Consejos prácticos para evitar el fraude en línea

31/10/2005

pdf

Con millones de usuarios siendo víctimas de amenazas y robos cada vez más sofisticados, se necesita toda la protección que se pueda conseguir.

Introducción

El 2004 y 2005 no fue un buen año para los fanáticos de la banca en línea.

Primero, se estima que en 2004, 2 millones de personas alrededor del mundo sufrieron algún tipo de ataque a su cuenta de cheques, con fuertes indicadores de que intrusos en línea fueron los responsables de la mayoría de las incursiones. La firma de investigación que condujo este estudio, Gartner, mencionó que la amenaza a cuentas bancarias mediante el fraude financiero ha tenido un rápido crecimiento, afectando a clientes. Segundo, también creció la amenaza a las tarjetas de crédito (la cual afectó a cerca de 6 millones de personas en los pasados 12 meses).

El US-CERT y UNAM-CERT advirtieron de una nueva amenaza en Internet que puede ejecutar un ataque a sistemas de cómputo, permitiendo a ladrones obtener números de cuenta, contraseñas o cualquier otra información financiera privada.

Si no ha escuchado sobre estas recientes amenazas, debería obtener información al respecto; intrusos de todo el mundo están ingresando a servidores Web de compañías que se han confiado, colocando en ellos código malicioso, el US-CERT y el UNAM-CERT no revelan qué compañías, pero confirman que no se trata únicamente de pequeños sitios o de compañías desconocidas. Los clientes que visitaron estos sitios confiables fueron secretamente redirigidos a otro servidor Web que residía en Rusia. El sitio Web descargaba software clandestinamente a la computadora de la víctima, el software permite a los intrusos copiar números de cuentas bancarias, contraseñas o cualquier otra información financiera privada.

Esto significa, que no es necesario hacer clic en la liga de algún correo electrónico que haya recibido, abrir un archivo adjunto o visitar un sitio Web sospechoso, para ser infectado. Antes de que se dé cuenta, los intrusos tienen todo lo que necesitan para saber cómo robarlo.

El US-CERT y el UNAM-CERT junto con otros expertos en seguridad creen que han detectado el esquemas a tiempo para prevenir un ataque a gran escala, pero no hay una garantía de que los grupos criminales no atacarán nuevamente. Los ladrones explotan huecos de seguridad en Internet Explorer y software de Microsoft que se ejecuta en grandes servidores de Internet.

Las instituciones financieras tienen parte de la culpa, por exponer a sus clientes a fraudes. Los bancos no utilizan el mismo tipo de software de detección de fraudes, el cual es utilizado en la verificación de transacciones de cuentas de tarjetas de crédito para detectar compras sospechosas, de acuerdo con Avivan Litan, vicepresidente y directora de investigación de Gartner.

Los bancos, portales con pagos en línea y otros sitios financieros también podrían identificar las contraseñas robadas y hacerlas inutilizables, de acuerdo con Litan, si pudieran adoptar la tecnología denominada secretos compartidos. El cliente podría registrar el "ID de equipo" de su computadora con el banco por lo que los intrusos no podrían utilizar otra computadora para pretender ser el cliente; el cliente podría escoger alguna fotografía o pregunta con respuesta fija que pudiera aparecer cada vez que el cliente se registre en el sitio de la institución financiera.

Esto podría hacer a la banca y los pagos en línea menos convenientes, ya que el cliente no puede utilizar cualquier computadora antigua para ingresar a su cuenta. Considere el riesgo de utilizar computadoras públicas o compartidas para transacciones financieras en línea, esto es es algo que no debe hacerse bajo ninguna circunstancia.

El interés de Litan en verificar los fraudes a cuentas es más que académico, por un lado, también ha sido víctima, y conoce bien los daños que dicha amenaza puede causar.

Al igual que muchas otras personas, no está exactamente segura de cómo fue comprometida su cuenta, pero sospecha que fue en una ocasión que utilizó una tarjeta de crédito para comprar algo en línea. El intruso utilizó su información para crear una cuenta en PayPal y se colocó como beneficiario.

El intruso toma una pequeña suma de dinero para comenzar, solo para probar cuenta y para ver si el robo puede ser detectado. Litan detectó del pago no autorizado inmediatamente, pero todavía tuvo que pasar tiempo tratando de convencer a PayPal para que diera de baja la cuenta apócrifa. Finalmente, utilizó uno de sus contactos profesionales en la compañía para intervenir con el departamento de servicio a clientes.

¿Cómo acceden los ladrones a su cuenta de cheques?

De hecho, existen muchas formas para que los intrusos tengan acceso a su cuenta de cheques estando fuera de línea. A continuación se mencionan algunas:

  • Los intrusos pueden irrumpir en su correspondencia, obtener algún cheque que haya escrito, mojar y calcar la tinta con quitaesmalte de uñas y crear cheques a su nombre.
  • Pueden robar su cartera y utilizar su ATM; particularmente si escribió el PIN en su tarjeta (un gran error, pero la gente continúa haciéndolo).
  • Pueden colocar máquinas ATM falsas (cajeros automáticos), dispositivos que se colocan sobre los ATMs legítimos, después guardan la información de la cinta magnética junto con su PIN.

