Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Elaborado por Franois Paget, Laboratorios McAfee Avert Labs

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

ndice
Algunas cifras Estadsticas de la Comisin Federal de Comercio de Estados Unidos CyberSource Internet Crime Complaint Center En Europa Las mltiples caras del fraude Robo de identidad a pequea y gran escala Carding y skimming Phishing y pharming Crimeware Blanqueo de dinero Mulas Casinos virtuales Pump and dump Fraude nigeriano de cargo anticipado (fraude 419) Subastas Compras online Mtodos de pago annimo Medidas de proteccin Puntuacin Estndar Europay, MasterCard y Visa (EMV) DSS del PCI Protocolos Secure Sockets Layer (SSL) y Transport Layer Security (TLS) Validacin SSL ampliada Tecnologa 3-D Secure Autenticacin slida y dispositivos de contraseas desechables Autenticacin basada en el conocimiento Autenticacin del correo electrnico Conclusin Acerca de McAfee, Inc. 3 3 4 4 5 6 7 8 8 9 10 10 11 12 13 14 16 17 18 18 18 19 19 20 21 22 23 23 24 26

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

El fraude financiero tiene muchas facetas. Ya se trate de estafas, fraude de tarjetas de dbito o de crdito, fraude inmobiliario, trfico de drogas, robo de identidad, telemarketing engaoso o blanqueo de dinero, el objetivo de los ciberdelincuentes es conseguir la mayor cantidad posible de dinero en poco tiempo, y hacerlo de forma discreta. Este documento le presenta una serie de amenazas a las que se enfrentan los bancos y sus clientes. Incluye algunas estadsticas y descripciones de soluciones que proporcionarn a los lectores si son responsables de la seguridad de una organizacin financiera o de un cliente una visin general de la situacin actual. Algunas cifras Estadsticas de la Comisin Federal de Comercio de Estados Unidos En los Estados Unidos, muchos observadores llevan aos intentando demostrar que el fraude financiero se est estabilizando o reduciendo. La Comisin Federal de Comercio de Estados Unidos (FTC) es responsable de proteger a los consumidores y de vigilar la competencia. Sus informes anuales muestran una estabilizacin en el nmero de reclamaciones entre 2004 y 20061. En 2007, no obstante, las cifras aumentaron ligeramente2. Los tres indicadores de la FTC estn ahora en ascenso.

500.000 450.000 Nmero de reclamaciones 400.000 350.000 300.000 250.000 200.000 150.000 100.000 50.000 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 (aprox.)

Reclamaciones de robo de identidad Reclamaciones de fraude relacionadas con Internet Otras reclamaciones de fraude
Figura 1: Estadsticas anuales de consumidores de la Comisin Federal de Comercio de Estados Unidos. (Fuente: FTC)

En 2008, la FTC dej de separar del total las reclamaciones de fraude relacionadas con Internet3. La Figura 2 muestra su nuevo desglose. Para 2008, slo el 58% de las reclamaciones de fraude totales informaban del mtodo de contacto inicial. De stas, el 52% citaban el correo electrnico, mientras que un 11% se iniciaban en un sitio Web. Slo el 7% de los consumidores que facilitaron estadsticas mencionaron el telfono como punto de contacto inicial.

1.

Datos de reclamaciones de fraude al consumidor y robo de identidad: Ao 2004: http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2004.pdf Ao 2005: http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2005.pdf Ao 2006: http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2006.pdf 2. Ao 2007: http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2007.pdf 3. Datos de reclamaciones de fraude al consumidor y robo de identidad: Ao 2008. http://www.ftc.gov/sentinel/reports/sentinel-annual-reports/sentinel-cy2008.pdf

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

AN-2006 Mtodo de contacto Internetcorreo electrnico Correo Internetsitio Web/otros Telfono Otros Total de personas que informan del mtodo de contacto Reclamaciones 138.195 50.317 46.687 39.365 31.722 306.286 Porcentajes* 45% 16% 15% 13% 10%

AN-2007 Reclamaciones 152.131 42.330 45.447 33.733 33.481 307.122 Porcentajes* 50% 14% 15% 11% 11%

AN-2008 Reclamaciones 193.817 51.837 40.596 26.067 57.695 370.012 Porcentajes* 52% 14% 11% 7% 16%

* Los porcentajes se basan en el nmero total de reclamaciones por fraude de la CSN para cada ao natural en el que los consumidores informaron del mtodo de contacto inicial de la empresa: Ao Natural-2006 = 306.286; Ao Natural-2007 = 307.122; y Ao Natural-2008 = 370.012. El 58% de los consumidores facilitaron esta informacin durante el AN-2008. El 71% y el 53% lo hicieron durante los AN-2006 y AN-2007, respectivamente.

Figura 2: Reclamaciones de fraude de Consumer Sentinel Network por mtodo de contacto. (Fuente: CSN)

CyberSource El fraude, como porcentaje de los ingresos online cifra combinada de Estados Unidos y Canad, ha descendido en los ltimos aos. Segn CyberSource, un proveedor de servicios de pago electrnico y seguridad, se estabiliz en el 1,4% hace tres aos. Pero las prdidas globales de ingresos han experimentado un aumento notable. A medida que se desaceleraba el crecimiento de las ventas online durante 2008, se calcula que las prdidas registradas fueron de cuatro mil millones de dlares slo para el mercado estadounidense. Esto supone un incremento del 11% en valor, tras una subida del 20% el ao anterior4.
Prdida de ingresos online a causa de fraude en miles de millones de dlares de EE.UU.
4,5 $ 4,0 $
3,6

% de prdida de ingresos a causa de fraude online

4,0 3,5 3,0 2,5 2,0
1,7

% de prdida de ingresos online

Prdida de ingresos online

2,9

3,0 $
2,8 $

2,5 $ 2,0 $
2,1 $ 1,7 $ 2,6 $

1,6

1,6

1,6

1,6

1,5 $ 1,0 $ 0,5 $ 0,0 $

1,5 $

1,0 0,5 0

2000 2001 2002 2003 2004 2005 2006 2007 2008

2000 2001 2002 2003 2004 2005 2006 2007 2008

Aunque la tasa de prdida de ingresos debida al fraude en los pagos electrnicos fue estable en 2008, los dlares totales perdidos con motivo del fraude fraude en debido al crecimiento mercado estadounidense. Aunque la tasa de prdida de ingresos Figura 3: Estadsticas dehan aumentadolos pagos para elde las ventas online. debida al fraude en los pagos electrnicos fue estable en 2008, los dlares totales perdidos con motivo del fraude han aumentado debido al crecimiento de las ventas online. (Fuente: 10 informe anual de fraude online de CyberSource)

Internet Crime Complaint Center Internet Crime Complaint Center,5 que colabora con el FBI y con el National White Collar Crime Center, tambin recopila datos. En 2008, los estadounidenses presentaron un 33,1% ms de reclamaciones que en 2007 y la cantidad total de dinero robado online alcanz un mximo histrico. El Centro registr casi 275.000 denuncias que representaban prdidas por valor de 265 millones de dlares, un 10,6% ms que en 2007.
4. CyberSource. 10 informe anual, edicin de 2009, "Online Fraud Report." (Informe sobre el fraude online). http://forms.cybersource.com/forms/FraudReport2009NACYBSwww020309 5. Internet Crime Complaint Center, "2008 Internet Crime Report" (Informe de delitos en Internet, 2008). http://www.nw3c.org/downloads/2008_IC3_Annual%20Report_3_27_09_small.pdf

1,9 $

1,5

1,8

3,0 $

3,6 $

3,2

3,5 $

4,0 $

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Prdida anual (en millones de dlares) Reclamaciones referidas

280 $ 260 $ 240 $ 220 $ 200 $ 180 $ 160 $ 140 $ 120 $ 100 $ 80 $ 60 $ 40 $ 20 $ 0$

239,09 $ 183,12 $ 125,60 $ 54,00 $ 17,80 $ 68,14 $ 198,44 $

264,59 $

Comparacin por aos de reclamaciones recibidas por el sitio Web IC3 300.000 250.000 200.000 150.000 100.000 50.000 0
275.284 207.449 124.515 50.412 75.064 231.493 207.492 206.884

2001

2002

2003

2004

2005

2006

2007

2008

Comparacin por aos de referencias 120.000 2003 2004 2005 2006 2007 2008 100.000 80.000 60.000 40.000 20.000 0
4.810 28.252 70.553 103.959 96.731 86.279 90.008 72.940

16.838

2000 2001 2002

2001

2002

2003

2004

2005

2006

2007

2008

Figura 4: Estadsticas del Internet Crime Complaint Center para Estados Unidos. (Fuente: Informe de delitos en Internet de IC3 para 2008)

