A veces cuando se escribe acerca del tema de la seguridad de la información no sabemos si estamos hablando de las practicas adecuadas para asegurar (seguridad) la información o de las amenazas (inseguridad), ya que los temas tienden a mezclarse. Durante este artículo hablaremos de las tendencias que afectan la (in)seguridad de la información de todos.
Si bien es cierto que las noticias que todos escuchamos son alarmantes, la mayoría de las veces el primer pensamiento que tenemos es “eso no pasa aquí” o “no tengo nada que me puedan robar”, este tipo de pensamiento no puede estar más alejado de la realidad y para que nos hagamos una idea, examinemos el caso de un banco local de Panamá.
Durante el mes de octubre del 2008 se requirió de los servicios de forensia para la investigación y documentación de un crimen electrónico, sucedido más temprano ese mismo mes. Al empezar a investigar bitácoras, evaluar la seguridad de los sistemas y revisar los procesos manuales de aprovisionamiento de usuarios de la aplicación de banca electrónica, no se pudo encontrar nada muy significativo, sin embargo, justo en medio de la investigación se despliega un nuevo ataque contra el banco, permitiéndonos confirmar lo que sospechábamos desde un principio, el método utilizado para robar las credenciales de los usuarios fue un sencillo ataque de phising clásico utilizando Google Ads como herramienta de ataque.
¿Por qué nos referimos a los perpetradores del ataque como bandas? como resultado del ataque el banco percibió pérdidas de arriba de los USD 100,000.00 y aún hoy en día siguen sufriendo las secuelas de este ataque. Las personas que realizaron el ataque contaba con las siguientes características:
- La mayoría de los sitios web de phising y operaciones que pudimos detectar se encontraban en el extranjero, mayormente en Estados Unidos, también se realizaron registros de nombre de los dominios con direcciones físicas en ese país, por lo que alguien debió servir como punto de contacto para la compra de los dominios, denotando el involucramiento de participantes de más de un país haciendo de esto una operación internacional.
- La contratación de personal local para retirar el dinero (drops) en distintas sucursales del banco determina la presencia de agentes temporales en el país, para poder sacar el dinero del país y vigilar a los drops.
- La elección de los objetivos fue muy clara, este no fue el único banco afectado en el país, de hecho desde principios del 2008 ya se había detectado actividad, primariamente en bancos locales, de mediano tamaño, evitando las transnacionales como HSBC y Citibank. Solo podemos especular que se trata por todos los medios de evitar o demorar que el FBI o la INTERPOL se involucren en las investigaciones y que las mismas queden confinadas al entorno local de cada país sujetos a la legislación existente, que muchas veces no contempla el tema del fraude electrónico dentro de su código penal.
- Hay reportes de otros países de la región Centroamericana afectados por el mismo comportamiento, todos podemos recordar los diferentes casos ocurridos en Costa Rica el año pasado (http://www.nacion.com/ln_ee/2008/febrero/13/pais1418287.html). Solo podemos sospechar que se trata de la misma organización internacional buscando distintos blancos en la región.
¿Qué queda para el resto del 2009? Esto es lo que percibo como tendencias para lo que queda del año:
- El ingreso económico seguirá siendo el motor que motive el fraude electrónico, en el pasado quedaron los ataques por diversión o para probar el conocimiento individual de los hackers.
- Desarrollo de malware localizado, que tarda más tiempo en ser descubierto por las distintas firmas de seguridad, que por lo general se concentran en el malware desarrollado en el primer mundo.
- Desarrollo de nuevo malware sigiloso, la opinión de muchas personas es que el desarrollo y propagación del gusano Conficker no era más que una prueba de nuevas técnicas de desarrollo de malware que evoluciona y capaz de recibir actualizaciones por Internet.
- Se verá un mayor interés por parte de los gobiernos de desarrollar marcos legales que permitan la persecución de los crímenes electrónicos. En la mayoría de los países de Centroamérica existen legislaciones básicas, sin embargo, veremos como se invierte más esfuerzo y recursos en el tema, dado que el negocio electrónico es algo que la región (Centro y Sur América) no ha podido desarrollar, justamente porque somos vistos como una región de alto riesgo de fraude debido a lo difícil que es perseguir este tipo de crímenes. ¿Alguien se ha preguntado porque iTunes no vende música en nuestros países, o porque nuestras tarjetas de crédito son tan difíciles de usar en eBay?
El sentido común por lo general es un buen compañero y nos mantiene a salvo de la gran mayoría de malware desarrollado hasta este momento, usar antivirus actualizado, verificar la autenticidad de los sitios de banca en línea, no realizar transacciones en sitios públicos como kioscos o Internet Cafés, realizar compras por Internet solo con tarjetas pre-pagadas, utilizar un seguro contra fraude en nuestra tarjeta de crédito, son solo algunas de las cosas que ya deben formar parte de nuestro día a día y que no requieren mayor esfuerzo.
Ante todo debemos tener claro que para lograr un desarrollo económico importante nuestros países deben adoptar el negocio electrónico como herramienta de crecimiento, y que aplicando medidas básicas de seguridad, puede ser tan seguro como el comercio tradicional.