También existe la posibilidad de un trabajador interno: un empleado del banco con acceso a todos sus números de cuenta, identificadores de usuario y contraseñas que simplemente decide iniciarse en una carrera delictiva.

Pero se tiene evidencia circunstancial de que los intrusos están volviéndose más experimentados al momento de obtener cuentas en línea y esto podría afectar a cualquiera que utilice la banca en línea.

Se considera que cerca de un 45% de los adultos con acceso a Internet utiliza el servicio web de transacciones bancarias o compras en línea. Entre las cuentas de cheques que han sido atacadas, 70% fueron de usuarios de banca en línea, de acuerdo con Gartner.

¿Qué hacer para protegernos mientras esperamos mejoras de seguridad?

El crecimiento de cuentas de cheques interceptadas también corresponde con el crecimiento del phishing, correos electrónicos que pretenden ser de una institución financiera pero que dirigen al usuario a un sitio Web falso que recolecta sus números de cuenta y contraseñas.

Un estudio de Gartner, realizado en mayo de 2004, encontró que el 92% de los ataques de phishing conocidos ocurrieron en los primeros 12 meses. Un 76% de ellos ocurrieron desde octubre del 2003. Cerca del 5% de las víctimas que Gartner encuestó admitió haber proporcionado información sensible sobre su cuenta en respuesta a un correo electrónico de phishing y Gartner piensa que el porcentaje de víctimas engañadas por esta estafa es probablemente mayor.

Lo cual nos lleva al eslabón más débil de la cadena de la seguridad: el usuario final.

Hay mucho todavía por hacer para protegerse mientras aparecen mejores soluciones de seguridad, por ejemplo:

  • No se exponga. Nunca utilice computadoras públicas ó Hot Spots inalámbricos para transacciones financieras, mucho menos si es un hot spot público localizado en algún restaurante u hotel, y si lo hace por este medio, asegúrese de utilizar un protocolo más confiable como WPA. Procure no utilizar hot spots con WEP o sin autenticación.
  • Aumente su seguridad. Si utiliza Internet Explorer, Microsoft recomienda establecer el nivel de seguridad en su navegador de Internet a alto (Encontrará esto bajo el menú Herramientas; hacer clic en Opciones de Internet y seleccionar la pestaña Seguridad; después seleccione Zona de Internet). Esto puede impedir que algunos sitios Web trabajen correctamente, pero puede crear excepciones para los sitios de confianza. Para más detalles consulte el artículo Change Internet Explorer Privacy settings.
  • Instale una herramienta antiphishing. Puede instalar la herramienta Anti-Phishing Toolbar que le ayudará a identificar posibles sitios con phishing. Puede descargarla en http://toolbar.netcraft.com
  • Utilice la tarjeta de crédito para compras en línea. Técnicamente, las tarjetas de débito con el logo de Visa o MasterCard ofrecen la misma cobertura de no-confiabilidad por fraude, como lo hacen las tarjetas de crédito, pero tiene que esperar varios días para que el banco restaure su dinero en la cuenta. Es mejor contar con una organización reconocida que resguarde sus transacciones electrónicas, como una compañía de tarjetas de crédito entre el ladrón y su cuenta de cheques.
  • No hacer clic en ligas desconocidas. Probablemente ya conoce cómo identificar correos electrónicos conteniendo spam o que no se deben descargar archivos adjuntos de fuentes desconocidas. Pero las ligas de correo electrónico en mensajes instantáneos, mensajes en sitios Web y Chats IRCs, también pueden ser maliciosas. Si una institución financiera le envía un correo electrónico relacionado con un problema urgente u otro problema relacionado con su cuenta, utilice el número telefónico impreso en su contrato para responderle.
  • Bloquee las ventanas de mensajes emergentes (Pop-Ups). Además de ser increíblemente molestas, las pop-ups puede ser utilizadas para instalar software de los intrusos en su computadora. Muchos proveedores de Internet ahora cuentan con software que bloquea pop-ups o puede obtener alguno desde sitios como Panicware.com
  • Compruebe los certificados. Al conectarse a su banca electrónica, asegúrese de verificar la validez de los certificados SSL que se utilizan para el envío de información, no acepte ningún certificado que no provenga de una entidad certificadora válida.
  • Mantenga la vista fija. Al realizar una conexión con el sitio web de su banco revise en la parte inferior izquierda la URL a la cual está siendo dirigido, no realice ninguna transacción sino sabe cuál será su destino.
  • Realizar un monitoreo constante. Necesita ser cuidadoso al observar sus transacciones y pagos bancarios. No asuma que un cargo de $40 sólo es una transferencia o pago del cual no se acuerda; éste podría ser un scammer probando si el fraude pasó inadvertido. Con los sistemas de pago, debe revisar el histórico de pagos, así como revisar cada uno de los pagos a fin de que no exista ninguna transacción no autorizada. Es mejor reportar rápidamente el robo; después de 60 días el banco podría no tener la obligación legal de proporcionar la devolución del dinero.
  • Manténgase actualizado. Ejecute la herramienta Windows Update para obtener las últimas actualizaciones de seguridad. Si utiliza Internet Explorer y ha incrementado el nivel de seguridad a alto, necesitará seguir las instrucciones en el artículo Problemas para ver o descargar con Windows Update para que la actualización trabaje apropiadamente. Puede apoyarse con el boletín de seguridad preventiva OUCH! Actualizando tu software
  • Establezca alguna variedad. No utilice el mismo usuario y contraseña en diferentes instituciones financieras. Si se le pide crear una pregunta y una respuesta de seguridad, no utilice alguna que sea relativamente fácil de descubrir, como el nombre de algún familiar.
  • Instale, administre y actualice un firewall personal. Instale un Firewall personal que le ayude a protegerse de conexiones no autorizadas. Como referencia adicional consulte el artículo Firewall, controlando el acceso a la red.
  • Instale, administre y actualice un software antivirus. Mantenga su software antivirus actualizado y ejecute frecuentemente un escaneo completo de su computadora. Puede apoyarse con el boletín de seguridad OUCH! Conoce tu antivirus
  • Evite el Spyware. Instale aplicaciones AntiSpyware para evitar que sus actividades sean monitoreadas. Puede apoyarse con el artículo AntiSpyware: Protegiéndote de los espías o instale buscadores de Spyware como: Spybot Search & Destroy, Ad-AwareSpy Sweeper y PestPatrol.
  • Mejore las funcionalidades de su sistema Operativo. Instale el Service Pack y las actualizaciones de seguridad más recientes.
  • Aplique buenas practicas de seguridad. Conozca el software que puede ponerlo en riesgo a través de la lectura del tutorial del UNAM-CERT ¿Qué software puede poner en riesgo mi equipo? y también puede apoyarse en tutorial del UNAM-CERT Buenas prácticas de seguridad.
  • Utilice un navegador de Internet alterno. Considere el cambio de navegador de Web de Internet Explorer a Firefox debido a las distintas vulnerabilidades que presenta. Recomendamos consultar el número 9 de la revista .Seguridad, El navegador Web
  • Cambie su contraseña regularmente. Es recomendable que cambie regularmente las constraseñas de sus equipos y la que utiliza para iniciar sesión a través de banca electrónica. Establezca una contraseña robusta, compuesta de números, letras mayúsculas y minúsculas, caracteres especiales y símbolos de puntuación. Consulte el boletín OUCH! Protege tus contraseñas
  • Realice las operaciones importantes sin conexión a Internet. Si es posible, almacene la información sensible en computadoras desconectadas de Internet, esto evitará que se presente un riesgo de seguridad más alto.