En la mitad de los casos, la prdida monetaria fue inferior a 1.000 dlares. Un tercio (33,7%) de quienes presentaron reclamaciones denunciaron prdidas de entre 1.000 y 5.000 dlares. Slo el 15% indicaron prdidas mayores de 5.000 dlares.
% de las prdidas totales notificadas 7,8 14,4 5,2 3,8 28,6 16,3 4,7 Prdida media por reclamacin con denuncia de prdida 3.000 $ 2.000 $ 1.650 $ 1.000 $ 800 $ 610 $ 223 $

Tipo de reclamacin Fraude de cheques Fraude de confianza Fraude de las cartas nigerianas Fraude informtico No se realiza la entrega (mercanca y pago) Fraude en las subastas Fraude con tarjetas de crdito/dbito

Figura 5: Importes perdidos por fraude, desglosados por tipo, por parte de los estadounidenses que denuncian prdidas. (Fuente: Informe de delitos en Internet de IC3 para 2008)

El fraude en las subastas y no entregar las compras realizadas son las reclamaciones ms denunciadas. Otras reclamaciones estn relacionadas con el fraude con tarjetas de crdito o incluso con el fraude (timo) de los pagos por adelantado. El correo electrnico y las pginas Web son los dos principales mecanismos utilizados para abordar a las vctimas. Nos encontramos con que un timo denunciado con frecuencia tiene que ver con la compra o venta de mascotas. La mayora de las denuncias provienen de hombres. Casi la mitad tienen entre 30 y 50 aos, y un tercio de ellos viven en uno de los cuatro estados ms poblados de los Estados Unidos: California, Florida, Texas y Nueva York. En Europa Durante el mismo perodo (2004 a 2007) y segn las cifras globales para Norteamrica, las estadsticas de la Association for Payment Clearing Services (Asociacin de Servicios de Pago y Compensacin) mostr asimismo una disminucin del fraude bancario online. En Gran Bretaa, el brusco aumento de 2006 no tuvo continuidad en el ao siguiente. Las cifras para 2007 fueron incluso menores que las de 2005. Esta nota de optimismo queda hoy considerablemente atemperada por los resultados de la primera mitad de 2008, que muestran un aumento del 185% respecto al ao pasado6.
6. APACS, "APACS announces latest fraud figures" (APACS publica las ltimas cifras de fraude). http://www.apacs.org.uk/APACSannounceslatestfraudfigures.htm

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Enerojunio de 2004 Prdidas por fraude en la banca electrnica (en millones) Incidentes de phishing Ofertas de reclutamiento de "mulas" 4 126 n.d.

Enerojunio de 2005 14,5 312 196

Enerojunio de 2006 22,4 5.087 468

Enerojunio de 2007 7,5 7.224 655

Enerojunio de 2008 21,4 20.682 873

Incremento, 20072008 185% 186% 33%

Figura 6: Fraude en la banca electrnica, phishing y anuncios pidiendo "mulas" (blanqueadores de dinero) en el Reino Unido. (Fuente: APACS, asociacin de servicios de pago del Reino Unido)

En Francia, existe una especial preocupacin respecto a los riesgos que entraan los pagos electrnicos remotos. Segn el informe de 2007 del Observatoire de la scurit des cartes de paiement7, estas transacciones, que slo representan el cinco por ciento del nmero total de transacciones "sin papel" (por ejemplo, transferencias, dbitos y tarjetas), suponen el 44% de los fraudes (frente al 32% en 2006). En un ao, el fraude electrnico en las transacciones nacionales en Francia creci un 97% para alcanzar la cifra de 26,4 millones de euros. En lo que respecta a las transacciones internacionales, el Observatorio facilita cifras que slo se refieren a transacciones realizadas usando tarjetas francesas en el extranjero. Tambin aqu descubrimos que la tasa de fraude en los pagos remotos es mayor para los pagos por Internet que para otros tipos de transacciones remotas.
Importe del fraude (en millones de euros) Fraude en los pagos remotos Transacciones nacionales Emisor francs, beneficiario extranjero Por correo o por telfono Online Por correo o por telfono Online 2006 19,8 13,4 5,7 20,3 2007 23,8 26,4 7,6 27,4

Figura 7: Distribucin del fraude en Francia, por tipo de transaccin. (Fuente: Observatoire de la scurit des cartes de paiement)

Otro organismo de seguimiento, la Office central de lutte contre la criminalit lie aux technologies de l'information et de la communication (Oficina Central para la Lucha Contra la Delincuencia Relacionada con la Tecnologa de la Informacin y de las Comunicaciones), indica que el 80% de las llamadas recibidas en 2007 corresponden a timos por Internet. Las mltiples caras del fraude El ordenador personal, a menudo mal protegido, es uno de los objetivos favoritos de los ciberdelincuentes. Los usuarios se dejan seducir con demasiada frecuencia por una oferta maravillosa o por alertas que parecen proceder de sus bancos. Los sitios de rplica (phishing) o los sitios que albergan malware estn detrs de muchos de los ataques. Estados Unidos, Rusia, China, Canad, Francia y la Repblica de Corea son los pases que ms malware alojan, segn el Anti-Phishing Working Group (Grupo de Trabajo Antiphishing)8. La empresa de seguridad RSA suele aadir Alemania, y ms recientemente Luxemburgo, a esta lista9.

7. Observatoire de la scurit des cartes de paiement, "Rapport annuel 2007" (Informe anual 2007). http://www.banque-france.fr/observatoire/telechar/rap_an_2007.pdf 8. APWG, "Phishing Activity Trends Report, Q1/2008" (Informes sobre tendencias de las actividades de phishing, primer trimestre de 2008). http://www.antiphishing.org/reports/apwg_report_Q1_2008.pdf 9. RSA. "RSA Online Fraud Report, July 2008" (Informe sobre fraude online de RSA, julio de 2008). http://www.rsa.com/solutions/consumer_authentication/intelreport/FRARPT_DS_0708.pdf

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

En lo que respecta al "cerebro", a menudo se seala a los pases del antiguo bloque sovitico. Algunos rumores incluso mantienen que los lderes de la poderosa Russian Business Network (RBN) estn estrechamente vinculados al gobierno10. Hasta noviembre de 2007, el servicio de hosting "blindado" de RBN permiti a muchos de sus miembros realizar todo tipo de actividades delictivas. Por unos 600 dlares mensuales por cliente, la organizacin finga tramitar las reclamaciones que reciban, mientras permita a sus protegidos proseguir con sus fechoras. Con un milln de sitios, varios millones de direcciones IP disponibles y cuatro millones de visitantes al mes, la empresa era rentable11. Varias investigaciones llevadas a cabo en Francia y en Estados Unidos desbarataron el negocio. Al desaparecer RBN, las sospechas se dirigieron rpidamente hacia el ISP turco Abdallah Internet Hizmetleri (AIH)12,13 y luego hacia dos ISPs estadounidenses (Atrivo y EstDomains)14,15. En la actualidad, los expertos se preguntan si se estn enfrentando a una migracin sucesiva de los clientes de RBN a otros parasos seguros o si es que la organizacin rusa ha establecido discretamente redes clandestinas de alianzas y de influencias de tipo mafioso para seguir administrando a una gran parte de los que participan en el fraude financiero online. Robo de identidad a pequea y gran escala La identidad de una persona constituye la base de su personalidad legal. En el mundo real, esta identidad viene definida por el estado civil y est protegida por la ley. En el mundo virtual, la identidad de una persona tiene mayor alcance y su definicin no es tan clara. Algunos datos digitales relativos a la identidad de una persona (como nombres de cuentas, nombres de usuario y contraseas) proporcionan acceso a datos privados. Todos estos identificadores digitales, que no se consideran elementos de la personalidad legal de una persona, son cada vez ms deseables. La estacin de trabajo cliente es el objetivo favorito de los ciberdelincuentes, pero muchos casos de copias de seguridad perdidas o descubrimiento de negocios o redes bancarias comprometidos demuestran que el robo de identidad tambin se practica a gran escala16.
Registros expuestos 94.000.000 40.000.000 30.000.000 26.500.000 25.000.000 17.000.000 12.500.000 11.000.000 8.637.405 8.500.000 Fecha de notificacin 17 de enero de 2007 19 de junio de 2005 24 de junio de 2004 22 de mayo de 2006 20 de noviembre de 2007 6 de octubre de 2008 7 de mayo de 2008 6 de septiembre de 2008 12 de marzo de 2007 3 de julio de 2007

Duracin Julio 2005 diciembre 2006 Septiembre 2004 mayo 2005 Abril 2003 abril 2004 3 de mayo de 2006 Octubre de 2007 20062008 27 de febrero de 2008 Julioagosto 2008 Mayo 2001 marzo 2006 2002junio 2007

