El robo o suplantación de identidad es uno de los principals crímenes cibernéticos que afectan al país, tanto en empresas como ususarios.
Fuente: Prensa Libre
“El sitio era exactamente igual, realmente no había ninguna diferencia con la página official del banco”, dijo Gloria –nombre ficticio–, quien recientemente fue víctima de un ataque cibernético en el que fueron sustraídos Q54 mil de su cuenta bancaria. Gloria es madre de familia y, al igual que muchas personas en el país, aprovecha la conveniencia de los servicios de la banca en línea que ofrecen algunas entidades financieras; sin embargo, en marzo de este año cayó presa de un robo de datos que afectó la estabilidad económica de su hogar.
“Todo lo manejaba por app del celular, pero en una oportunidad tenía que hacer una gestión que no podia llevar a cabo por ese medio. Llamé al call center del banco y se me indicó que debía hacerlos desde una computadora”, refiere Gloria.
La víctima contó que ingresó a Google y colocó en el buscador el nombre del servicio de banca en línea para ingresar al sitio.
“Me metí a la primera opción que apareció e ingresé mis datos, pero resultó que era un sitio malicioso. El sitio era exactamente igual, realmente no había ninguna diferencia con la página oficial del banco”, cuenta Gloria.
Lo primero que hice fue una transferencia a mi tarjeta de crédito porque necesitaba pagarla, luego intente hacer otras gestiones, pero la página me generó un error. Al principio creí que había sido porque era tarde en la noche, así que sali del sitio con la idea de continuar al día siguiente”, agrega la afectada.
Por la mañana Gloria recuerda que hablaba por teléfono cuando su conversación fue interrumpida por la voz de una operadora que le indicaba que la comunicación se cortaría.
Luego de hacer averiguaciones con la compañía de teléfono, se le informó que su tarjeta SIM había sido desactivada, ella asumió que había sido un problema del teléfono que la había dañado y no le dio mayor importancia al hecho hasta unas horas después.
Mientras Gloria estaba en una reunión con un cliente recibió una llamada al teléfono móvil que le había brindado su empresa. Era un empleado del banco que necesitaba hacerle algunas preguntas sobre movimientos en sus cuentas bancarias.
“Comenzó por solicitarme algunos datos personales para verificar mi identidad y luego me preguntaron si estaba haciendo algunas transferencias en ese momento, a lo que yo respondí que la última operación la había efectuado la noche anterior. El empleado del banco sorprendido me preguntó de nuevo si estaba segura de que no había hecho alguna transacción en ese momento. Yo reafirmé mi respuesta”, señala la víctima.
El empleado bancario indicó que habían rastreado una transacción a la cuenta de un hombre llamado David Vargas, quiénseñalo que se trataba de un pago por la compra de un terreno en Puerto Barrios, Izabal. Cuando Gloria informó que no conocía al hombre el representante del banco dijo que le devolvería la llamada.
“Momentos después me llamaron de nuevo para indicarme que bloquearían mis cuentas porque habían hechos varios movimientos bancarios que resultaron en la sustracción Q54 mil, incluyendo el retiro de US$5 mil de mi cuenta de ahorro”, relató Gloria.
Según la víctima, los cibercriminales sustrajeron sus credenciales por medio de un sitio maliciosa y luego se presentaron a una agencia de la empresa de telefonía con un DPI falso para pedir un reemplazo de la tarjeta SIM, de esta manera Gloria no recibiría las notificaciones en su celular de los movimientos que se llevaban a cabo en su cuenta.
“Luego de eso quedé con temor de usar la versión web del servicio de banca en línea y trato de usar solamente la app. No he puesto una denuncia formal ni una demanda porque no tengo el tiempo de hacerlo y no creo que vaya a traerme buenos resultados”, señala Gloria.
La afectada cuenta que el banco se hizo responsable, aunque no le fue reintegrada la totalidad de los fondos sustraídos; sin embargo, el temor de volver a ser víctima de un ataque aún es latente.
PRIVACIDAD
Protección de datos
Miriam Padilla, subdirectora de seguridad de datos personales del sector privado del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales en México, afirma que los avances tecnológicos plantean nuevos desafíos y debe existir un equilibrio entre la tecnología y la protección de datos personales con ayuda de herramientas jurídicas y tecnológicas.
La Organización de las Naciones Unidas, en su resolución 45-95, las legislaciones nacionales deben proveer garantías en cuanto a seguridad, supervisión y sanciones sobre el flujo y transferencias de los datos personales.