Usted puede, por supuesto, ocuparse del problema simplemente no depositando o pagando cuentas en línea. Pero, como lo mencionamos antes, esto no elimina las vulnerabilidades de las personas deshonestas internas o intrusos que acceden a la base de datos del banco.

Algunos ladrones son capaces de observar impresiones electrónicas de cheques en papel de sus víctimas y crear cheques falsos de esta manera.

Tips de seguridad fuera de línea.

Puede reducir los riesgos fuera de línea al seguir los siguientes pasos:

  • Utilizar plumas de gel para firmar cheques. Estas tintas no pueden ser disueltas con facilidad.
  • Protega su buzón de correo. Dificulte a los intrusos el robo de información, protegiendo de forma correcta su correo y entregando cualquier cheque saliente directamente en la oficina de correo (es decir no los deje simplemente en el buzón).
  • Extablezca un monitoreo riguroso. Verifique sus estados de cuenta de forma periódica. Esté alerta de cualquier transacción no autorizada, sin importar el monto.
  • No escriba su contraseña en algún lugar. Específicamente no grabe su PIN sobre la misma tarjeta, ni en cualquier lugar de su cartera, ni lo almacene en la memoria del teléfono celular o en ningún elemento que acompañe su tarjeta.
  • Utilice la tarjeta de crédito para realizar pagos "fuera de vista". El mesero que desaparece con su tarjeta de débito puede pasar esta a través de un skimmer, un dispositivo de mano que almacena la información en una tarjeta magnética. Se puede hacer esto con una tarjeta de crédito también, pero una vez mas, arreglar el problema del fraude es más fácil con una tarjeta de crédito que con una de débito.

Este documento se actualizara periódicamente conforme el UNAM-CERT reciba información sobre nuevos métodos y técnicas de ataque a la banca en línea.

Liberación original: Lunes, 31 Octubre 2005
Última revisión: Lunes, 22 Agosto 2011

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:

UNAM-CERT

Para mayor información acerca de este documento contactar a:

UNAM-CERT: Equipo de Respuesta a Incidentes UNAM 
Coordinación de Seguridad de la Información 
Dirección General de Cómputo y Tecnologías de Información y Comunicación 
Universidad Nacional Autónoma de México 
E-Mail: incidentes@cert.unam.mx 
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69