Organizaciones Empresas TJX CardSystems, Visa, MasterCard, American Express America Online Departamento de Asuntos de Veteranos de Estados Unidos Administracin de Hacienda y Aduana del Reino Unido, TNT T-Mobile, Deutsche Telekom Archive Systems, Bank of New York Mellon GS Caltex Dai Nippon Printing Company Certegy Check Services, Fidelity National Information Services

Origen Deficiencias en la red inalmbrica permitieron el robo de datos Secuencia de comandos maliciosa inyectada por medio de una aplicacin Web Datos robados por empleados y vendidos a remitentes de spam Datos personales contenidos en un porttil robado durante un allanamiento Prdida de dos CDs Datos robados y encontrados a la venta en Internet Prdida de cintas no cifradas Los empleados hicieron copias de datos personales para venderlas Datos robados por un ex-trabajador y vendidos a un grupo de delincuentes Datos robados por un empleado y vendidos a un tercero con fines de marketing

Figura 8: Principales incidentes de prdida de datos. (Fuente: Laboratorios McAfee Avert Labs)

10. VeriSign iDefense. "Global Threat Research Report: Russia" (Informe sobre la investigacin de amenazas mundiales: Rusia), pgina 23. http://www.verisign.com/static/042139.pdf 11. VeriSign. "Uncovering Online Fraud Rings: The Russian Business Network" (Deteccin de las redes de fraude por Internet: la red empresarial rusa) (grabacin de webcast). http://www.verisign.com/ 12. David Bizeul, "Russian Business Network study" (Estudio de la red empresarial rusa). http://bizeul.org/files/RBN_study.pdf 13. The Shadowserver Foundation, "RBN 'Rizing': Abdallah Internet Hizmetleri (AIH)" (La RBN llega hasta Rize, Turqua: Abdallah Internet Hizmetleri (AIH)). http://digitalninjitsu.com/downloads/RBN_Rizing.pdf 14. Jart Armin y cols., "AtrivoCyber Crime USA" (AtrivoCiberdelincuencia en EE.UU.). http://hostexploit.com/downloads/Atrivo%20white%20paper%20090308ad.pdf 15. Washington Post, "EstDomains: A Sordid History and a Storied CEO", (EstDomains: una historia srdida y un director ejecutivo historiado). http://voices.washingtonpost.com/securityfix/2008/09/estdomains_a_sordid_history_an.html 16. Open Security Foundation, "DataLossDB". http://datalossdb.org/

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Aunque sigue creciendo el nmero de incidentes que afectan a varios millones de registros de datos, el caso de TJX sigue sobresaliendo en la mente de todos. Desde marzo de 2007, varios distribuidores y usuarios de esos datos han sido detenidos y condenados en relacin con este caso17. Uno de ellos, conocido como "Lord Kaisersose", fue arrestado en Francia en junio de 200718. Carding y skimming Los delincuentes frecuentan y participan en muchos sitios dedicados al uso fraudulento de tarjetas (carding) y la copia de las bandas magnticas (skimming), fciles de encontrar en Internet. En ellos compran o venden el acceso a cuentas bancarias, a nmeros de tarjeta robados, a vuelcos de bandas magnticas y a perfiles personales enteros. El 2 de mayo de 2008, encontramos un conjunto de cuentas bancarias en venta. La ms cara era tambin la que tena ms fondos: una cuenta en el banco europeo BNP Paribas con un saldo de 30.792 euros, que se venda online por slo 2.200 euros. Adems del precio rebajado, el vendedor ofreca una garanta de 24 horas: si el comprador no se poda conectar dentro de dicho plazo o si la cuenta ya no contena el dinero, se facilitara una cuenta de sustitucin.
Nombre del banco Bank of America Asmouth Bank Washington Mutual Bank Washington Mutual Bank Washington Mutual Bank MBNA America Bank Banco Bradesco S.A. Citibank NatWest BNP Paribas Caja de Ahorros de Galicia Caja de Ahorros de Galicia Banco Sabadell Pas EE. UU. EE. UU. EE. UU. EE. UU. EE. UU. EE. UU. Brasil Reino Unido Reino Unido Francia Espaa Espaa Espaa Saldo ... 16.040 $ 14.400 $ 7.950 $ + 2.612 ... 22.003 $ 13.451 $ 10.044 12.000 30.792 23.200 7.846 25.663 Precio Vendido 700 600 500 Vendido 1.500 650 850 1.000 2.200 1.200
500

1.450

Figura 9: Datos de una cuenta bancaria en venta, tomados de un sitio Web de carding

Phishing y pharming Phishing es una conocida tcnica para obtener informacin confidencial de un usuario fingiendo ser una autoridad de confianza. El atacante, ayudndose casi siempre de un mensaje de correo electrnico engaoso, redirige a la vctima a un sitio de rplica. Con ayuda de un troyano, tambin es posible infiltrarse en la conexin entre la direccin IP y el nombre del servidor al que responde. Esto se conoce como pharming. En ambos casos, las vctimas creen estar visitando sitios legtimos. Ignorantes de que el 80% de los mensajes de correo electrnico de los bancos son fraudulentos19, muchos usuarios no dudan en facilitar datos personales. Segn las estadsticas mensuales de PhishTank, el objetivo ms popular es PayPal20. Los resultados colocan a PayPal en el primer puesto por un amplio margen, mientras que otras empresas conocidas cambian ligeramente de puesto cada mes. eBay, que sigui de cerca a PayPal en 2007, ocupa a menudo el segundo puesto.
17. Departamento de Justicia, "Retail Hacking Ring Charged for Stealing and Distributing Credit and Debit Card Numbers from Major U.S. Retailers" (Banda de pirateo a minoristas acusada de robar y distribuir nmeros de tarjetas de crdito y dbito de importantes minoristas estadounidenses). http://www.usdoj.gov/criminal/cybercrime/gonzalezIndict.pdf 18. Tribunal de distrito de los Estados Unidos, Distrito de Columbia, "Affidavit in Support of Complaint for Forfeiture" (Declaracin jurada en apoyo de denuncia por confiscacin). http://docs.justia.com/cases/federal/district-courts/district-of-columbia/dcdce/1:2007cv01346/126695/1/1.pdf 19. "Leading Companies & Non-Profits Realize the Benefits of Brand and Consumer Protection Through Email Authentication." (Importantes empresas y organizaciones sin nimo de lucro aprovechan las ventajas de la proteccin de marcas y consumidores por medio de la autenticacin del correo electrnico). http://www.reuters.com/article/pressRelease/idUS191046+31-Jan-2008+MW20080131 20. Estadsticas de abril de 2009. http://www.phishtank.com/stats/2009/04/

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Objetivos Enero PayPal Agencia Tributaria de los Estados Unidos eBay Google Bank of America Corp. Grupo HSBC 9.575 469 720 336 231 272

Ataques de phishing vlidos en 2009 Febrero 6.245 326 292 203 204 97 Marzo 9.605 96 459 169 429 265 Abril 7.575 426 356 330 290 228

Figura 10: Objetivos ms populares de los ataques de phishing. (Fuente: PhishTank)

Aunque las estadsticas varan, las marcas atacadas son principalmente bancos estadounidenses y britnicos, segn las autoridades. RSA indica que el 72% de los ataques se llevan a cabo contra bancos estadounidenses, si bien el Anti-Phishing Working Group (Grupo de Trabajo Antiphishing) una organizacin de Estados Unidos dedicada a eliminar los timos y el fraude en Internet informa de que la mitad de ellos estn dirigidos contra organizaciones europeas. Gartner estima que la prdida media por vctima en los Estados Unidos es de 886 dlares21. Crimeware Adems del phishing, los troyanos son muy populares entre los delincuentes. Este tipo de crimeware incluye ladrones de contraseas y registradores de pulsaciones, que registran las pulsaciones del teclado, realizan capturas de pantalla y envan todos los datos a los sitios de recogida. El volumen de crimeware va en aumento y es ms eficaz que nunca. El crimeware suele estar asociado con los rootkits, programas furtivos que ocultan el crimeware o lo hacen completamente invisible para muchas herramientas de seguridad. El crimeware tambin est apareciendo con mayor frecuencia en los ataques selectivos. De ah puede colarse eludiendo la deteccin si las herramientas no son capaces de identificarlo de forma genrica o mediante anlisis de comportamiento. Gran parte del crimeware se centra en los mundos virtuales y los juegos online, quiz entre el 30% y el 40% de los cientos de miles de ladrones de contraseas detectados por McAfee VirusScan. Gran parte del crimeware se detecta como trminos genricos, pero algunas grandes familias estn clasificadas con mayor precisin.
PWS-Banker:

conexiones bancarias diversos juegos online con varios jugadores

PWS-MMORPG: PWS-LDPinch: PWS-Legmir:

recoge informacin acerca del sistema que lo alberga, busca contraseas almacenadas en el disco (ICQ, TheBat, conexin de acceso telefnico) juegos "Legend of Mir" captura pulsaciones diversos juegos online con varios jugadores juegos "Lineage"

Keylog-Ardamax: PWS-Lineage:

PWS-Onlinegames:

21. 257 dlares en 2005 y 1.244 dlares en 2006. En el estudio de Gartner se dice que, en 2007, el phishing ha costado a los usuarios estadounidenses de Internet 3.200 millones de dlares (2.200 millones de euros). El 64% de las vctimas han sido compensadas o reembolsadas. http://www.gartner.com/it/page.jsp?id=565125

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Estos son los principales ladrones de contraseas actuales; el siguiente grfico muestra su frecuencia en los ltimos dos aos.

