Home

Empresas

Artículo

Subienda de fraudes

Con software y sitios web falsos como armas aparentemente inofensivas, llegaron al país los ladrones que usan internet como escenario de sus fechorías. La 'pesca' de usuarios desprevenidos es cada vez más común. Aprenda a no caer en sus redes.

1 de octubre de 2004

Hoy en día, los usuarios de computadoras están en línea, no solamente con mayor frecuencia, sino por períodos de tiempo más largos, y también hacen más transacciones importantes a través del correo electrónico y de internet. Actividades como transferencias de fondos, compra de bienes, acciones, servicios, así como el manejo de cuentas personales a través de sitios web se han vuelto más comunes. Si bien el internet facilita la ejecución de esas actividades, también ha permitido la creación de una nueva forma de fraude, de la cual las personas inescrupulosas toman cada vez más ventaja. El fraude en

internet se está convirtiendo en un problema creciente-no solamente para el usuario, sino también para las empresas.



Para empezar, el fraude consiste en robar información personal o dinero a los usuarios de computadoras a través de internet. Hay diferentes tipos de fraude por esta vía, tales como ataques de falsificadores de sitios web transaccionales (phishing), software para espiar (spyware), caballos de Troya y virus que capturan información y sabotean la infraestructura de las empresas desde los usuarios finales.



Lejos de ser un problema de expertos o del departamento de sistemas en las empresas, la mayoría de los consumidores que usan computadoras y el internet están preocupados por este tipo de fraudes. Una encuesta de julio de 2004 conducida por Symantec y por Insight Express a usuarios en todo el mundo, arrojó que el 42,5% de las personas que respondieron están muy preocupadas por el fraude en internet y el 50,8% está algo preocupadas.



Ladrones de pesca



El 'phishing', una variación de la palabra en inglés 'fishing' que significa pescar, parece ser la forma más reciente de fraude en internet.



Phishing es una actividad ilegal en línea mediante la cual los infractores envían millones de correos electrónicos a cuentas de sus posibles víctimas en forma aleatoria. Los correos electrónicos parecen provenir de sitios web muy conocidos o del banco de la víctima o de su proveedor del servicio de internet. Los correos normalmente informan al consumidor que la compañía necesita información personal como su número de tarjeta de crédito o contraseña, para actualizar su cuenta.



Muchas veces, los correos electrónicos incluyen un link, o enlace, que lleva al consumidor a lo que parece ser un sitio legítimo y seguro. Sin embargo, ese sitio es realmente un sitio virtual falsificado, una fachada para engañar. Una vez que el consumidor está en este sitio falso se le pide ingresar información personal que es transmitida al phisher, es decir al ladrón .



Con esta clase de estratagemas, los phishers han logrado convencer hasta a un 5% de los receptores de sus correos carnada para que les respondan con su información personal. Y el problema continúa escalando.



Según un estudio de la empresa de seguridad estadounidense Brightmail, los ataques de phishers sobrepasaron los 3.000 millones en todo el mundo para el primer semestre de 2004. Este hecho provocó, según Gartner, pérdidas de US$990 millones a las entidades financieras y a las compañías de tarjetas de crédito tan solo en Estados Unidos.



Por su parte, el Anti-Phishing Working Group, APWG, asociación de empresas de tecnología contra este flagelo, halló que los ataques de phishing reportados oficialmente han crecido a una velocidad del 110% mensual en los últimos seis meses, pasando de 28 denuncias conocidas por esa organización en noviembre de 2003, a 1.125 reportados en abril de 2004. De otro lado, la cifra de ataques en el mundo que maneja esta entidad, en solo agosto del presente año, llega a 4.741 entre reportados y no. Esto representa casi un 4.000% de crecimiento en los últimos seis meses.



El éxito creciente de estos pescadores inescrupulosos, se basa principalmente en que los usuarios de internet desconocen las medidas de verificación de la autenticidad de estos sitios. Por eso la principal fórmula de defensa está es su educación como navegantes del ciberespacio.



Escapando a la falsa red



Para no lamentarse luego, lo primero que el navegante debe hacer es revisar con su banco, proveedor de tarjeta de crédito u otros proveedores de servicios, las políticas relativas a la forma de comunicarse con los clientes para actualizar la información y la contraseña de la cuenta.



Es decir, la mayoría de las compañías no hace esto mediante correo electrónico, ni siquiera por teléfono.



