión por un buen café parece algo pueril.
El virus “Heartbleed Bug”, que comprometió el método de cifrado utilizado en aproximadamente dos tercios de todos los sitios web, empeoró aún más las cosas. La vulnerabilidad, descubierta en abril, permitió a los “hackers” robar información de un número incalculable de sitios web. Yo había almacenado alimentos antes de la hambruna y agua antes de la sequía – ¡y estaba lista cuando el Apocalipsis digital llegó!
Esto ha fortalecido mi determinación por protegerme digitalmente aún más. ¿Debería quizás pensar en una instalación de almacenamiento en la nube más segura? O instalar un sistema operativo diferente en mi teléfono que me permita descargar una nueva aplicación para tener opciones de privacidad todavía más granulares? Fue entonces que me di cuenta: mi paranoia digital se había convertido en una enfermedad crónica. Y me temo que pueda ser contagiosa.
Fuente: The Financial Times, 2014.
——————————————————-
Robo de Identidad y Fraudes Fiscales se juntan en tiempos de declaraciones de impuestos
El fin de año (en Argentina la época de Abril/Mayo) suele venir acompañado del cierre fiscal para muchos individuos y empresas. Sin embargo, el crimen organizado también dice “presente” cuando es tiempo de presentar las declaraciones anuales de impuestos sobre la renta, mediante la presentación de reclamaciones falsas de retornos de impuestos. Lamentablemente esta modalidad se está convirtiendo en una tendencia global.
Mediante el uso de sitios Web que dicen ser aprobados por las autoridades fiscales, los criminales ofrecen falsos servicios de preparación de declaraciones de impuestos en línea. De esta forma, obtienen los datos personales y la información salarial de los contribuyentes desprevenidos.
Otras veces la información no es capturada “en línea”, sino mediante la colaboración de cómplices que trabajan en ancianatos u hogares de cuidado de personas mayores, quienes suelen ser víctimas de robo de identidad y de fraude financiero.
También se han detectado casos de cómplices en escuelas o en instituciones militares que obtienen acceso a la información personal de las víctimas, con la cual pueden hacer reclamaciones fraudulentas al ente fiscal y recibir dinero sin que la víctima se entere, explicó Richard Weber, jefe de la División de Investigaciones Criminales del Servicio de Rentas Internas (IRS por sus iniciales en inglés).
Las autoridades de Estados Unidos han detectado un incremento en esta modalidad de fraude, por lo cual el IRS está orientando más recursos para investigar mejor el «alarmante» aumento de las devoluciones de impuestos* robadas.
En los últimos dos años, el esquema que combina el robo de identidad y el fraude fiscal «rápidamente pasó a ser un problema global». Los investigadores estadounidenses han detectado que organizaciones criminales de Europa del Este están involucradas.
Complicidad Bancaria
«A menudo los delincuentes consiguen cómplices en los bancos para que miren hacia otro lado cuando el criminal cobra varios cheques del [Departamento del] Tesoro con diferentes nombres o aceptando cientos de devoluciones depositadas electrónicamente en una sola cuenta», explicó Weber, en la 11ª Conferencia Anual sobre Antilavado de Dinero y Crimen financiero de ACAMS en Las Vegas.
Un oficial de cumplimiento de un banco neoyorquino indicó que el software antilavado tiene que jugar un papel vital en la detección de estos esquemas de fraude. El software de monitoreo transaccional utilizado por las instituciones financieras debe alertar a los oficiales de cumplimiento si una única cuenta está recibiendo múltiples retornos fiscales, o si el nombre del titular de la cuenta no coincide con el nombre del destinatario del reembolso del ente tributario.
Pero muchas veces «ese no es el problema. Las podemos ver [las transacciones], es sólo que casi siempre es demasiado tarde cuando lo hacemos «, dijo el empleado bancario, quien pidió no ser identificado. «No es como el cumplimiento de las sanciones que la operación se detiene en seco al ponerlas en observación. Vemos [los crímenes de identidad robada y devoluciones fraudulentas] a la mañana siguiente en un informe, y a continuación debemos presentar el reporte actividades sospechosas si es necesario».