Troyanos comunes de robo de contraseas

80.000

70.000

60.000

50.000

4 trim. 2008 3 trim. 2008

40.000

2 trim. 2008 1 trim. 2008

30.000

4 trim. 2007 3 trim. 2007

20.000

2 trim. 2007 1 trim. 2007

10.000

0
H PG AX ER IR E NC GM AG NK OR M NE PI BA LD LE DA M LI GA PW SON LI NE M ES

AR

S-

S-

S-

S-

PW

PW

S-

PW

PW

Figura 11: Variantes en el malware de robo de contraseas. (Fuente: Laboratorios McAfee Avert Labs)

Blanqueo de dinero Casi todas las actividades delictivas necesitan blanquear dinero. Adems de los muchos mtodos tradicionales (como la transferencia electrnica de fondos, las empresas ficticias con bancos extranjeros, contrabando de efectivo, fraude bancario y corredores informales de intercambio de fondos), han surgido en Internet otros procedimientos modernos, como las "mulas" y los casinos virtuales. Mulas Este trmino, tomado del mtodo de transporte que los contrabandistas utilizaban para trasladar mercancas ilegales, designa hoy a las personas reclutadas a travs de Internet que sirven como intermediarios para recuperar efectivo de fondos obtenidos ilegalmente mediante phishing, captura de pulsaciones y otros timos. Por cada transaccin, la mula se queda entre el 5% y el 10% de la cantidad consignada y remite el resto a travs de un servicio annimo de transferencias de dinero, como WebMoney, e-gold o Western Union. Se suele pensar que las mulas son personas crdulas que han sido engaadas por una oferta de apariencia profesional (recibida a travs de spam o de sitios especializados). En realidad, las mulas rara vez son vctimas inocentes. Muchas personas a las que la ley no les preocupa especialmente y que buscan la forma de obtener dinero fcil no vacilan en ofrecerse voluntarias. En la actualidad, el trabajo de la mula se est convirtiendo en una profesin en s misma. Esto viene demostrado por arrestos recientes en Francia y en otros pases. En mayo de 2008, cuatro personas que ejercan de mulas fueron interrogadas formalmente y puestas bajo vigilancia por orden judicial en relacin con un caso22. Se hallaban en el centro de un timo dirigido contra PayPal y eBay y fueron acusados de "fraude organizado" y "encubrimiento de fraude organizado". Se dice que un cmplice,
22. 01net. "Quatre mules arrtes pour escroquerie via PayPal", (Cuatro mulas arrestadas por fraude a travs de PayPal). http://www.01net.com/editorial/379382/quatre-mules-arretees-pour-escroquerie-via-paypal/

PW

PW

S-

10

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

un hacker de 17 aos, est viviendo actualmente en Tnez. Presuntamente, las mulas habran timado a un total de 19 usuarios de Internet franceses y obtenido un botn total de unos 20.000 euros. Los investigadores han dado a entender que puede haber al menos otras 10.000 vctimas. En septiembre de 2007, para ver cmo funciona una de estas ofertas, respond a una propuesta de trabajo en casa en Internet. A continuacin recib las respuestas a preguntas frecuentes que describan el negocio. Preguntas frecuentes acerca del trabajo por cuenta propia: P1: Qu tengo que hacer? R: Sus funciones incluyen controlar nuestro flujo de efectivo y realizar algunas transacciones. Recibir pagos de nuestros principales clientes a su cuenta bancaria en fechas y horas que le vengan bien a usted y a continuacin nos remitir el dinero a nosotros. Su comisin por cada transaccin ser del 7%. NO necesitamos que invierta dinero alguno. P2: Por qu sus clientes no les pagan directamente a ustedes? R: Los clientes no nos transfieren los pagos directamente a nosotros porque no contamos con ninguna otra sucursal en Europa (slo en el Reino Unido). As que ahorramos dinero en costes de produccin y usted gana un 7%, lo que resulta rentable para ambas partes. P3: Deme un ejemplo del proceso de trabajo. R: 1. El cliente enva el pago desde su cuenta bancaria y nos lo notifica*. 2. Nosotros le informamos a usted por telfono y por correo electrnico de que se ha hecho la transferencia. Y le enviamos un mensaje de correo electrnico (ejemplo): "Se ha hecho una transferencia a su cuenta bancaria. El importe es de 5.000 euros de nuestro cliente Peter Tischler de Berln, Alemania. Le rogamos que compruebe su cuenta maana, retire el dinero y lo enve por Western Union o MoneyGram a Kate Lewis, Reino Unido, Londres." 3. Usted va a su banco y retira el dinero. 4. Deduce su 7% del importe, va a Western Union o a MoneyGram con el efectivo restante y lo enva a Kate Lewis, Reino Unido, Londres. 5. Usted nos enva por correo electrnico los datos de la transferencia por Western Union o MoneyGram y una copia escaneada del recibo de la transferencia.
* Nuestro director le llamar antes de la transferencia bancaria; si no puede recibir la transferencia, la haremos otro da. De este modo podr combinar el trabajo con su propia agenda.

Figura 12: Preguntas frecuentes de un sitio de reclutamiento de mulas.

Despus de un contacto inicial por correo electrnico, recib un contrato de trabajo. Teniendo en cuenta la evidente profesionalidad de la persona de contacto y la calidad de los documentos que vi, una persona desinformada podra picar. Las compaas de seguridad informtica, la banca y la polica se comunican con creciente frecuencia en relacin con estas amenazas, pero varios intercambios que he tenido recientemente con gente corriente indican que an es necesaria una gran cantidad de formacin. Casinos virtuales En 2006 haba unos 15.000 sitios de juego online activos23. Es poco probable que esta cifra haya bajado desde entonces. Dado que actualmente slo hay 1.766 sitios de juego online funcionando con licencia24, la actividad clandestina (sitios que hacen sus negocios sin licencia) representa ms del 87% de lo que est disponible en Internet. La ausencia de una estructura legal permite que cualquiera registre un sitio de Internet de forma annima y a continuacin cobre a sus clientes a travs de una cuenta bancaria annima en un paraso fiscal o por el sistema de dinero virtual. La mayora de los principales grupos de ciberdelincuentes rusos activos en la actualidad (como RBN y Yambo Financial) iniciaron sus actividades delictivas con la pornografa infantil y los casinos online.
23. CERT-LEXSI, "Cybercriminalit des Jeux en Ligne" (La ciberdelincuencia en el juego online), julio de 2006. http://www.lexsi.com/telecharger/gambling_cybercrime_2006.pdf 24. Casino City, "Online Gaming Jurisdictions" (Jurisdicciones del juego online). http://online.casinocity.com/jurisdictions/index.cfm?sorttab=n/a&sortlist=sites&filterlist=&numperpage=25&searchall=1

11

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Pump and dump Los trucos de ingeniera social, como hacer circular noticias falsas en los foros, se vienen utilizando desde hace mucho para manipular la Bolsa. En 2006, asistimos al crecimiento de un giro popular a esta tcnica: las acciones pump-and-dump, una manipulacin de acciones de bajo precio, generalmente de empresas poco atractivas. Despus de comprar un gran nmero de acciones a su precio bajo, el comprador manipulador utilizara tcnicas de spam para enviar mensajes entusiastas diseados para aumentar artificialmente el precio de las acciones. Uno o dos das despus, tras un aumento del mercado, el remitente del spam vendera a un precio artificialmente alto y conseguira un beneficio. Un estudio realizado por investigadores de la Universidad de Purdue en Indiana y de la Universidad de Oxford en Inglaterra observ un aumento significativo de los precios y del volumen de acciones negociadas correspondientes a valores objeto de spam, desde el da anterior al inicio de la reventa hasta el da en que el spam estuvo ms activo25. Laura Frieder, coautora del estudio, explicaba quin adems de los propios remitentes de spam negociaba valores. "En primer lugar, estn los inversores ingenuos, codiciosos y quiz no muy inteligentes; parecidos a las personas que envan miles de euros a Nigeria o que propagan las cartas en cadena", dijo Frieder. "Si atribuyen aunque sea una pequesima probabilidad de xito a la idea de que pueden ganar dinero, calculan que vale la pena probar"26. Hay personas que saben que la informacin carece de valor, pero estiman que, si otras no lo saben, puede haber una oportunidad de ganar algo. "Si creo que otras personas van a comprar y hacer subir el precio, yo podra comprar si creo poder llegar a tiempo, obtener algo de la ganancia y salirme", dijo.

