El apetitoso negocio del cibercrimen

Foto: Dmitry Bestuzhev, Director para América Latina del Equipo de Análisis e Investigación de Kaspersky; David Castañeda, Vicepresidente de investigación y desarrollo de Easy Solutions; Daniel Cuéllar, Vicepresidente de Gemalto para el Pacto Andino y Caribe; Jorge Arenas, Gerente general de NCR; Isam Hauchar, Director corporativo del Segmento Empresas y Negocios de Claro.

Efectivamente, no podían hacer nada con sus smartphones con sistema operativo Android y sin antivirus, excepto leer el mensaje que les pedía el pago de un rescate por devolverles el control sobre el dispositivo. El valor del rescate no era muy grande, cuestión de unos US$50, por lo que la mayoría accedió con el afán de recuperar el teléfono por el que había pagado uno, dos o más millones de pesos. 

Los criminales del ramsonware piden a los usuarios que les envíen tarjetas de regalo de tiendas en línea, y cuando las víctimas son corporaciones, les piden el pago del rescate en bitcoins, de tal modo que sea muy difícil rastrear a los autores del delito. Un estudio de la compañía Kaspersky, fabricante de soluciones de seguridad de la información, estima que más de 550 colombianos han sido víctimas de una operación de ramsonware de carácter continental que ellos bautizaron como “Saguaro”, originada en México por ciberdelincuentes locales y que ha cobrado 120.000 víctimas desde que fue lanzada en 2009.

Luego de seis años enfocada en territorio mexicano, la banda expandió su operación a Brasil, Venezuela y ahora a nuestro país. Los atacantes envían mensajes de correos electrónicos falsos, provenientes supuestamente de la Dian, o la Procuraduría, con un archivo adjunto, el cual contiene el código malicioso. Si el usuario cae en la trampa, abrirá el archivo y permitirá a los cibercriminales acceder a su computador, tableta o teléfono móvil. “Ramsonware no es una amenaza sofisticada; en realidad es simple, pero un número muy grande de personas caen”, explica Dmitry Bestuzhev, director para América Latina del equipo de investigación de Kaspersky Lab. Para este experto, es evidente que hay mucho trabajo por hacer en cuanto a la educación de la gente frente al cibercrimen. El descuido humano sigue siendo una de las puertas abiertas que facilitan el trabajo de los cibercriminales.

Pero no se trata solo de las débiles competencias informáticas de los adultos. Los milenials, adictos a la tecnología, han traído nuevos riesgos al mundo digital. “Los milenials prefieren la comodidad antes que la seguridad y hay bancos que diseñan estrategias específicas para ellos, y les permiten abrir cuentas sin necesidad de desplazarse hasta una oficina del banco”, explica David Castañeda, vicepresidente de investigación y desarrollo de Easy Solutions. Esta compañía realizó una investigación sobre el impacto de este grupo de población en el mapa de la seguridad digital.

86% de personas entre 25 y 34 años son usuarios de smartphone, y 94% de ellos utiliza la banca en línea. Casi ninguno de ellos quiere hacer fila en una oficina. Pero lo más alarmante de sus hábitos digitales viene a continuación: solo en Estados Unidos 44% de ellos ha sido víctima del cibercrimen, 31% comparte sus contraseñas y credenciales bancarias y 84% pone en riesgo sus cuentas al revisarlas desde puntos WiFi públicos. David Castañeda considera que es todo un reto para el sector financiero atender este segmento de población, el más prometedor, con un adecuado equilibrio entre seguridad y comodidad. 

Lo invitamos a leer: Uno de los hackers más reconocidos del mundo dice cómo ve la ciberseguridad en Colombia

Negocio en expansión

A diario ocurren millones de ataques a personas y a organizaciones, aunque solo una fracción de ellos tiene éxito. Cifras de Kaspersky estiman que en Latinoamérica ocurre un ataque cada 12 segundos y 1’100.000 ataques cada día. Por otro lado, el Estudio comparativo de protección de datos 2016, realizado por Intel Security, encontró que en promedio una organización sufre 20 incidentes de seguridad al día y que el tamaño sí importa, pues cuanto más grande es la organización, más atractiva resulta para el cibercrimen. Los atacantes se hacen con los registros de las bases de datos de clientes y afiliados de bancos, hospitales, sistemas de seguridad social y otras organizaciones, para cobrar por ellas o para utilizar los datos de las personas con fines económicos.

Investigaciones de McAfee Labs encontraron que un solo cibercriminal que utiliza el ramsonware recibió ganancias por US$94 millones durante los primeros seis meses de 2016, y otro recibió US$121 millones en el mismo periodo, todos pagados en bitcoins por organizaciones en Norteamérica y Europa, algunas de ellas hospitales que sufrieron el secuestro de los datos de sus pacientes. Los autores de estos ataques suelen cobrar entre 1 y 5 bitcoins por cada dato secuestrado.