Para entonces, los fondos generalmente han sido retirados localmente o transferidos a otra jurisdicción para la organización criminal transnacional, lo que complica los esfuerzos para investigar el fraude y recuperar los activos es improbable, aseguró Martin Ficke, ex jefe de la Fuerza de Tarea El Dorado, un grupo de investigaciones de delitos financieros liderados por agentes de Aduanas y del IRS.
Identificar rápidamente estos crímenes se ve obstaculizado por el hecho de que los bancos no requieren que las personas proporcionen información personal al hacer un depósito directo, precisó el oficial de cumplimiento de Nueva York.
Por su parte, Ficke explicó que las organizaciones criminales internacionales suelen utilizar las cuentas bancarias de cómplices locales (del país donde realizan la estafa) para recibir fondos fraudulentos de reembolsos de impuestos y luego transferir los fondos al extranjero, para eludir el cumplimiento bancario y la detección de las autoridades.
Pero las autoridades están actuando. Hemos adelantado un programa “muy agresivo para infiltrar informantes confidenciales para que podamos subir en la cadena» de mando de las organizaciones, aseguró Weber en Las Vegas. «Es como la investigación de una organización de tráfico de drogas. Si usted va sólo por las mulas de bajo nivel, sólo estás haciendo girar las rueda».
Hablando la semana pasada en una conferencia antilavado de dinero en Nueva York, Weber reiteró que la lucha contra el fraude en las devoluciones fiscales es «una de nuestras principales prioridades». Weber se negó a decir qué regiones de Estados Unidos han sido los más afectadas, pero citó Florida, Alabama y los estados en el Noreste como las áreas con más investigaciones en curso.
En relación al robo de identidad, la cifra de casos reportados es realmente astronómica, ya que en el año fiscal 2011 el número ascendió a 1.125.000, lo que refleja un considerable aumento si se compara con más de 456.000 casos notificados en 2009.
Debido a la gran acumulación de casos, muchas investigaciones no se completan antes de que se inicie la siguiente temporada de impuestos, por lo menos así sucede en Estados Unidos, según Nina Olson, jefe del Servicio de Defensoría del Contribuyente, la agencia federal que supervisa los procedimientos de reembolsos del IRS.
————————————————–
* En Estados Unidos los contribuyentes aportan al fisco durante todo el año una parte de sus salarios. Luego de presentar sus declaraciones, el IRS evalúa los ingresos de cada persona y determina si debe pagar más impuesto o si por el contrario le retorna parte de lo que ha pagado. Esto es lo que se llama “retornos” o “devoluciones” del IRS y son recibidas por la mayoría de las personas entre febrero y abril del siguiente año
Existe una modalidad de fraude denominada phishing, que consiste en “pescar” información de personas desprevenidas para luego emplearla a fin de robar su identidad y también sus fondos.
El phishing es una estafa diseñada con la finalidad de robarle su identidad. El delito se basa en obtener información personal tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos por medio de engaños.
Gracias a que me denegaron un crédito hipotecario, me enteré de que registro una deuda en el Veraz con una empresa de telefonía celular. Como no me dieron mayores datos, tuve que comprar por Internet un informe crediticio completo en el Veraz y pude constatar que registro una deuda con la empresa Claro por la compra de un teléfono y un abono que jamás solicité. Fui a la compañía y me informaron que alguien, con mis datos, quizás un DNI falso y una dirección inexistente, compró en 2009 un equipo a mi nombre, que por supuesto nunca pagó. Me hicieron firmar una «carta de desconocimiento de servicio» para que luego el departamento de fraude evalúe si se trató o no de una estafa.
Mientras tanto pregunto: ¿es tan fácil comprar un bien con documentación falsa? ¿No hay ningún tipo de control? ¿Quién se hará cargo del perjuicio que esto me ocasiona? Me siento indefensa.
Usted no cuenta con demasiada seguridad en línea. Debería.
Trusteer Rapport se esfuerza para protegerlo.
Fácil de utilizar.
El informe ofrece una de las visiones más detalladas sobre cómo ha evolucionado la delincuencia en la era informática. Los ladrones capturaron en vídeo lo que ocurría en pantallas de ordenador de los bancos para aprender cómo imitar el modo en que los empleados de las entidades acceden a sus sistemas. Piratearon computadoras que controlan cajeros automáticos para que entregaran dinero cuando los delincuentes pasaban por delante de ellos. También lograron traspasar fondos de una cuenta a otra, aparentemente sin ser descubiertos.
