En lucha contra el phising
Aunque conocido en Estados Unidos desde 2002, es ahora cuando el fenómeno del “phishing” está alcanzando proporciones cada vez más preocupantes a escala planetaria. Según Gartner, en 2004 cerca de 57 millones de personas sufrieron un intento de estafa electrónica, y 1,78 millones podrían haber sido víctimas de fraudes tras suministrar información personal confidencial. En la lucha contra esta plaga, las entidades financieras, las principales afectadas, basan su ofensiva en la educación del consumidor y en la adopción de nuevas herramientas de seguridad.
Aprimera vista, las cosas podrían no parecer alarmantes. Desde la aparición de los primeros ataques de phising , el e-business se está movilizando con rapidez para combatir a sus autores, los consumidores cada vez son más precavidos y los fabricantes están lanzando servicios y herramientas para luchar contra el problema. Pero hay un hecho incontrovertible: el phising está creciendo a un ritmo alarmante. Si en enero de 2004 había sólo 198 sitios Web dedicados a este tipo de fraude, en marzo de 2005 esa cifra se había disparado a 2.870, según el Anti-Phising Working Group. En ese mes, el número de mensajes de este tipo detectados fue de 13.353, con un incremento del 2% sobre el mes anterior y un crecimiento acumulado desde julio de 2004 del 28%. Sólo los filtros antispam Brightmail de Symantec
bloquearon el pasado diciembre una media de 33 millones de intentos de phising por semana, cuando la media correspondiente a julio de 2004 era de 9 millones.
Pero el enorme y creciente volumen de esta clase de fraudes es sólo una parte del problema. Los phishers cada vez son más sofisticados y, con el mismo o similar objetivo de hacerse con la información de las cuentas de los usuarios, empiezan a aparecer nuevas técnicas específicas, como el pharming o el Google phishing. Parece como si, tal como afirma Symantec en un reciente informe, los hackers estuvieran dejando de centrar su interés en echar abajo sitios Web para intensificar sus intentos por acceder a ellos para robar información confidencial. Entre julio y diciembre de 2004, el código malicioso creado para conseguir fraudulentamente datos confidenciales representó el 54% de los 50 más difundidos de entre los detectados por Symantec, cuando en la primera mitad de 2004 esa tasa era del 44%, y del 36% en la segunda mitad de 2003.
Otra tendencia detectada es que los phishers están abriendo el espectro de sus objetivos más allá de los principales bancos del mundo para incorporar entre sus víctimas también a firmas financieras y otros sitios de e-commerce más modestos, como reflejan los últimos casos en España de todos conocidos, como el de Cajamar. Además, parecen seguir, advierten los expertos, un comportamiento cíclico. Primero atacan al Banco A, y cuando éste se defiende, pasan al Banco B, y así sucesivamente, hasta que consiguen armas más sofisticadas y, a los pocos meses, vuelven a intentarlo con el Banco A.
Se trata de un problema difícil de combatir que, inevitablemente, se traduce en un coste de un volumen considerable de euros. Como informa Panda Software, en 2003 se estafaron por este sistema 88 millones de euros a bancos británicos y 990 millones a entidades financieras y de tarjetas de crédito de Estados Unidos. Y datos más recientes, como las conclusiones de una encuesta realizada en 2004 en aquél país por Ponemon Institute, muestran que, si bien el número de víctimas es porcentualmente bajo, el montante de las estafas no es desdeñable: el 2% de los entrevistados reconocía haber perdido dinero por culpa de estos ataques, con un total de dólares estafados de 500 millones de dólares. Más preocupantes son incluso las siguientes conclusiones: de las 1.335 personas entrevistadas, el 70% reconocía haber visitado un sitio falso y el 15% declaraba haber llegado a ceder datos privados.
En nuestro país, de acuerdo con los datos del Observatorio Español de Internet (OEI) dados a conocer el mes pasado, más de 10.000 personas fueron víctimas del phishing en los últimos doce meses, una cifra que podría ser superior dada la tendencia de los bancos a ocultar este tipo de informaciones para preservar su imagen. De acuerdo con los datos del estudio Internet Security Intelligence Briefing de VeriSign, España ocupa el séptimo puesto en el ranking de países más atacados por el phishing, clasificación que encabeza Estados Unidos con el 44% de los ataques.