Figura 13: Correo electrnico de pump and dump.

La desconfianza generalizada de los pequeos accionistas, las exiguas ganancias obtenidas y el hecho de que gente indeseable haya intentado en ocasiones manipular la Bolsa han contribuido a la prdida de inters y eficacia de esta forma de fraude. Al no haber satisfecho las expectativas de quienes lo inventaron, el mtodo de pump and dump se ha hecho menos frecuente.

25. Laura Frieder y Jonathan Zittrain, "Spam Works: Evidence from Stock Touts and Corresponding Market Activity" (El spam funciona:pruebas de revendedores de acciones y la correspondiente actividad del mercado). http://cyber.law.harvard.edu/sites/cyber.law.harvard.edu/files/Spam%20Works.pdf 26. CBC, "Stock Spam: The New Boiler Room" (Spam de acciones:el nuevo cuarto de calderas). http://www.cbc.ca/news/background/personalfinance/stock-spam.html

12

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Fraude nigeriano de cargo anticipado (fraude 419) Llamado as por la seccin de la ley nigeriana que lo contempla, el fraude "419" es extremadamente popular y lucrativo. El engao suele llegar en un mensaje de correo electrnico firmado por un miembro de la familia de un dignatario (normalmente africano). El remitente explica que, tras el fallecimiento de un miembro influyente de su familia, una importante suma de dinero est bloqueada en una cuenta bancaria en algn lugar. El remitente indica que sera posible liberar el dinero con la ayuda del destinatario y utilizando el respaldo financiero de la vctima para transferir el dinero. Se ofrece una compensacin importante a quienquiera que se preste a ello. Una vez establecido el contacto, los delincuentes solicitan un anticipo. Puede consistir en abrir una cuenta bancaria o en pagar algunos cargos. Esto va seguido de una serie de gastos y dificultades que en ocasiones llegan hasta las amenazas fsicas. Y, por supuesto, el dinero bloqueado no existe realmente. En Francia, parece que los errores gramaticales u ortogrficos en los mensajes de correo electrnico en realidad generan confianza entre las personas desprevenidas, en lugar de ahuyentarlas. Lo mismo pasa con el aspecto altamente profesional de los siguientes documentos oficiales.

Figura 14: Contrato para el fraude de cargo anticipado.

13

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Segn las estadsticas sobre el fraude de cargo anticipado, en 2007 las prdidas llegaron a los 4.300 millones de dlares27:
Pas Estados Unidos Reino Unido Espaa Alemania Japn Francia China Australia Italia Canad Prdidas (en millones de dlares) 830 580 355 280 270 235 205 166 159 158

Figura 15: Prdidas por el fraude de cargo anticipado en 2007, por empresas e individuos. (Fuente: Ultrascan Research Services)

En Francia, recientemente, una ingenua vctima perdi 1 milln de euros! Los mensajes de correo electrnico de lotera que anuncian que su direccin de correo electrnico ha sido seleccionada en un sorteo para ganar millones pertenecen a la misma categora de timo. El objetivo es animar a las vctimas a gastar algn dinero mientras se les hace creer que lo recuperarn multiplicado por cien. Subastas El fraude en las subastas es una de las principales preocupaciones de las autoridades. En una encuesta realizada en mayo de 2008 por ConsumerWebWatch, descubrimos que ms de uno de cada cuatro residentes del estado de Nueva York que han acudido a una subasta online (principalmente eBay, Amazon.com y Overstock.com) han sido objeto de un timo o prctica engaosa28. Un 11% de los usuarios de sitios de subastas online denunciaron no haber recibido nunca los productos por los que haban pujado, lo que hace de sta la reclamacin ms comn. Adems, el 7% de los encuestados que s recibieron los artculos que haban adquirido dijeron que no se encontraban en buenas condiciones de uso. Otras reclamaciones se referan al hecho de no haber sido informados de un detalle clave sobre el artculo antes de recibirlo (siete por ciento) y al de haber recibido un artculo de menor valor que aqul por el que haban pujado y ganado (siete por ciento). Al encontrarse ante algn tipo de fraude, ms de la mitad de la gente, en la mayora de los grupos de edad, dijeron haber intentado resolver el problema directamente con el vendedor. Alrededor del 40% de las vctimas manifestaron haber presentado una reclamacin formal ante PayPal, el servicio de pagos online propiedad de eBay. Ms del 25% dejaron comentarios negativos para el vendedor. En general, son relativamente pocos los encuestados que decidieron acudir a la polica, a un abogado o a la Federal Trade Commission (Comisin Federal de Comercio). Las solicitudes de transferencias a travs de un servicio de transferencias alternativo y annimo, as como los falsos pagos, son problemas adicionales que pueden afectar a compradores y vendedores. En el caso de los pagos falsos a un vendedor, el delincuente (el comprador) dice vivir en un pas extranjero y solicita al vendedor un cdigo de identificacin bancaria o un nmero de cuenta bancaria internacional (IBAN). A menudo esto implica la venta de un vehculo que ser recogido por un intermediario del comprador. Se hace el abono en la cuenta del vendedor y se recoge el coche con gran rapidez. Poco tiempo despus, el pago se cancela porque la transferencia no era una verdadera transferencia sino, gracias al Cdigo Internacional de Cuenta Bancaria, el simple depsito de un cheque. Al carecer el cheque de fondos suficientes o haber sido robado o falsificado, la transaccin se anula. A menudo el intermediario es una "mula".

27. Ultrascan Research Services, "419 AFF and the media" (419 AFF y los medios de comunicacin). http://www.ultrascan.nl/html/__the_media.html 28. Informes de consumidores de la encuesta WebWatch: "More than 25 Percent of New Yorkers Stung in Online Auction Site Scams" (Ms del 25% de los neoyorquinos estafados en timos de sitios de subastas online). http://www.consumerwebwatch.org/pdfs/surveypressrelease.pdf

14

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Otro indicio de fraude es cuando se solicita a alguien que enve fondos por giro telegrfico a travs de Western Union o MoneyGram. He aqu un ejemplo.

Figura 16: Falsa oferta de una subasta de automviles.

Tras sospechar de fraude en relacin con un Volkswagen ofrecido por 7.400 euros, un comprador se pone en contacto con el vendedor para probar su buena fe. sta es la respuesta del vendedor:

"Hola. He visto su mensaje y le doy las gracias. El vehculo tiene un motor diesel de 1900 cm. El motor est muy bien, es flexible y potente, y por este precio tiene muy buen rendimiento. Este vehculo est en perfectas condiciones, ha sido conducido por un no fumador, no ha sufrido accidentes, no tiene abolladuras ni araazos. Est aparcado en garaje. El libro de mantenimiento est al da y todos los servicios se han efectuado en talleres Volkswagen. Soy el primer propietario, todos los documentos estn en regla: el libro de mantenimiento, la matriculacin, la declaracin jurada de estar libre de cargas, etc. Por tanto, no habr ningn problema porque ha sido adquirido y matriculado en Francia. Actualmente estoy en Inglaterra, donde acabo de casarme y he iniciado mi vida con mi familia. Vendo el vehculo debido a la mudanza (de Francia a Inglaterra), y porque tengo un coche de empresa; tengo que vender el coche rpidamente. Mi coche est en el garaje de mi antigua casa en Francia (75003 Paris), que acabo de vender. En el plazo de tres semanas, el nuevo propietario se mudar a la casa; por eso tengo prisa por vender este coche lo antes posible. Est muy por debajo del precio de mercado. Si desea comprar el coche, que est como nuevo, deme sus datos (nombre y direccin completos) para enviarlos a eBay. Ellos le enviarn toda la informacin que necesitamos para realizar esta operacin de forma rpida y segura. Espero haberle explicado mis motivos convincentemente. Espero recibir sus datos de contacto para confirmarle como comprador. Quedo a la espera de sus noticias."
Tras unos cuantos intercambios ms, en los que el vendedor sigui evitando las preguntas relacionadas con su identidad y con el deseo del comprador de ver el coche, el comprador recibi un falso correo electrnico de eBay, en el que le solicitaban que transfiriese 3.000 euros por Western Union. (Esta vez, el comprador no se dej engaar; adems, saba que eBay prohbe el uso de servicios de transferencia instantnea de efectivo.)29
29. Centro de seguridad y resolucin de eBay. http://pages.ebay.com/SECURITYCENTER/mrkt_safety.html

15

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Figura 17: Logotipo de eBay. (Fuente: eBay Francia)

Compras online El proceso de compra directa por Internet, sin licitacin previa, tambin es objeto de muchos ataques. Evite siempre los sitios que no ofrecen pagos protegidos. A menudo se utiliza el spam para atraer a compradores crdulos. En el caso de que los productos existan, a menudo son falsificaciones o placebos. En su informe de seguridad de 2007, IronPort30 descubri un ataque que se asemejaba ms a la delincuencia organizada que al comercio electrnico.

