Fraude bancario en Internet

En lo que va de año, los casos de estafa financiera por internet han superado ya la cifra total de los registrados en 2007. El Banco de España ha alertado sobre el notable aumento de fraudes, principalmente por phishing. Antonio Ropero, Director de Zona Centro de la empresa de seguridad Hispasec Sistemas, contesta a nuestras preguntas.

Se conoce como phishing a la práctica fraudulenta por la que se obtiene información financiera mediante spam masivo de e-mail. Hasta el correo del usuario llega una alerta con la apariencia real de la imagen de una determinada entidad bancaria solicitando unas claves o contraseñas determinadas. Cuando el usuario facilita la información requerida, el atacante la utiliza de forma fraudulenta. “El número de incidentes reales, señala Hispasec en uno de sus informes, es un tema tabú, nunca se ofrecerán datos de usuarios afectados o cantidades económicas concretas. El hecho de que no decaigan los ataques es la mayor constatación de que sigue siendo una actividad rentable para los estafadores”. Pero las estafas no acaban ahí. El phishing ha evolucionado a otras formas más complicadas de fraude.

-El Banco de España acaba de advertir de un “fuerte aumento” del 1000% de las reclamaciones por phishing. ¿A qué es debido este aumento tan espectacular?
-El aumento del fraude ha sido progresivo durante los últimos años duplicándose o triplicándose cada año, aunque en el 2008 el crecimiento ha sido significativamente mayor. Además, es sabido que en tiempos de crisis el número de fraudes, estafas y robos tienden a crecer, por lo que si se multiplica el número de intentos de fraude, evidentemente también se incrementará el número de afectados, que sin duda reclamarán. El fuerte aumento de las reclamaciones puede ser debido a que la gente cada vez más pierde el miedo a reclamar o que comprueba que este tipo de demandas tienen éxito y que pueden recuperar su dinero a través de ellas.
En los últimos meses, el departamento antifraude de Hispasec ha detectado unos 500 casos mensuales de phishing a entidades españolas. Hace dos años, esta cifra apenas se alcanzaba en todo el año.
Recientemente hemos visto como una sentencia judicial daba la razón a los afectados y una entidad debía reintegrar el dinero perdido a los clientes afectados. El hecho sin duda sentará precedente -puede sentar jurisprudencia-, y también hará crecer el número de reclamaciones.

Más información sobre esta sentencia en Agencia Europa Press

-La mayoría de estos fraudes han sido realizados a través de correos electrónicos pero existen métodos cada vez más sofisticados. ¿Cuáles y con qué grado de incidencia en nuestro país?
-En nuestro Laboratorio hemos detectado un fuerte incremento de los casos de troyanos bancarios, mucho más peligrosos que los intentos de phishing. Un usuario puede verse infectado por uno de estos troyanos de forma invisible sin darse cuenta de ello, con sólo visitar una página web o reproducir un archivo de música o vídeo. La infección puede permanecer latente en el sistema sin que el usuario note nada, hasta el momento en que se conecta a su servicio habitual de banca online y opera en ella de forma habitual, sin notar nada extraño. Pero en este momento sus claves se han enviado a los estafadores que no tardarán en vaciar su cuenta bancaria.
Los troyanos bancarios ofrecen grandes ventajas a los estafadores, a diferencia del phishing más tradicional, porque una infección puede permanecer en el sistema del usuario semanas o meses capturando y enviando a los phishers todas las credenciales de acceso utilizadas durante ese tiempo. Además un mismo ejemplar puede estar diseñado para atacar a cientos de entidades bancarias de todo el mundo.
Actualmente el Departamento Antifraude de Hispasec Sistemas procesa diariamente más de 30.000 muestras diarias de malware (cualquier forma de virus de ordenador) de las que aproximadamente 4.000 son especímenes de nuevos troyanos bancarios (y cada uno de ellos puede afectar a cientos de entidades). Hemos detectado múltiples casos en los que los troyanos estaban única y exclusivamente diseñados para afectar a entidades españolas (y latinoamericanas), así que en general el grado de incidencia en nuestro país es muy alto.

“En los últimos meses, el departamento antifraude de Hispasec ha detectado unos 500 casos mensuales de phishing a entidades españolas. Hace dos años, esta cifra apenas se alcanzaba en todo el año”

-A través de distintos medios nos advierten que no facilitemos datos personales, bancarios, claves, DNI, etc. No obstante muchos usuarios acaban haciéndolo. ¿Dónde se rompe la cadena?
-En Hispasec siempre hemos defendido la información como una de las mejores formas de lucha contra el fraude y en general para mejorar la seguridad de los usuarios.
La cadena siempre se rompe en el eslabón más débil y éste generalmente suele ser el usuario por desconocimiento, la ignorancia, el pensar "eso a mí no me va a pasar nunca"…
Hay que seguir informando, advirtiendo a los usuarios, desde las entidades, los medios de comunicación, las fuerzas de seguridad del estado y las empresas de seguridad.

-¿Es posible mitigar el fraude con éxito?
-El fraude y el robo siempre van a existir, igual que existen en la vida real. Se puede luchar contra ellos y mitigarlos en gran medida. Las entidades hacen mucho por reducirlos, las fuerzas de seguridad también investigan gran número de casos y denuncias y efectúan detenciones, a pesar de lo difícil que puede llegar a ser actuar e investigar estos delitos.
Desde Hispasec intervenimos en varios frentes. La principal línea de actuación es nuestra apuesta como empresa pionera en seguridad informática, ofreciendo a nuestros clientes nuestros servicios antifraude. Nuestros servicios antiphishing y antitroyanos están diseñados para actuar contra estas formas de fraude y reducir su impacto al mínimo.

-¿Qué niveles de seguridad tienen los hogares españoles? ¿Dónde detectáis los mayores agujeros?
-Como decía, el punto de seguridad más débil generalmente es del usuario, en muchos casos sólo tiene instalado un antivirus -que a menudo no está actualizado- y existe un gran desconocimiento, especialmente sobre el peligro que representan los troyanos bancarios.
Otro punto de debilidad se presenta en muchos comercios electrónicos, y en general en muchas aplicaciones web que tienen un gran número de debilidades que pueden ser explotadas por atacantes para obtener información de usuarios, datos, números de tarjetas, etc.

Para más información recomendamos visitar el blog del Laboratorio de Hispasec donde se pueden encontrar informes relacionados con el tema: http://blog.hispasec.com/laboratorio/

Fotos: Fusión