MERCÈ MOLIST - EL PAÍS - 12-01-2006 Los virus y el phishing (mensajes que simulan venir de una entidad bancaria) han sido lo peor de 2005, junto al aumento de redes de ordenadores asaltados para mandar estos virus, fraudes y correo basura. Destaca la aparición de un nuevo ataque, el pharming, y la creciente motivación económica de los criminales informáticos.
Las estadísticas de los centros españoles de atención a incidencias (CERT) son claras: en 2005, las mayores amenazas han sido los virus, gusanos y troyanos, el phishing, los accesos ilegales a ordenadores mediante códigos maliciosos, ataques de fuerza bruta para romper contraseñas débiles y escaneos a puertos con fallos conocidos, ataques a servidores web, especialmente PHP, y los bombardeos.
Nada nuevo bajo el sol, dice Chelo Malagón, del Iris-cert: "Se confirma la tendencia de atacar a usuarios finales, conectados permanentemente y poco protegidos. Esto hace que el número de ordenadores asaltados sea mayor y los ataques realizados con ellos, masivos. También aumenta la venta de listas de equipos comprometidos y el acceso a servicios de comercio electrónico para obtener información de sus usuarios".
Manuel García-Cervigón, del Escert, añade: "El phishing se ha duplicado y ha aparecido una nueva modalidad, el pharming, que lleva a los usuarios a webs falsas, manipulando el sistema de nombres de dominio (DNS)".
El pharming apareció públicamente en abril, cuando diversos ataques aprovecharon fallos de servidores Microsoft para redirigir a los usuarios de 700 sitios, como Americanexpress.com, Cnn.com o Msn.com, a webs falsas donde les introducían programas espía. Cuando el internauta tecleaba una dirección en su navegador, el servidor DNS atacado le llevaba a destino falso.
De la diversión al lucro
El objetivo era recolectar información de las víctimas para venderla a emisores de correo basura. Un ejemplo más de la creciente motivación económica de los criminales electrónicos y de su uso e interrelación de distintos ataques. Si antes se creaban virus o se asaltaban ordenadores por diversión, ahora se hace para robar información y tomar el control de estos equipos, creando redes de cientos de miles de ordenadores que se venderán o alquilarán para enviar correo basura, programas espía y virus.
La existencia de estas redes de ordenadores esclavos se confirmó en 2005 con diversas redadas. La policía holandesa detuvo a tres hombres, responsables de una red con 100.000 equipos implicados.
En España, la acción policial se centró en el phishing, la pornografía infantil y los virus. La Guardia Civil detuvo a A. R. B., presunto autor del virus Tasin. Días después cayó J. A. S., acusado de difundir un troyano en las redes P2P para robar datos bancarios. En junio, la policía detuvo al conocido P. Power, que creaba y distribuía códigos que rompían las protecciones de programas comerciales. En Málaga se desmanteló una banda de 310 nigerianos que enviaban mensajes anunciando premios de lotería falsos.
No todo han sido problemas con la ley. Expertos españoles en seguridad han descubierto fallos de alcance mundial, como Hugo Vázquez, que ha denunciado vulnerabilidades en servidores web Cisco y el sistema de certificación SSL de Verisign. Otro español, Anelkaos, destapó un importante agujero en el correo de Google, Gmail. Jordi Corrales descubrió un fallo en el cliente de chat mIRC que permitía tomar el control del equipo afectado.
Crece la vulnerabilidad
Las vulnerabilidades en programas han aumentado un 15%, según Escert. Las más importantes para el usuario están relacionadas con Windows (Internet Explorer, Microsoft Office y Outlook Express), reproductores multimedia y mensajería instantánea.
El año que acabó vio la extensión del phishing en España, que ha afectado a la mayoría de los bancos, explica José María Luque, responsable de seguridad de la Asociación de Internautas: "Ha evolucionado a gran velocidad: de los primeros correos con faltas de ortografía a los actuales, que emulan ventanas con la dirección del banco, dan números de fax para que la víctima envíe sus datos o incluyen falsos certificados de autenticidad". Lo último, dice, son "las ofertas falsas de trabajo para blanquear el dinero obtenido del robo de datos bancarios mediante phishing, usando a personas inocentes como intermediarias para enviar a distintos destinos el dinero robado".
Luque afirma que el 75% de phishing ha simulado venir de entidades bancarias, el 20%, de empresas de subastas e intercambio de dinero y el 5% de webs falsas de recargas para móviles: "A principios de 2005 eran ataques esporádicos, en mayo se duplicaron y desde agosto son continuos. Antes aprovechaban los fines de semana y días festivos, ahora es raro que no se produzca un gran ataque casi a diario".
Todas han puesto en su web alguna advertencia y cada vez se cierran más rápidamente las páginas falsas. "A principios de 2005, la vida media de una web falsa era de 7 a 12 días. En los últimos meses es de 24 horas a 2 días".