“El hacker ya no es un geek apasionado por los sistemas, que está jugando con su computador en algún garaje de cualquier ciudad; ahora lo que existe es toda una economía de millones de dólares al año”, explica Isam Hauchar, director corporativo del Segmento Empresas y Negocios de Claro. En su opinión, las Pyme suelen subestimar el riesgo al considerar que por su tamaño no serán blanco de ataques. “Se debe ser consciente que el riesgo de ser atacados aumenta diariamente y por tanto son necesarias contramedidas que minimicen o eviten los incidentes de seguridad”, agrega.

¿Peligro en el Cajero?

La clonación de tarjetas débito y crédito azotó a los colombianos por años. Se conoce técnicamente como skimming al proceso de copiar, mediante un dispositivo instalado ilegalmente en los cajeros, los datos de la banda magnética de una tarjeta para posteriormente utilizarla sin el consentimiento del propietario. La gente llegó a sentir terror cada vez que debía acudir a un cajero. En el país se llevó a cabo un proceso de recambio de cajeros electrónicos, desde que la Superintendencia emitió la resolución 042, la cual hizo que en los últimos 7 años fueran cambiados 95% de los 14.500 cajeros instalados en suelo colombiano. Los cajeros tienen ahora una videograbadora para guardar registro fílmico de la transacción y se instalaron sensores antiskimming, gracias a lo cual el delito de la clonación ha disminuido sensiblemente.

Los cajeros automáticos, no obstante, son blanco de ataques “lógicos”; es decir, mediante sofisticados sistemas de software que han empezado a aparecer en otras partes del mundo. Reportes de Kaspersky indican que hay una marcada preferencia de los cibercriminales por atacar directamente a los bancos, en lugar de a las personas. La principal estrategia es tomar el control de cajeros automáticos, a distancia y sin clonar tarjetas, mediante software malicioso implantado en los servidores de los bancos, lo que se conoce como jackpoint.

Un banco europeo perdió recientemente US$17 millones en un ataque de este tipo. Los atacantes desviaban fondos a la velocidad de US$200 por minuto, hasta que el delito fue detectado. En Colombia ocurrió un sonado caso en 2014, en el que los delincuentes lograron hurtar el equivalente a US$304.000 provenientes de catorce cajeros automáticos infectados.

Jorge Arenas, gerente general de NCR, fabricante de cajeros automáticos, señala que no se han vuelto a presentar casos de este tipo y considera que “en cuanto a lo lógico, los bancos del país están bien protegidos”, a pesar de que persiste el problema en “lo físico”; es decir, delitos como engañar a una persona para cambiarle la tarjeta débito durante una asesoría espontánea en un cajero y, todavía, algo de clonación. Las tarjetas que sólo tienen chip (sin banda magnética) no pueden ser clonadas.

Lea también: Las empresas colombianas escatiman en gastos y se rajan en ciberseguridad

El lado bueno

Que no cunda el pánico. Hay muchas bandas dedicadas al fraude pero también hay muchas compañías dedicadas a la seguridad digital. En opinión de Daniel Cuéllar, vicepresidente de Gemalto para el Pacto Andino y Caribe, “es seguro hacer transacciones electrónicas en Colombia, si se realizan en los sitios web y plataformas legítimas de los bancos”. De hecho, Gemalto es el creador para la banca colombiana de la más extendida aplicación de pagos móviles en la historia financiera del país, Banca Móvil, implementada desde 2006 en casi todos los teléfonos y todavía en uso en el segmento “no smartphones”, y que durante 10 años movió millones de transacciones electrónicas con la envidiable tasa de cero fraude.

La lista de tecnologías disponibles para asegurar la legitimidad de una transacción electrónica es considerable: biometría, reconocimiento de voz, reconocimiento facial, autenticación de doble factor, tokenización, entre otras. Son las fórmulas con las que un banco puede verificar la identidad del usuario que inicia una transacción. Pero además se asegura la transmisión de los datos mediante sistemas de encriptación que no han sido rotos jamás, y por último, el banco almacena de manera segura la información en sus servidores, para impedir el acceso no autorizado. 

Se puede poner la tarjeta de crédito en la página de Linio, Éxito.com o en las apps de los bancos colombianos. Siempre que el usuario esté seguro de que se trata del sitio oficial, la compra será segura y sin riesgo. De hecho, las transacciones electrónicas en el país crecieron 49% el año pasado y representan 4,08% del PIB, según el más reciente informe de la Cámara Colombiana de Comercio Electrónico.

Durante el último “cyberlunes” realizado el pasado 28 de noviembre, los colombianos realizaron 583.000 compras, aprovechando las ofertas que las tiendas en línea establecen ese día, todas ellas terminadas exitosamente y sin contratiempos, gracias a que se realizaron sobre plataformas seguras. Pero no sobra estar al tanto de los riesgos, mejorar los hábitos digitales y asegurar todos los dispositivos, desde el computador hasta el teléfono, para llevar una vida en línea saludable.

Lo invitamos a leer: Pese a desaceleración del mercado de seguridad, ESET prevé crecimiento del 10%

Recomendaciones para un vida digital segura