Figura 18: Extracto del timo de la "farmacia canadiense". (Fuente: Informe 2007 de IronPort sobre tendencias de la seguridad en Internet)

Otro mtodo de engaar a los compradores consiste en conseguir ocupar una posicin prominente en los buscadores. Luego se redirige al cliente a un sitio de compras que vende todo tipo de pastillas, falsificaciones o software por una dcima parte de su precio habitual. Es mucho ms fcil, por ejemplo, encontrar a la venta telfonos Vertu de la divisin de lujo de Nokia falsificados que encontrar los originales.

30. IronPort, "Internet Security Trends for 2007" (Tendencias de la seguridad en Internet 2007) (pp. 911). http://www.ironport.com/pdf/ironport_trend_report.pdf

16

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Figura 19: Sitio Web de falsificaciones.

Mtodos de pago annimo Los delincuentes prefieren obtener sus pagos por medio de servicios tales como e-gold y WebMoney. Existen unos veinte servicios de este tipo en el mundo. Son annimos y cmodos. En Francia, a diferencia de los notarios y de los bancos aprobados por la comisin de la banca, los servicios de pago online no estn obligados a comunicar las operaciones sospechosas a TRACFIN (acrnimo francs de Tratamiento de la Informacin y Acciones contra los Circuitos Financieros Clandestinos) cuando existe actividad sospechosa o cuando una transaccin sobrepasa una determinada cantidad. En los Estados Unidos, la Financial Crimes Enforcement Network (Red de Control de Delitos Financieros)31 es responsable de recoger extractos bancarios, analizarlos y asesorar activamente a los servicios de investigacin en lo relativo al blanqueo de dinero. Este servicio administrativo se integr en el Departamento del Tesoro. He aqu algunos de los principales servicios de transferencia de dinero:
e-gold:

fundado en 1996, tiene su sede en Florida. Desde hace tiempo, las autoridades sospechan que la empresa participa en actividades delictivas. Sus fundadores y algunos de sus socios estn siendo investigados en la actualidad.

Western

Union: esta empresa estadounidense cuenta con sucursales en ms de 200 pases. El servicio, que slo debera utilizarse para transferencias de dinero a los miembros de la familia, a menudo se usa de manera indebida.

WebMoney:

esta empresa rusa realiza transacciones diarias por valor de 7 millones de dlares. Cuenta con cuatro millones de clientes, y no todos ellos son honrados.

Otros servicios como MoneyGram, Money Express, Ria, Flouss y DabaDaba tambin se utilizan en las transferencias sospechosas de dinero vinculadas a actividades delictivas.

31. http://www.fincen.gov/

17

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Figura 20: Sitio Web ruso que ofrece un servicio para ataques de denegacin de servicio distribuida (DDoS).

Medidas de proteccin El fraude financiero empieza a menudo con el desvo de datos personales. Una papelera o recipiente de reciclado, una conversacin telefnica o un equipo mal protegido pueden ser el punto de partida del fraude. Las empresas tambin son a menudo vulnerables. Los porttiles robados y la prdida de datos pueden dar lugar a daos duraderos a la imagen de la marca y a graves consecuencias econmicas para la propia empresa o para sus clientes. En este sentido, los bancos se encuentran en primera lnea. Aunque es imposible eliminar por completo la posibilidad de convertirse en vctima del robo de identidad, las personas pueden reducir eficazmente sus riesgos si observan algunas recomendaciones de sentido comn. (Hemos comentado muchas de estas recomendaciones en el informe de los laboratorios McAfee Avert Labs sobre el robo de identidad32.) Aqu identificaremos algunas tcnicas que estn directamente asociadas al mundo de la banca. Puntuacin La puntuacin es una tcnica de anlisis de riesgos que calcula la probabilidad de que una transaccin llegue a buen trmino (sin fraude). La puntuacin pondera los diversos datos relacionados con la compra y con el comprador (direccin de correo electrnico, informacin de contacto, origen de la direccin IP, volumen del pedido y otros datos). La transaccin se autoriza o no en funcin de la puntuacin total obtenida. Estndar Europay, MasterCard y Visa (EMV) EMV es la norma para los pagos con tarjetas inteligentes. Esta norma hace obligatorio pagar con tarjetas que tengan un chip integrado en lugar de una banda magntica. El Banco de Pagos Internacionales est presionando para que el nuevo estndar internacional EMV se adopte en toda Europa y seguidamente en todo el mundo. Para 2010, es posible que haya ms de 800 millones de tarjetas inteligentes en circulacin33.

32. http://www.mcafee.com/us/local_content/white_papers/wp_id_theft_en.pdf 33. CARTES 2007, "CARTES & IDentification 2007 fait le point sur le SEPA" (CARTES & IDentification 2007 evalan la situacin de SEPA). http://fr.cartes.com/ExposiumCms/cms_sites/SITE_319050/ressources319050/cp_sepa-fr.pdf

18

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

DSS del PCI Para hacer frente a la evolucin de la ciberdelincuencia, las redes de Visa y MasterCard establecieron una norma concebida para proteger a los titulares de tarjetas cuando compran por Internet. La norma relativa a la seguridad de los datos del sector de las tarjetas de pago (DSS del PCI) permite mejorar la seguridad de las transacciones y el almacenamiento de datos bancarios. Se trata de una norma internacional que tambin apoyan otras redes de tarjetas, como American Express, JCB y Diners Club. Las organizaciones que aceptan transacciones con tarjetas de pago vienen obligadas a cumplir esta norma. En caso contrario, se les puede prohibir la manipulacin de los datos de titulares de tarjetas. Tambin se les pueden imponer multas de hasta 500.000 dlares si pierden los datos o se los roban. La norma DSS del PCI establece 12 condiciones de seguridad, la "Docena Digital" de Visa. Estn organizadas en seis categoras34:

Establecer y mantener una red segura Instalar y mantener una configuracin de firewall que proteja los datos de los titulares de las tarjetas No utilizar contraseas predeterminadas ni otras configuraciones de seguridad facilitadas por los proveedores Proteger los datos de los titulares de las tarjetas Proteger los datos almacenados Cifrar los datos de los titulares de las tarjetas y cualquier otra informacin confidencial transmitida a travs de las redes pblicas Mantener un programa de gestin de vulnerabilidades Usar y actualizar con regularidad programas antivirus Desarrollar y mantener la seguridad de sistemas y aplicaciones medidas estrictas de control de acceso Limitar el acceso exclusivamente a los datos de los titulares de las tarjetas que el usuario necesite ("necesidad de conocer") Asignar un identificador exclusivo a cada persona que tenga acceso al equipo Restringir el acceso fsico a los datos de los titulares de las tarjetas

Aplicar

Probar y vigilar las redes con regularidad Controlar y vigilar todos los accesos a los recursos de la red y a los datos de los titulares de las tarjetas Probar con regularidad los procesos y sistemas de seguridad Mantener una directiva de seguridad de la informacin Mantener una directiva de seguridad de la informacin para sus empleados y contratistas

Protocolos Secure Sockets Layer (SSL) y Transport Layer Security (TLS) SSL y su versin 3.1, denominada TLS, son formas de proteger las transacciones realizadas por Internet. Estos protocolos han sido desarrollados por Netscape en colaboracin con MasterCard, Bank of America, MCI y Silicon Graphics. SSL y TLS se basan en la criptografa de clave pblica para garantizar la seguridad en la transferencia de datos. El mtodo establece un canal seguro (cifrado) de comunicacin entre dos equipos (un cliente y un servidor) despus de un paso de autenticacin. Incluyen las siguientes funciones35 :
Autenticacin:

el cliente debe ser capaz de comprobar la identidad del servidor. A partir de SSL 3.0 (la versin ms extendida actualmente), el servidor tambin puede solicitar que el cliente se autentique. Esta funcin se ofrece mediante el uso de certificados. Confidencialidad: el cliente y el servidor deben tener la seguridad de que su conversacin no puede ser oda por terceros. Esta funcin se ofrece mediante un algoritmo de cifrado. Identificacin e integridad: el cliente y el servidor deben tener la seguridad de que los mensajes transmitidos no han sido truncados ni modificados (mantienen su integridad) y que proceden del remitente previsto. Estas funciones se ofrecen mediante la firma de datos.
34. GFI Software, "Le standard PCI DSS simplifi" (La norma DSS del PCI simplificada). http://www.gfsfrance.com/fr/whitepapers/pci-dss-made-easy.pdf 35. Vincent Limorte, Franois Verry y Sbastien Fontaine, "SSL et TLS" (SSL y TLS). http://www.authsecu.com/ssl-tls/ssl-tls.php

19

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Cmo funciona SSL

stos son los pasos que sigue un servidor SSL para autenticar un usuario.
2 1
El usuario remoto se pone en contacto con el servidor SSL de la empresa o del proveedor de servicios.
Clave pblica del usuario Firma digital del usuario Clave pblica Lista de autoridades de certificados de confianza (CA)

El servidor valida la firma digital del usuario con la clave pblica. Seguidamente, el servidor comprueba la fecha de caducidad del certificado. Si la fecha y hora actuales no coinciden, el proceso se detiene.