Pérdida de confianza
Todos nos sentimos afectados por estas prácticas fraudulentas y muy especialmente los sitios de banca y comercio online, que ven como sus clientes pierden confianza en sus sistemas. En un estudio realizado a 655 consumidores de Estados Unidos por Cyota, firma de prevención de fraudes online con sede en Nueva York y delegaciones en todo el mundo, más de la mitad reconocían su temor a realizar transacciones de comercio electrónico a causa de la amenaza del phishing. En el campo estricto de la banca online, un informe de Symantec muestra que casi un tercio de los usuarios entrevistados dice no haber utilizado este sistema por las mismas causas. No es de extrañar, por tanto, que como recientemente declaraba a IDG Brad Nightengale, vicepresidente de nuevos productos de Visa, la mayor preocupación de la entidad sea que “por culpa de estos ataques los consumidores puedan percibir el entorno online como de alto riesgo. Una percepción que podría frenar el gasto online, a pesar de que los estudios muestren que la gran mayoría de los robos de identidad ocurren en el mundo físico”.
En su lucha contra el fraude, Visa está tomando diversas medias, desde la creación de un buzón donde sus clientes pueden enviar los mensajes de phishing recibidos para su posterior análisis a su integración en una red de información sobre este tipo de ataques. Además, una vez alertados de una actividad de phishing, Visa se pone en contacto rápidamente con los ISP utilizados por los phishers para desactivar sus sitios de operaciones, lo que ha conseguido en ocasiones sólo tres horas después de detectar la existencia del ataque.
La banca se moviliza
Tanto Visa como otras grandes entidades financieras, que ven en el phising casi más una agresión a sus respectivas marcas que a los consumidores, están lanzando campañas de formación del consumidor, y compartiendo tecnologías y tendencias de ataques con asociaciones de la industria. Las entidades financieras empiezan a movilizarse en todo el mundo. Según Cinco Días, la asociación de la banca británica (APACS –Association for Payment Clearing Services), en colaboración con MasterCard y Visa, se propone entregar a sus clientes dispositivos físicos de seguridad que eviten las estafas por phishing.
En España, también se está tomando conciencia del problema, a medida que crece el número de casos detectados, que ya han afectado a entidades como Banesto, Caja Madrid, BBVA y otras de menor dimensión como Cajamar e incluso organismos oficiales, como el Instituto Nacional de Estadística. Un grupo de expertos del Centro de Coordinación Interbancario mantiene reuniones periódicas para compartir experiencias y definir recomendaciones técnicas contra las estafas online, mientras las asociaciones de consumidores, usuarios de banca y usuarios de Internet presionan para que se tomen medidas para atajar el phishing y se fijen responsabilidades para proceder en caso de
Aprimera vista, las cosas podrían no parecer alarmantes. Desde la aparición de los primeros ataques de phising , el e-business se está movilizando con rapidez para combatir a sus autores, los consumidores cada vez son más precavidos y los fabricantes están lanzando servicios y herramientas para luchar contra el problema. Pero hay un hecho incontrovertible: el phising está creciendo a un ritmo alarmante. Si en enero de 2004 había sólo 198 sitios Web dedicados a este tipo de fraude, en marzo de 2005 esa cifra se había disparado a 2.870, según el Anti-Phising Working Group. En ese mes, el número de mensajes de este tipo detectados fue de 13.353, con un incremento del 2% sobre el mes anterior y un crecimiento acumulado desde julio de 2004 del 28%. Sólo los filtros antispam Brightmail de Symantec
bloquearon el pasado diciembre una media de 33 millones de intentos de phising por semana, cuando la media correspondiente a julio de 2004 era de 9 millones.
Pero el enorme y creciente volumen de esta clase de fraudes es sólo una parte del problema. Los phishers cada vez son más sofisticados y, con el mismo o similar objetivo de hacerse con la información de las cuentas de los usuarios, empiezan a aparecer nuevas técnicas específicas, como el pharming o el Google phishing. Parece como si, tal como afirma Symantec en un reciente informe, los hackers estuvieran dejando de centrar su interés en echar abajo sitios Web para intensificar sus intentos por acceder a ellos para robar información confidencial. Entre julio y diciembre de 2004, el código malicioso creado para conseguir fraudulentamente datos confidenciales representó el 54% de los 50 más difundidos de entre los detectados por Symantec, cuando en la primera mitad de 2004 esa tasa era del 44%, y del 36% en la segunda mitad de 2003.