Sin embargo, lo mejor que puede hacer un usuario cuando llega un correo de estos, es ir al sitio web de la compañía remitente poniendo la dirección correcta en el navegador de internet, así entrará a un lugar seguro, del que podrá entrar a una plantilla de datos si efectivamente existe, confirmando así la validez de la solicitud.



Existen otras formas de verificación, como revisar los certificados de seguridad del envío, pero la de ir directamente al sitio web de la entidad que remite una solicitud de datos, y no entrar directamente por el correo electrónico, es la más sencilla y efectiva. Si no, también resulta efectivo hacer una llamada telefónica para preguntar.



Incluso al llegar a un sitio web conocido, el navegante debe comparar la URL (dirección electrónica) que aparece en la parte superior del navegador con la que aparece en la parte inferior de su pantalla, en la barra de estado. La URL de la parte inferior de la barra de estado, debe tener contenida la ULR del sitio en que realmente está. Por ejemplo: si usted está en www.dinero.com, en la barra de estado debe aparecer esa dirección contenida en la información que se lee, aunque ciertas partes cambien de acuerdo a la sección o elemento que usted haya seleccionado.



Dañando negocios



El phishing es un problema que afecta tanto al consumidor como a las empresas. Las compañías deben preocuparse por el phishing debido a que las cuentas de sus clientes pueden verse comprometidas por estos ladrones cibernéticos. Esto no solamente puede ocasionar daños económicos al consumidor, sino que también perjudica al negocio. El uso del nombre de una compañía en una actividad fraudulenta puede debilitar la credibilidad de la empresa y disminuir el valor de su marca.



Los correos electrónicos de phishing también están penetrando en las computadoras de las empresas, lo cual no solamente torna vulnerable la información personal de los empleados que los reciben, sino que abre la posibilidad de que la información corporativa confidencial sea compartida con phishers que luego la usarán como activo de comercio e incluso como objeto de chantaje.



Pescando a los cacos pescadores



Además de tener buenas prácticas de navegación, los usuarios e incluso las empresas, deben asegurarse de que su software de protección esté al día.



Las grandes empresas del sector -Symantec, McAfee, Trend Micro y Panda Software- recomiendan adquirir sistemas de seguridad que, además de incorporar los tradicionales programas antivirus, tienen aplicaciones cortafuegos, que evitan que alguien se introduzca en el computador sin que se dé cuenta el dueño.



También se viene adelantando en la industria el desarrollo de herramientas proactivas. Es decir, programas informáticos que exploran la red para detectar amenazas con el fin de evitar los ataques antes de que se produzcan y "pescar" al ladrón antes de que este extienda su red.



La actualización de los sistemas es clave también, para ello se requiere de acceder con frecuencia a las correcciones de seguridad (patches) de los software instalados como antivirus.



Los usuarios y las empresas que hayan sido víctimas de fraude, también deben notificar los ataques a sus proveedores de servicio de conexión sobre las clase de correo electrónico que está llegando, además, es importante comunicarle a la compañía que esté siendo falsificada lo que está ocurriendo, de forma que puedan cerrar el sitio web fraudulento y dar aviso a las autoridades.



Las empresas que pueden ser usadas como carnada de los phishers, deben definir políticas consistentes para comunicarse con los clientes a través del correo electrónico, y explicárselas claramente a los empleados y los clientes.



Es fundamental que las empresas creen cuentas seguras para la comunicación con sus clientes en sus sitios y además, contar con el soporte de proveedores de plataformas con máxima seguridad transaccional.



Las empresas también deben establecer un punto de contacto, ya sea una dirección de correo electrónico, página web o número telefónico (hot line), donde los clientes puedan notificar casos de fraude.



MEDIDAS PARA NO SER VICTIMA





  • No responda a los mensajes de spam sospechosos, particularmente los que parecen ser enviados por bancos.


  • Nunca abra archivos adjuntos de personas desconocidas.


  • Nunca proporcione su número de tarjeta de crédito ni otra información personal a los sitios de internet que no haya consultado previamente.


  • Utilice software que filtra o bloquea el spam tal como Norton Internet Security 2004 de Symantec, el cual incluye Norton AntiSpam. 


  • Utilice siempre una dirección de e-mail gratuita para usos públicos como recibir publicidad. 


  • Elija una dirección de e-mail que no sea común, combine letras y números, como filtro de correo no deseado.


  • Actualice periódicamente su PC o Macintosh instalando los últimos patches.


  • Nunca permita que los programas de computadora recuerden sus contraseñas ni números de tarjeta de crédito.

    Ø Nunca permita que los programas de computadora recuerden sus contraseñas ni números de tarjeta de crédito.