La empresa Panda Software lanzó, junto con el Departamento de Delitos Complejos y la Sección Delitos Informáticos del Ministerio del Interior, una campaña en contra el robo de identidad y el fraude bajo el lema "No más fraude on line".

La propuesta de este informe es descubrir cuáles son los puntos claves de esta campaña, junto con la licenciada María Jesús Villagrán, directora regional de comunicación y Marketing de Panda Software; el subsecretario Gabriel Lima del Departamento de Delitos Informáticos, quien nos explicará como funciona este departamento y como hacen para combatir el "cibercrimen". Además Jorge Carbón, director de Cisep (Seguridad de Información, comunicaciones, y aseguramiento de privacidad) demostrará lo fácil que puede ser violar la privacidad de una persona.

En cuento a la campaña "No más fraude on line" fue lanzada la semana pasada y tendrá una duración aproximada de un mes. La misma está orientada a informar, formar y dar soluciones gratuitas a los usuarios de internet, para que aprendan a identificar las amenazas en la web.
Esta es una campaña que surge debido al gran crecimiento mundial de este tipo de delitos. Por ejemplo, en 2003 casi siete millones de personas en el mundo fueron víctimas de robo de identidad, cifra que equivale a 19.178 víctimas por día o 13,13 robos por minuto. Todos estos datos los pueden encontrar en la página oficial de la campaña contra el fraude on line:  www.nomasfraude.com.uy.

Además, en la web pueden encontrar información sobre los tipos de amenazas que circulan por la red, soluciones, antivirus diseñados especialmente contra el robo de identidad. También hay un canal de denuncias a través del cual los usuarios pueden denunciar o consultar dudas sobre  virus, spam, u otro tipo de amenazas.

Sobre esta nueva la propuesta consultamos a la directora regional de Panda Software, María Jesús Villagrán: "teníamos algún antecedente de estar trabajando en colaboración, por razones obvias, dado que ellos están avanzando cada vez más en la materia y también porque queríamos trascender el carácter informativo y de difusión que sí tiene la campaña. Y es importante porque uno de los principales objetivos es crear consciencia, pero también llegar a la acción y tomar medidas y generar un espacio de denuncia para que los internautas tengan un lugar a donde recurrir si es que fueron víctimas de un fraude on line o  robo de identidad o tienen un correo electrónico que le resulte sospechoso", señaló.

Villagrán indicó que uno de los principales objetivos de esta campaña es generar conciencia en los usuarios. Además, señaló que la información puede ser la base de la lucha contra el "cibercrimen": "La primer medida preventiva es la información, más que ningún software. Eso es lo más importante, que la gente sepa de lo que se está hablando porque son ataques de tipo silencioso, no son como las cadenas que había antiguamente que eran virus que salían en todos los medios de comunicación porque infectaban millones de computadoras, porque eran muy visibles. En este caso es oculto y es muy difícil que alguien se de cuenta que tiene este tipo de troyano o de malware instalado", explicó.

Muchos deben recordar cuales eran los objetivos de los denominados "hackers" o "crackers". El objetivo principal de los "hackers" era darse a conocer en la red, más o menos como decir este soy yo y esto es lo que puedo hacer, algo que nació como un juego de niños prodigio. Hoy los objetivos son otros y estos piratas responden a intereses políticos y económicos. Las herramientas para llegar a lograr el objetivo son muchas, desde el clásico virus troyano, hasta el malware, pasando por el spyware y el phishing.

Algunos conceptos claves para tener en cuenta. Un troyano es un  virus informático o programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de internet, con el fin de obtener la información.

El spyware recoge información de las computadoras de los usuarios y las envían a empresas publicitarias.

El phishing es un método empleado por "hackers" para obtener  información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobre tarjetas de crédito, a través de un correo electrónico falso.

Sobre estos métodos Villagrán señaló: "Tenemos el clásico phishing que ahí a lo que apela es a la ingeniería social, recursos para engañar al usuario en este caso vía correo electrónico utilizando la misma imagen institucional de una institución financiera y dirigiéndolo a un website falsificado para tomar sus datos".

Muchas de las víctimas de un ataque de estas características, tal vez nunca se hayan dado cuenta de lo sucedido hasta que hicieron una transferencia bancaria o por la llegada del estado de cuenta de una tarjeta de crédito.

Sobre estos ataques silenciosos Jorge Carbón, director de Cisep, indicó que "la opinión en general es `a mi nunca me pasó´, `esto no es probable que pase´. (...) Frente a esto yo en Chicago recuerdo haber escuchado a un agente del FBI que decía que existen categorías de personas: los que dicen que les ha pasado. Dentro de los que dicen que no les ha pasado hay tres categorías: los que les pasó, lo saben y no lo quieren reconocer; los que les pasó y no lo saben; y los que realmente no les pasó".

Carbón abre una punta interesante, dado que muchas veces se trata de un tema de prestigio social.

Si nos ponemos un segundo en el lugar de una empresa que trabaja con internet o que le permite el acceso a los usuarios por intermedio de una página web. Por ejemplo, la página web de un banco en el cual se puede chequear los estados de cuenta y hacer consultas aquí está en juego el prestigio de la empresa. Debemos tener en cuenta que la mayor cantidad de los ataques de los "hackers" van dirigidos a diferentes entidades financieras, logrando realizar transferencias de dinero a otras cuentas en cualquier otra parte del mundo.

Hace unas semanas que está circulando en la red un nuevo virus troyano que tiene la capacidad de robar datos mediante la captura de imágenes de todo lo que pasa en el monitor y enviarlas al atacante. ste troyano fue creado para obtener claves de acceso a entidades financieras de América Latina (entre ellas Uruguay), Estados Unidos, España y Portugal.