Usuario

Servidor SSL

Cada servidor SSL mantiene una lista de autoridades de certificados de confianza. El servidor compara la clave pblica de la CA para validar la firma digital. Si la informacin ha cambiado o las claves pblica y privada no coinciden, el proceso finaliza. Si todo coincide, el usuario puede acceder a los recursos.

Figura 21: Anlisis de SSL. (Fuente: Netscape)

Dado que SSL 2.0 lleg a ser demasiado dbil y vulnerable, un cifrado eficaz requiere SSL 3.0 o TLS 1.0. Existen otros protocolos que garantizan la seguridad de la red. Aunque ofrecen funciones que rivalizan con SSL y TLS, los otros se consideran principalmente protocolos complementarios. Se trata de Secure Shell (SSH) y de Internet Protocol Security (IPSec).
SSH

es un protocolo de nivel de aplicacin que ofrece una alternativa segura a las utilidades clsicas como rlogin, rsh y telnet que no ofrecen confidencialidad IPSec ofrece un mecanismo de seguridad en la capa de red (IP). Se utiliza principalmente para implementar redes privadas virtuales. Un icono de cerradura cerrada en el navegador indica el uso de una sesin de SSL. Ejemplos:

Figura 22: Algunos iconos de cerradura en sesiones de SSL. (Fuente: Laboratorios McAfee Avert Labs)

Validacin SSL ampliada Internet Explorer 7, utilizado en Windows Vista o XP, marca los sitios Web en verde si se consideran seguros y tienen un certificado de validacin SSL ampliada. La presencia de este certificado garantiza que la comunicacin es segura. Tambin ofrece al usuario informacin sobre el propietario del sitio Web, cuya identidad se muestra en la barra de direcciones. Firefox versin 3 y Opera versin 9.5 sern compatibles con este certificado.

20

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Figura 23: Sesin de validacin SSL ampliada. (Fuente: Laboratorios McAfee Avert Labs)

Tecnologa 3-D Secure La arquitectura de pagos online 3-D Secure (para la seguridad en tres dominios) fue lanzada en 2001 por Visa y MasterCard. Basada en SSL y TLS, ofrece autenticacin validada por terceros. 3-D Secure consiste en preinscribir a los clientes que quieran pagar por Internet y la utilizan los comerciantes durante cada una de las transacciones remotas online para comprobar si los clientes estn realmente inscritos.

Dominio del emisor

Titular de la tarjeta

Dominio de interoperabilidad

Dominio del adquirente

Comerciante

Datos de compras (informacin de tarjetas sobre facturacin y pagos)

6 8
Autenticacin del titular de la tarjeta con el dispositivo del comprador (emitir mtodo especificado) Respuesta de autenticacin del pagador

Solicitud de autenticacin del pagador

Mensajes de respuesta de autenticacin

2 5

TranzWare e-Commerce 3DSecure MPI

Mensajes de respuesta de autenticacin Mensajes de respuesta de autenticacin

Servidor de historiales de autenticacin

3 4

Mensajes de respuesta de autenticacin

Autenticacin y procesamiento de pagos

Emisor

TranzWare e-Commerce 3DSecure ACS

Adquirente

TranzWare e-Commerce 3DSecure MPI

Figura 24: Modelo 3-D Secure. (Fuente: Compass Plus36)

36. http://www.compassplus.com/TranzWare_e-Commerce.html

21

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Cada uno de los tres dominios corresponde a un tipo de usuario: Dominio del emisor, que incluye una funcin de autenticacin del titular de la tarjeta Dominio interbancario, que permite a los otros dos dominios comunicarse por Internet Dominio del adquirente

3-D Secure describe la progresin de la informacin entre los tres dominios para llevar a cabo pagos con tarjetas, distribuyendo las responsabilidades entre los dominios por igual: El banco del titular de la tarjeta autentica a su cliente El banco del comerciante autentica al comerciante El dominio interbancario permite al comerciante comenzar a autenticar al comprador de la misma forma, independientemente del mtodo utilizado por el comprador

Autenticacin slida y dispositivos de contraseas desechables La autenticacin tradicional por nombre de usuario y contrasea hace tiempo que ha evidenciado sus limitaciones (por ejemplo, contraseas triviales, contraseas escritas en un papel al lado del equipo, contraseas enviadas por Internet en forma de texto, crimeware). Estos lmites han creado la necesidad de una autenticacin ms potente que utilice tres elementos: Lo que el usuario sabe: contrasea, nmero PIN, pregunta secreta Lo que el usuario tiene: tarjetas, autenticadores, certificados Lo que el usuario es: un elemento biomtrico

Una buena autenticacin utiliza al menos dos de estos factores. Una contrasea desechable es muy flexible. Como su nombre sugiere, est diseada de forma que slo valga para una vez. El uso de un dispositivo de contraseas desechables aade un segundo factor de autenticacin: El primero tiene que ver con algo que el usuario tiene, por ejemplo, una tarjeta de crdito compatible con las contraseas desechables. El segundo es algo que el usuario sabe, por ejemplo, una contrasea o nmero PIN. Se utiliza para abrir el objeto que admite las contraseas desechables.

Figura 25: Calculadora de contraseas desechables. (Fuente de la fotografa: www.reseaux-telecoms.net)37

37. Fuente de la fotografa: http://www.reseaux-telecoms.net/actualites/lire-deploiement-massif-de-calculettes-otp-pour-securiser-les-banquesen-ligne-en-grande-bretagne-17674.html

22

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Hay varias formas de generar contraseas desechables:

Calculadoras: Tarjetas

dispositivos de pequeo tamao que muestran y actualizan la contrasea desechable inteligentes: conectadas a un porttil o a un equipo de sobremesa, se pueden utilizar para generar la contrasea Telfono mvil, agenda electrnica u ordenador: estos dispositivos a veces tienen software especial para generar contraseas Un ejemplo es el complemento de PayPal38, ofrecido por PayPal en asociacin con MasterCard. Con cada transaccin, el complemento genera un nmero de cuenta MasterCard. Ya no es necesario introducir su nmero de cuenta PayPal en un sitio que quiz no le inspira confianza. La aplicacin funciona con cada uno de los sitios que aceptan pagos MasterCard. En Francia, el concepto de la tarjeta bancaria virtual no es nuevo. Desde 2002, GIE Carte Bleue ofrece un servicio con Visa que equivale a la e-Carte Bleue de Visa. En la actualidad, los clientes pueden obtener estos servicios de varios bancos: LCL, Socit Gnrale, Banque Populaire, La Banque Postale y Caisse dEpargne. Pero este mtodo de compra an no se ha popularizado. Las tarjetas seguras tampoco son nuevas. Bank of America ofrece una, al igual que Citibank y Discover. Estas funciones permiten a los clientes utilizar sus tarjetas online sin tener que facilitar a los proveedores sus nmeros de tarjeta reales. Pero la diferencia con la tarjeta segura de PayPal es que los compradores pueden utilizar una tarjeta segura prcticamente en cualquier lugar de Internet sin necesidad de disponer de tarjetas de crdito reales (si vinculan los pagos a sus cuentas bancarias). O bien pueden usar cualquier tarjeta de su eleccin como tarjeta segura para hacer sus compras, con lo que se ahorran tener que depender de las herramientas de pago seguro de BofA, Citi o Discover. En febrero de 2008, cuatro grandes bancos britnicos anunciaron que estaban distribuyendo a sus clientes calculadoras de contraseas desechables, que funcionan con las tarjetas bancarias de sus propietarios. A cambio de introducir su cdigo secreto en el teclado, la calculadora facilita una contrasea que se puede utilizar una sola vez. Autenticacin basada en el conocimiento La autenticacin basada en el conocimiento se usa mucho en Estados Unidos. El mtodo tradicional consiste en responder a preguntas como "Cul es el apellido de soltera de su madre?" o "En qu ciudad naci usted?". No obstante, a menudo le resulta fcil a un atacante encontrar las respuestas. Un ejemplo de esto es el reciente pirateo de la bandeja de correo electrnico de Sarah Palin39. El uso de preguntas secretas generadas dinmicamente mejora este mtodo. En este caso, al ejecutar el programa, el sistema crea una pregunta cuya respuesta usted debe conocer, como el importe de uno de sus pagos, el importe de un gasto reciente o incluso la direccin que tena el ao anterior. La pregunta se crea de forma dinmica y la respuesta no se guarda para su uso posterior. Mientras que el cliente probablemente podr responder con bastante rapidez, est claro que un delincuente no podr hacerlo. El uso de este sistema todava no est extendido, pero el proveedor Verid fue adquirido por EMC en junio de 200740. Autenticacin del correo electrnico Adems de los mtodos de seguridad de pago, existen varios mtodos de autenticacin que ayudan a combatir el phishing: El Marco de directivas de remitentes es una norma para evitar la falsificacin de direcciones. Utiliza los servidores DNS para crear una lista de direcciones IP autorizadas para enviar mensajes de correo electrnico desde un dominio especfico. El Protocolo de ID de remitente, de Microsoft, es compatible con el Marco de directivas de remitentes El Correo identificado por claves de dominio permite validar una identidad asociada a un mensaje durante su transferencia a travs de Internet. Esta identidad puede ser responsabilizada del mensaje.
38. Bank Systems & Technology, "PayPals Plug-in Provides Payment Parity" (El complemento de PayPal proporciona paridad en los pagos). http://www.banktech.com/blog/archives/2008/03/paypals_plugin.html 39. Michelle Malkin, "The Story Behind the Palin Email Hacking." (La historia tras el pirateo del correo electrnico de Palin). http://michellemalkin.com/2008/09/17/the-story-behind-the-palin-e-mail-hacking/ 40. VNUnet, "EMC rachte Verid, spcialiste de l'authentification base sur la connaissance " (EMC adquiere Verid, especialista en autenticacin basada en el conocimiento). http://www.vnunet.fr/news/groupe-emc-rach-te-verid-sp-2018533