La Constitución Politica de la República de Guatemala, en su decreto 24, garantiza el secreto de correspondencia y comunicaciones; mientras que el Código Penal castiga con una multa de Q200 mil y entre seis meses y a cuatro años de prisión a quienes creen un banco de datos o registro informático con datos que puedan afectar la intimidad de las personas; así también a quien sin autorización use registros informáticos de otro o ingrese a un banco de datos o archivos electrónicos.
Además existe la iniciativa de Ley 4090-2009 que dispone aprobar una ley de protección de datos personales; sin embargo esta quedó el segundo debate, donde se discute en términos generales la importancia y constitucionalidad del proyecto o iniciativa de ley.
La Problemática
El phishing es una forma de abuso informático que se caracteriza porque el atacante intenta adquirir información confidencial de forma fraudulenta.
El phishing viene de la palabra fishing, que en inglés significa “pesca”. Es una de las modalidades de Ciberataques más populares, ya que es sencillo de desarrollar y la recompensa puede ser cuantiosa aún con un porcentaje de éxito bajo.
Se trata del robo de los datos personales de los usuarios por medio de la creación de sitios maliciosos que buscan suplantar a páginas web oficiales de bancos, redes sociales u otros servicios en línea.
Los piratas informáticos suelen utilizar correos electrónicos de phishing para obtener acceso a información privada y aunque en los últimos años las organizaciones y el público en general se han informado más sobre la amenaza del phishing y cómo identificar estos correos electrónicos sospechosos, esta forma de estafa aún representa una gran amenaza debido a que los criminales han refinado sus técnicas.
Según, Fabio Assolini, el investigador de Kaspersky Las, empresa especializada en seguridad informática, el criminal distribuye el ataque por diversos medios para intentar “pescar” los datos personales de los usuarios como contraseñas de redes sociales, de correo electrónico, servicios de banca en línea o, números de tarjetas de crédito, entre otros.
“Con esta información el criminal puede llevar a cabo un fraude como sustraer donde de una cuenta bancaria o bien venderá la información a otro criminal. Esta técnica no se trata de instalar un virus malicioso en los dispositivos, sino de robar datos”, refiere Assolini.
Usted podría pensar que este tipo de ataques solo son dirigidos a grandes empresarios o personas con cargos importantes, pero la realidad es que cualquiera puede ser víctima de un ataque de phishing.
A criterio de Assolini, se puede usar el perfil de la víctima para distribuir mensajes maliciosos, pues, si uno recibe un mensaje de un amigo es mas probable que “mordamos el anzuelo” con una oferta o algo similar porque proviene de alguien de confianza.
Assolini afirma que la gran mayoría de crímenes cibernéticos empiezan con un ataque de phishing, aparentemente pequeño, pero bien dirigido.
El experto cita el ejemplo de una mujer que tralbagjaba en el departamento de re cursos humanos de una cenia un puntu d e lo tenía un puesto de poder dentro de la compañía, el ataque fue dirigido espe cialmente a ella.
Se le envió un correo de phishing que la dirigía a un sitio malicioso en el que ella ingresó sus datos y de esta manera fueron sus- traidos por los delincuen-tes.
Con las credenciales de la mujer usaron su correo electrónico corporativo para enviar un mensaje al director de la compañía y le solicitaron unos datos confidenciales con la ex cusa de que los solicitaba el departamento financie- ro para efectuar unos datos.
En ese momento se comprometió la seguridad de la empresa, lo que representó un robo de varios millones de dólares.
Otro motivo por el que a los cibercriminales les interesan las contraseñas de los usuarios es porque un gran porcentaje de personas usan la misma contraseña para varios sitios así que si se sustrae con éxito el usuario y password de Facebok, por ejemplo, también podría tener acceso a todos los demás servicios donde se usan los mismos datos.
EN LA MIRA
¿Nosotros podríamos correr riesgos? Otra idea errónea que usted podría tener es que, por ser un país pequeño, Guatemala no re- presenta un interés para los piratas cibernéticos. Sin embargo, según datos presentados por Kaspersky Lab en agosto de este año en Panamá, nuestro país es el cuarto más afectado por ataques de phishing en el continente y tiene la posición número once a nivel mundial.
“El país no está preparado, de hecho, ninguna nación lo está. Siempre hay riesgo”.
Dimitry Bestushev
Director del Equipo Global de Investigación y Análisis de Kaspersky Las
