(Emitido a las 8.26)

EMILIANO COTELO:
"Phishing." ¿Les suena este término? Quizás no, pero de ahora en adelante sin duda le va a sonar a más gente.

Yo estoy diciendo "fishing", pero incluso tengo que verificar si lo pronuncio bien, porque se escribe "phishing". Se trata de un delito que parece que está de moda en Internet y con el cual se intentó hacer caer en las últimas horas a los clientes de un banco de nuestro país, Crédit Uruguay.

Tengo acá el correo electrónico que los clientes del Crédit Uruguay recibieron, firmado por el Departamento de Seguridad de esa institución, cosa que no era así pero así se presentaba. El mail decía:

"Estimado Cliente,

Según nuestros registros informáticos, hemos detectado recientemente que los accesos a su cuenta a través de e-banca han sido realizados desde diferentes direcciones IP.

Esto seguramente se debe a que la dirección IP de su computador es dinámica y varía constantemente, o debido a que usted ha utilizado más de un computador para acceder a su cuenta.

Debido a este suceso y en cumplimiento con la nueva normativa vigente del Banco Central del Uruguay, hemos actualizado nuestros sistemas informáticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectúe una verificación de su actividad reciente. Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta antes del 29 de Abril del 2005. Transcurrida esa fecha, el sistema informático automatizado de CREDIT URUGUAY BANCO suspenderá su cuenta indefinidamente.

Desde ya le agradecemos su cooperación en este aspecto.

Para ingresar a su cuenta a través de e-banca y verificar la actividad de la misma, puede utilizar el siguiente enlace: (aquí se incluía el link al servidor fraudulento)

Apreciamos su ayuda y comprensión, pues trabajamos juntos para que CRÉDIT URUGUAY BANCO sea cada día un lugar más seguro para hacer negocios.

Departamento de Seguridad
Crédit Uruguay Banco"

¿Cómo es esto? ¿En qué medida estamos ante un fenómeno inquietante a esta altura? ¿Cómo opera? Y, sobre todo, ¿cómo hay que precaverse?

Vamos a averiguarlo en diálogo con Jorge Carbón, consultor en seguridad de comunicaciones y director de la firma Cisep (Comunication, Information & Security + Privacy), con quien hemos charlado ya en distintas ocasiones.

***

Jorge, ¿cómo viste esto?

JORGE CARBÓN:
Estaba en el exterior y hoy estoy llegando a San Pablo, casi estoy teniendo noticia por ustedes.

EC - ¿Pero cuáles son los antecedentes?

JC - Me refiero a la noticia de que ha habido un phishing en Uruguay. El phishing había trabajado mucho en Brasil, de hecho la mayor cantidad de delincuentes procesados y ubicados son de origen brasileño, luego sobre fin de año se había trabajando bastante en Chile y Argentina. Esas eran las actividades de phishing que había habido en la región.

EC - Es correcto pronunciarlo "fishing".

JC - Sí. Capaz que hay que olvidarse de la "ph" y pensar más en salir a pescar, esa es la idea del término. Básicamente es enviarle un anzuelo, una carnada a alguien, que es ese e-mail, para que esa persona pique, se dirija a un servidor, pero ese servidor no es aquel al que cree que se está dirigiendo sino otro que emula la página. Allí hay un primer término, al que generalmente los usuarios no le damos importancia, que es la verificación de que ese sitio tenga un certificado digital y que ese certificado esté correcto. Es algo difícil para nosotros como usuarios comunes y corrientes.

EC - Sí, además en este caso la página lucía como las páginas de e-bank de esta institución.

JC - Sí, en todos los casos son imperceptible, si no fuera por el tema del certificado digital, para la cual hay que hacer una aplicación con protocolo seguro –cuando aparece el candadito en el browser–, no nos daríamos cuenta.

EC - Entonces uno entra a esa página, acepta las indicaciones que le dan, coloca sus datos, y entró, quedó capturado.