Otra tendencia detectada es que los phishers están abriendo el espectro de sus objetivos más allá de los principales bancos del mundo para incorporar entre sus víctimas también a firmas financieras y otros sitios de e-commerce más modestos, como reflejan los últimos casos en España de todos conocidos, como el de Cajamar. Además, parecen seguir, advierten los expertos, un comportamiento cíclico. Primero atacan al Banco A, y cuando éste se defiende, pasan al Banco B, y así sucesivamente, hasta que consiguen armas más sofisticadas y, a los pocos meses, vuelven a intentarlo con el Banco A.
Se trata de un problema difícil de combatir que, inevitablemente, se traduce en un coste de un volumen considerable de euros. Como informa Panda Software, en 2003 se estafaron por este sistema 88 millones de euros a bancos británicos y 990 millones a entidades financieras y de tarjetas de crédito de Estados Unidos. Y datos más recientes, como las conclusiones de una encuesta realizada en 2004 en aquél país por Ponemon Institute, muestran que, si bien el número de víctimas es porcentualmente bajo, el montante de las estafas no es desdeñable: el 2% de los entrevistados reconocía haber perdido dinero por culpa de estos ataques, con un total de dólares estafados de 500 millones de dólares. Más preocupantes son incluso las siguientes conclusiones: de las 1.335 personas entrevistadas, el 70% reconocía haber visitado un sitio falso y el 15% declaraba haber llegado a ceder datos privados.
En nuestro país, de acuerdo con los datos del Observatorio Español de Internet (OEI) dados a conocer el mes pasado, más de 10.000 personas fueron víctimas del phishing en los últimos doce meses, una cifra que podría ser superior dada la tendencia de los bancos a ocultar este tipo de informaciones para preservar su imagen. De acuerdo con los datos del estudio Internet Security Intelligence Briefing de VeriSign, España ocupa el séptimo puesto en el ranking de países más atacados por el phishing, clasificación que encabeza Estados Unidos con el 44% de los ataques.
Pérdida de confianza
Todos nos sentimos afectados por estas prácticas fraudulentas y muy especialmente los sitios de banca y comercio online, que ven como sus clientes pierden confianza en sus sistemas. En un estudio realizado a 655 consumidores de Estados Unidos por Cyota, firma de prevención de fraudes online con sede en Nueva York y delegaciones en todo el mundo, más de la mitad reconocían su temor a realizar transacciones de comercio electrónico a causa de la amenaza del phishing. En el campo estricto de la banca online, un informe de Symantec muestra que casi un tercio de los usuarios entrevistados dice no haber utilizado este sistema por las mismas causas. No es de extrañar, por tanto, que como recientemente declaraba a IDG Brad Nightengale, vicepresidente de nuevos productos de Visa, la mayor preocupación de la entidad sea que “por culpa de estos ataques los consumidores puedan percibir el entorno online como de alto riesgo. Una percepción que podría frenar el gasto online, a pesar de que los estudios muestren que la gran mayoría de los robos de identidad ocurren en el mundo físico”.
En su lucha contra el fraude, Visa está tomando diversas medias, desde la creación de un buzón donde sus clientes pueden enviar los mensajes de phishing recibidos para su posterior análisis a su integración en una red de información sobre este tipo de ataques. Además, una vez alertados de una actividad de phishing, Visa se pone en contacto rápidamente con los ISP utilizados por los phishers para desactivar sus sitios de operaciones, lo que ha conseguido en ocasiones sólo tres horas después de detectar la existencia del ataque.
La banca se moviliza
Tanto Visa como otras grandes entidades financieras, que ven en el phising casi más una agresión a sus respectivas marcas que a los consumidores, están lanzando campañas de formación del consumidor, y compartiendo tecnologías y tendencias de ataques con asociaciones de la industria. Las entidades financieras empiezan a movilizarse en todo el mundo. Según Cinco Días, la asociación de la banca británica (APACS –Association for Payment Clearing Services), en colaboración con MasterCard y Visa, se propone entregar a sus clientes dispositivos físicos de seguridad que eviten las estafas por phishing.
En España, también se está tomando conciencia del problema, a medida que crece el número de casos detectados, que ya han afectado a entidades como Banesto, Caja Madrid, BBVA y otras de menor dimensión como Cajamar e incluso organismos oficiales, como el Instituto Nacional de Estadística. Un grupo de expertos del Centro de Coordinación Interbancario mantiene reuniones periódicas para compartir experiencias y definir recomendaciones técnicas contra las estafas online, mientras las asociaciones de consumidores, usuarios de banca y usuarios de Internet presionan para que se tomen medidas para atajar el phishing y se fijen responsabilidades para proceder en caso de