23

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Conclusin Nueve aos despus de la aparicin del virus "I love you", numerosos usuarios de Internet siguen siendo vulnerables. Los optimistas afirman que los usuarios son menos impulsivos a la hora de hacer doble clic en archivos adjuntos al correo electrnico y que estn empezando a ser precavidos respecto a peticiones inusuales, como las que puede presentar un sitio de rplica. Quiz sea cierto, pero los nuevos abonados a Internet suponen una reserva interminable de personas ingenuas. Para llegar tanto al crdulo como al experimentado, los ciberdelincuentes estn desarrollando nuevos mtodos de ataque y nuevas trampas. Un ejemplo es el clickjacking o secuestro del clic. Tambin conocido como ataque de neutralizacin de la interfaz de usuario, esta vulnerabilidad estructural relacionada con la Web puede engaar a los usuarios cuando visitan una pgina Web que consta de dos niveles. Mientras que los usuarios creen que estn actuando sobre la capa visible, en realidad estn interactuando con una capa transparente superpuesta a la capa visible. Estos ataques constan de dos pasos: interceptar el clic y redirigir su finalidad. Una vez que se ha interceptado el clic, el atacante puede conseguir que un usuario haga casi cualquier cosa sin su conocimiento: hacer compras o transferencias de dinero, aadir un contacto de confianza, etc. Para contrarrestar esta debilidad, los navegadores estn empezando a agregar funciones de seguridad que impiden hacer clic en elementos "ocultos". En un contexto de crisis financieras, los ciberdelincuentes las aprovechan con un gran nmero de falsos sitios de banca.

Figura 26: Falsos sitios de banca. (Captura de pantalla de los laboratorios McAfee Avert Labs)

No son sitios de rplica, sino sitios creados a partir de cero para atraer a los usuarios vulnerables cuyos verdaderos bancos quiz les hayan denegado un prstamo. Abusar de las personas que ya son vctimas de problemas financieros es escandaloso. Esto demuestra, si es que hacen falta ms pruebas, que los delincuentes actuales no tienen reparos a la hora de aprovecharse de los ms vulnerables. En los ltimos aos, el aumento del volumen de transacciones online se ha visto emulado por un aumento del fraude. La capacidad de gestionar nuestras cuentas online, la falta de contacto entre las partes (entre comprador y vendedor y entre usuario ingenuo de Internet y delincuente sin escrpulos), el hecho de que las comunicaciones tengan lugar directamente entre dos equipos y el hecho de que para hacer una transaccin haya que facilitar un nmero de tarjeta bancaria son cosas, todas ellas, que multiplican los riesgos.

24

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

PRDIDA DE IMAGEN

SANCIONES

Visa/MC del comprador miembro

Comerciante
ROBO
Contrato comercial

Banco adquirente
PROVEEDOR TRANSFERENCIA DE RESPONSABILIDAD RECLAMACIN
Contrato del titular de la tarjeta

CLIENTE BENEFICIO
Ley del comercio

MOTIVO DE LA RECLAMACIN REEMBOLSO

Banco vendedor
DAOS

Titulares de tarjetas
Figura 27: Los protagonistas de las ventas online hacen frente a sus problemas. (Fuente: CLUSIF41)

El pago con tarjetas bancarias se sigue considerando como uno de los mejores mtodos de pago por Internet. Cuando el nmero de transacciones an era bajo, el riesgo inherente se poda considerar "tolerable" por las distintas partes. Pero hoy, con unos volmenes tan enormes, la imagen de marca de algunos operadores se est deteriorando. Los consumidores estn molestos y se quejan, y los bancos sufren prdidas que preferiran evitar. Enfrentados a una delincuencia que se hace continuamente ms profesional, los bancos y las grandes empresas de ventas online estn reforzando sus infraestructuras para protegerse mejor. Por su parte, las pequeas y medianas empresas, para las que el comercio electrnico es la clave de un futuro prspero, tienen una necesidad vital de soluciones de seguridad que les ayuden a obtener o mantener la confianza de sus clientes. Debido a la falta de formacin o a pura negligencia, estas empresas a veces se encuentran indefensas ante unos ataques cada vez ms perfeccionados y ms arteros. Las soluciones de seguridad de proveedores reconocidos que incorporan herramientas y software para gestionar registros y vulnerabilidades ayudan a las empresas a cumplir las normas de seguridad. En el otro extremo de la cadena, la creciente concienciacin entre los usuarios y la disponibilidad de herramientas de seguridad ms intuitivas y transparentes para los ordenadores son reas clave de desarrollo para el futuro.

41. "PCI DSS: Le paradoxe franais" (DSS del PCI: la paradoja francesa). http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-CONFORMITE-SECURITE-2008-GROUPEMENT-CARTE-BANCAIRE.pdf

25

Informe

Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas

Franois Paget es tcnico superior en investigacin de malware de los laboratorios McAfee Avert Labs en Francia. Ha participado en la investigacin del malware desde 1990 y ha sido miembro fundador de Avert Labs en 1995. Paget es un ponente habitual en actos franceses e internacionales sobre seguridad, autor de un libro y de numerosos artculos, y secretario general del Club Francs de Seguridad de la Informacin (CLUSIF). Acerca de McAfee, Inc. McAfee, Inc., con sede en Santa Clara, California, es la empresa ms grande del mundo dedicada a la tecnologa de la seguridad. McAfee est decididamente comprometida a hacer frente a las peores amenazas de seguridad del mundo. La compaa ofrece soluciones y servicios proactivos y de demostrada eficacia que ayudan a proteger sistemas y redes en todo el mundo y que permiten a los usuarios conectarse a Internet, navegar y hacer compras en la Web sin peligro. Respaldada por un equipo de investigacin galardonado, McAfee crea productos innovadores que dotan a usuarios particulares, empresas, sector pblico y proveedores de servicios de la capacidad de demostrar el cumplimiento de las normativas, proteger los datos, evitar interrupciones, identificar vulnerabilidades y supervisar continuamente su seguridad, adems de mejorarla. http://www.mcafee.com/es.

McAfee, S.A. Avenida de Bruselas n 22 Edificio Sauce 28108 Alcobendas Madrid Espaa www.mcafee.com/es

Este documento pretende nicamente facilitar informacin educativa de tipo general a los clientes actuales y potenciales de McAfee. McAfee proporciona este documento y la informacin que contiene "tal cual", sin garantas explcitas ni implcitas respecto a su exactitud, comerciabilidad o idoneidad para un fin concreto. Los consejos y las opiniones que contiene son de los autores y no reflejan necesariamente los puntos de vista y opiniones de McAfee, Inc. McAfee y otros productos conocidos relacionados con McAfee incluidos en el presente documento son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros pases. El color rojo de McAfee relacionado con la seguridad es distintivo de los productos de la marca McAfee. Todas las dems marcas comerciales registradas o no registradas y productos no relacionados con McAfee que se mencionan en este documento son meras referencias y son propiedad exclusiva de sus propietarios respectivos. 2009 McAfee, Inc. Reservados todos los derechos. 6168rpt_fraud-report_0409_fnl_ETMG