En Uruguay, este troyano está destinado a bancos como BBVA, Nuevo Banco Comercial, Banco Surinvest, Bank Boston y City Bank. Sería alarmante enterarse que la página web del banco en el que uno deposita el dinero mensualmente fue víctima de ataques dirigidos con el fin de obtener información importante y allí realizar transacciones de dinero.

Sin embargo, las autoridades mundiales que castigan a estos cibercriminales están convencidos de que esto sucede y que los bancos ocultan la información de posibles ataques.

Gabriel Lima, de la División de Delitos Informáticos del Ministerio del Interior, es uno de los que está convencido de que en Uruguay, esto también pasa: "Extraoficialmente tenemos certeza que hay delitos que no se denuncian por razones lógicas. (...) Por ejemplo si vos sos un gerente de un banco y un hacker entró a la base de datos y te sustrae números de cuenta y te roba dinero del banco, el banco aparte de perder el dinero no va a ganar una mala imagen hacia posibles clientes o los que ya tiene. Entonces algo lógico es que cuenten con una seguridad informática especial para evitar este tipo de ataques de hackers", comentó.

Debido al gran crecimiento que ha tenido éste tipo de delitos informáticos, se creó en 2005, la División de Delitos Informáticos dependiente del ministerio del Interior. Técnicos e ingenieros en redes trabajan diariamente "patrullando la red" en busca de estos criminales que utilizan el ciber espacio –o tierra de nadie- como herramienta de trabajo.

"El pilar de nosotros es el combate a la pornografía infantil, que es el delito que trabajamos en conjunto con los demás. También trabajamos temas de estafas on line, de amenazas de muerte mediante correos electrónicos, msn, blog... No lo podemos trabajar en conjunto con Argentina porque hay diferentes legislaciones...", indicó Lima.

Las amenazas de muerte vía mail son las denuncias que más recibe éste Departamento de Delitos Informáticos. Hace unos días se hizo un procesamiento, que llevó más de un mes, de una mujer por amenazas de muerte por intermedio de msn –más conocido como servicio messenger-.

Cabe destacar que las personas pueden efectuar denuncias a través de 0800 5000 del Ministerio del Interior y las mismas serán derivadas a los departamentos correspondientes. Por ejemplo si usted está siendo víctima de acoso constante vía mail, sepa que también puede denunciarlo. Ya que se ha convertido en víctima de violencia privada, según lo explicó el subcomisario del Departamento de Delitos informáticos.

En cuento a los delitos más comunes en la red, el que ha tenido mayor crecimiento mundial es el famoso robo de identidad. En el cual usuarios a la distancia -o no-, pueden hacerse pasar por otra persona para efectuar acciones destinadas a obtener información de usuarios.

"Cuando decimos robo de identidad nos referimos a cualquier tipo de ataque que atente contra la confidencialidad del usuario. En este sentido, serían los robos de sus datos de carácter altamente confidencial como puede ser por ejemplo un pin, número de cuenta bancaria... o datos de validación que permiten identificar a un usuario en un servicio web", explicó Villagran.

Tal vez el hecho de poder acceder a un código numérico de tarjetas de crédito a muchos les parezca una práctica imposible. Sin embargo, hace años que circulan en la web programas que generan códigos numéricos validos de tarjetas de crédito existentes como Visa, Master Card, entre otras.

"Eso existe ya hace mucho tiempo... Las tarjetas de crédito tienen  una serie de números que generan una cierta validación. Si tu entras en un sitio y pones un número mal te va a decir que es un número incorrecto. Las tarjetas tienen sus procesos de validación, pero hay lugares donde saben generar tarjetas válidas. Por otro lado hay mercados de tarjetas robadas de información sobre tarjetas robadas y tarjetas que tienen límite", explicó Carbón.

¿Cómo se puede evitar ser víctima de un ataque de este tipo? Ya se habrán dado cuenta que en el mundo no existe una solución antivirus 100% segura. Pero Villagrán señaló: "Tratar de no acceder a website de carácter financiero a través de un link, lo más aconsejable es escribir la dirección del site en la barra de direcciones. (...) Siempre que la persona reciba un mensaje de una institución pidiendo los datos de usuario es mejor que se comunique con la entidad para consultar sobre el motivo del mensaje".

Sobre los riesgos que puede presentar un ataque de cibercriminales a gran escala. Por ejemplo, en 2000 un "hacker" australiano, contaminó un suministro de agua potable mediante la manipulación de una conexión inalámbrica que le permitió el vertido de toneladas de aguas residuales.

En 1997 un joven consiguió intervenir un sistema de datos y un teléfono informático que le permitió apagar las luces de un aeropuerto de Massachusett, en Estados Unidos.
Aeropuertos, subtes, represas, centrales eclécticas, suministros de agua, aviones, todo controlado por redes, pueden ser víctimas de ataques de "hackers".

Carbón nos da un panorama de lo que podría llegar a pasar en un ataque a gran escala: "Yo considero que se puede destruir un país, se puede dar un golpe de estado. (...) Cosas que vos decís esto está pero quizá mañana no pueda ni comprar, ni vender, ni cobrar mi jubilación. Si repasas el mes en tu cabeza fijate la cantidad de cosas  que dependen de sistemas informáticos e imagínate si eso no existiera o no funcionara ... Podría generar distorsiones importantes"

Para finalizar una reflexión. Si será imposible ocultar información, que hasta te la podrían estar sacando en este momento por el cable de corriente conectado a la torre de la computadora, según señaló Carbón.

Para obtener más información o si usted cree que está siendo víctima de un ataque de estás características puede denunciarlo por el teléfono 0800 5000. Además en www.nomasfraude.com.uy puede encontrar la información necesaria para evitar éste tipo de ataques.