lunes, 3 de septiembre de 2007

Fraude cibernético


Fauna Política
Fraude cibernético terror de usuarios
Rodolfo Herrera Charolet


Durante los primeros seis meses del año 2007, en Puebla más de una decena de intentos de fraude cibernético se han identificado y reportado a la Secretaría de Seguridad Pública del Gobierno Federal. Los defraudadores de usuarios de la banca electrónica, han utilizado con mayor frecuencia máscaras electrónicas de Banamex y HSBC, quienes recurren al método de “phishing” o pesca.


Phishing es el término informático que se traduce como “pesca” y denomina un tipo de delito encuadrado dentro del ámbito de los fraudes, el cual, se comete mediante el uso de herramientas informáticas que permiten adquirir información confidencial de forma fraudulenta (como puede ser la contraseña o información confidencial sobre cuentas bancarias). El estafador o phisher, envía correos electrónicos fraudulentos, utilizando los logotipos bancarios y mascaras de acceso a la banca electrónica, que enlazan a sitios controlados para sustraer la información.


Los fraudes bancarios también se cometen mediante llamadas telefónicas, ofreciendo ofertas o nuevas tarjetas bancarias.


Derivado del creciente número de denuncias de incidentes relacionados con el phishing, los usuarios de la banca electrónica requieren métodos adicionales de protección, evitando la instalación de programas gratuitos o de “prueba” en las unidades que utilizan para el traspaso de cuentas u operaciones bancarias. Así mismo deberán evitar la descarga de “comets” o “espías” que se disfrazan mediante caricaturas para ser insertadas en mensajería instantánea.


Ante la amenaza de fraude, diversos gobiernos han realizado intentos de frenar su práctica, con leyes que van desde leves a severas, campañas para prevenir a los usuarios, sin embargo, la práctica fraudulenta continúa.


No obstante que la policía cibernética y usuarios han establecido contacto directo con las instituciones bancarias, los fraudes siguen siendo cotidianos, por lo que debe intensificarse la campaña informativa debiéndose incluir con claridad en los estados de cuenta y con mayor penetración en los espacios publicitarios disponibles, al menos, una semana al año. Esta acción permitirá una reducción de los casos de fraude que en el mundo suman varios millones de dólares, no siendo la excepción nuestro país.


En cuanto a la mayoría de correos fraudulentos identificados, los defraudadores han utilizado el método conocido como suplantación de identidad utilizando una máscara que imita las URL (relacionado con el manejo de Nombre de dominio internacionalizado (IDN)) en los navegadores, pero que internamente llevan a sitios distintos, puesto que solo resultan idénticas a la vista.


A mayor abundamiento, podemos identificar que la mascara muestra una liga con el sitio http://hsbc.com.mx/ pero al colocar el mouse en la imagen del hipertexto, observamos que en la parte inferior del navegador aparece por escasos segundos la liga original y que puede ser (por ejemplo) http://hbsc.com/.../hsbc.com.mx o http://66.197.12.29/.../hsbc.com.mx que a la vista poco entrenada del internauta, pudiera ser el sitio acostumbrado que utiliza para sus operaciones bancarias, sin embargo dicho sitio resulta fraudulento en virtud de que:


1.- Podrá observarse que el dominio (primera cuerda de acceso (IDN)) se refiere a un sitio que se llama hbsc.com en donde cambia el orden de las letras (sb) por (bs). En cuanto a la última cuerda o cualquier otra que se encuentra en diagonales, se refiere a una sección del sitio.


2.- En el caso utópico de la dirección 66.197.12.29 encontramos que dicha dirección no corresponde a la bancaria, en el caso investigado, este sitio (que aún existe) anuncia a la empresa Microtech Technology Store, la cual contiene información en los idiomas ingles y ruso.


Otra forma de crear confusión con páginas fraudulentas, es la de utilizar instituciones bancarias que permiten (por su nombre) la utilización de dominios similares, por ejemplo aquellas que utilizan la letra “o” que puede ser reemplazada por la correspondiente letra griega ómicron, "ο", con diferentes códigos[1] ASCII y por lo consiguiente formar en apariencia homógrafos cibernéticos. Al usar esta técnica es posible dirigir a los usuarios a páginas electrónicas con intenciones fraudulentas. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, aún no se han establecido criterios que eviten este potencial uso fraudulento.


El esfuerzo canalizado en la detección de metodologías del fraude cibernético ha sido permanente pero insuficiente, los banqueros se muestran aún renuentes en impulsar una campaña efectiva para alertar a sus clientes sobre los posibles fraudes, en virtud de que dichas prácticas ilegales afecta, por ahora, solo el bolsillo de los usuarios sin ninguna responsabilidad para el banquero.


Ante tal situación, resulta impostergable que los legisladores sean más enérgicos en la manufactura de las leyes, debiendo incluir la corresponsabilidad bancaria, cuando se cometan fraudes cibernéticos a sus clientes.


¿O no lo cree usted?


[1] El código ASCII (acrónimo inglés de American Standard Code for Information Interchange — Código Estadounidense Estándar para el Intercambio de Información). Es un código de caracteres, que está basado en el alfabeto latino como se usa en el idioma inglés moderno y en otras lenguas occidentales. El código fue creado en 1963 por el Comité Estadounidense de Estándares (ASA, conocido desde 1969 como el Instituto Estadounidense de Estándares Nacionales, o ANSI, como evolución de los conjuntos de códigos utilizados en telegrafía. En el año de 1967, se incluyeron las minúsculas, y se redefinieron algunos códigos de control que dieron origen al código US-ASCII.

No hay comentarios: