Seguritecnia 343

18 SEGURITECNIA Julio - Agosto 2008 II Jornadas de Seguridad en Entidades Financieras nominado “Timo Ni- geriano” se estafaron unos 3.000 mi l lones de dólares, 320 en Es- paña. En general, afirmó, “hablamos de un nivel bajo de seguridad en la Red, por la misma forma de ser de la pro- pia Internet y porque cada vez hay más apli- caciones vulnerables y no se piensa en la se- guridad. Para poder estar preparados ante estas amenazas hemos creado un grupo de respuesta a amenazas especializado, que trabaja 24 horas al día los 365 del año, denominado e-LC CSIRT ( eLa Caixa Com- puter Security Incident Response Team )”. El CSIRT está formado por trece personas y funciona como un grupo organizado que da respuesta a cualquier tipo de amenaza o ataque que surge y que se dirija con- tra la banca electrónica de La Caixa. Reciben formación específica constantemente y mantienen una importante red de contactos, con el fin de cerrar páginas fraudu- lentas con la máxima celeridad. “Debemos unir nues- tros esfuerzos para poder frenar los ataques desde todos los frentes y tener una mayor implicación y coordina- ción entre los ISPs, así como grupos de respuesta (CERTs /CSIRTs), grupos de seguridad de las entidades financie- ras y las Fuerzas del Orden, tanto nacionales como inter- nacionales”. Delitos contra el patrimonio Bajo el mismo título que la ponencia anterior pero desde el punto de vista de la seguridad pública, las Fuerzas y Cuerpos de Seguridad del Estado, tanto el Cuerpo Nacio- En cuanto al fraude más habitual, el de suplantación de identidad, el profesional de La Caixa se refirió a su obje- tivo, es decir, al acceso ilícito al patrimonio de las vícti- mas. En los sistemas de banca por Internet están las en- tidades financieras (con unos sistemas y ordenadores adecuadamente protegidos), las redes de comunicación (también seguras) y el eslabón más débil, que es el que siempre se ataca: el cliente y su ordenador. Este fraude se lleva a cabo en tres fases: una vez que se han obtenido las credenciales de la víctima y se ha su- plantado su identidad (ejecución de órdenes fraudulentas de transferencia de fondos) se obtiene el botín a través del reenvío del dinero por medio de intermediarios. En una primera fase, el objetivo es apropiarse de los códigos de acceso y contraseñas del servicio (la identidad digital de una persona), para lo cual se utilizan métodos que persiguen engañar a la víctima para que, sin darse cuenta, revele sus claves a los defraudadores, ya sea a tra- vés de phishing y códigos maliciosos (virus, troyanos...), que son los más importantes, y el pharming , que aún no son muy habituales en España pero que llegarán a produ- cirse también. Para ejecutar las credenciales ya obtenidas, acceden al servicio de Banca por Internet, de forma anónima (a tra- vés de la IP de alguien o programas zombis, ocultando el verdadero origen), y suplantan la identidad de la víctima, accediendo a la información de sus cuentas bancarias y ejecutando órdenes fraudulentas de transferencia de fon- dos hacia cuentas controladas. En una tercera fase necesitan personas intermediarias financieras, que reclutan a través de engañosas ofertas de trabajo, o “mulas” profesionales, es decir, equipos de tra- bajo que vienen al país sólo con el fin de abrir cuentas y mover el dinero rápidamente. “Sabemos el poco éxito que tienen las campañas de sensibilización (aunque se siguen haciendo) y aún la ciu- dadanía no tiene conciencia del valor de su identidad di- gital. Las entidades financieras tenemos un escenario complejo y un reto que debemos cumplir porque no po- demos contar con el usuario, ya que siempre lo pueden engañar y, además, no podemos controlar su equipo in- formático. Nos queda como aliada la tecnología y debe- mos aprovecharla para que nos ayude a proteger a las víctimas, incluso de sí mismas”, añadió Carruesco. Respuesta a amenazas Su compañero de La Caixa, Aguilá, ofreció la segunda parte de la exposición dando algunos datos recogidos en nuestro país, como los que indican que en España el 29,9% de los usuarios reconoce haber sido objeto de in- tentos de fraude, de los que el 2,1% declara perdidas económicas. Además, durante el 2007, mediante el de- Jordi Aguilá