JC - Sí. Básicamente, hay tres objetivos básicamente en el phishing. Uno es el dolo, es decir realizar fraude, obtener usuarios y contraseñas válidas para poder realizar fraude, e incluso tener información para usar. Olvidemos este caso particular. Capturan información que yo ingreso, como mi fecha de nacimiento, mi documento, mi domicilio y demás; seguramente si se obtiene algún dato más mío, como una tarjeta de crédito, y alguien llamara para verificar esos datos teóricamente privados o poco conocidos, todos esos datos ya están en poder de una base.

El segundo tema está muy vinculado a los temas de privacidad, digamos que esas bases pueden estar siendo creadas no para el fin del dolo directo, sino que quien está actuando en realidad es un vendedor de bases. Es lo mismo pero con un paso más de industrialización, de generación de valor agregado.

Y finalmente hay un tema vinculado a lo que podría ser espionaje, o sea tratar de robar información de una institución.

EC - En este caso, por lo que se sabe, el mail llegó a clientes del banco y también a no clientes.

JC - En general se utilizan bases de Uruguay, sería muy delicado que hubiera llegado a clientes del banco, porque en ese caso, si fuera dirigido, implicaría que habría sido comprometida la información de seguridad. Cuando llega a no clientes es un indicio de que no ha sido comprometida la seguridad interna.

EC - Se utilizó una base de datos de Uruguay, una base de datos amplia, con la esperanza de que en particular cayera en clientes de este banco y ellos a su vez después aceptaran las instrucciones que se les daban.

JC - Yo hace algunas semanas que no reviso las estadísticas, pero hasta no hace poco la Federal Trade Commission en Estados Unidos, que es la unidad responsable de este tema, tenía una tasa de crecimiento de fraudes del 300 por ciento semanal.

EC - Impresionante.

JC - No dan los números de la cabeza para poder comprender la situación. Esto realmente es un nuevo ataque a nuestra privacidad, a nuestra información.

EC - En este caso concreto las autoridades del banco detectaron a tiempo la maniobra y reenviaron el mail –que tengo aquí a la vista– con un sobreimpreso sobre fondo oscuro que decía: "Esto es un intento de fraude. No es un mail de Crédit Uruguay Banco". A partir de esa decisión se evitó que la maniobra continuara creciendo.

Pero la pregunta final es: ¿cómo hace un usuario de Internet para evitar ser víctima de una de estas operaciones?

JC – Acá hay responsabilidad de las dos partes. No le podemos pedir al usuario que haga todo un proceso de verificación que debiera hacer la institución. Incluso acá juegan algunas de las regulaciones que se están manejando en el Comité de Basilea en términos de los nuevos controles de banca y en particular de algunas regulaciones que se están proponiendo en el tema de banca electrónica, o mejores prácticas en el tema de banca electrónica.

Desde el punto de vista del usuario, no tiene muchas más herramientas que verificar el certificado digital y que ese certificado corresponda a tal institución. Eso es un tema seguro pero muy pocas veces se hace. Recordemos que muchas veces a los usuarios les cuesta actualizar el antivirus; revisar los certificados digitales es pedir demasiado.

La segunda solución que existe para esto es el uso de lo que se llama sistemas de  autenticación de dos factores. En particular hay una solución –que es algo que tendrían que promover las instituciones y que viene dentro de las requerimientos de Basilea para 2006 y 2007– que es que las contraseñas se compongan de algo que uno sabe, el password que tú usas, y luego se utilice un password dinámico que son números que se generan cada un minuto. De esa manera, en el caso de que lo robaran por phishing o por algún otro método –porque entró en un hotel, en un cybercafé a una página– ese password nunca está comprometido. El no compromiso de password hace a buena parte del tema porque por lo menos evita el fraude. Además generalmente estos sistemas tienen la precaución de que pueden alertar sobre la captura de dispositivos, porque el error en mandar un código nuevamente –un código que ya es inválido porque los códigos duran un minuto y se pueden usar una sola vez– le está alertando a un oficial de seguridad, en este caso del banco, que ese código está siendo mal usado.

Existen las técnicas, existen las soluciones. El mundo está muy atrasado, Uruguay está muy atrasado también.

-------------------
Transcripción: María Lila Ltaif Curbelo
Edición: Mauricio Erramuspe