jueves,18 agosto 2022
Espacio euroiberoamericano de diálogo sobre la innovación social, profesional y académica
InicioOpiniónBlogsContra las victorias de la ciberdelincuencia

Contra las victorias de la ciberdelincuencia

Infolítico Infolítico
La ciberdelincuencia es uno de los mayores desafíos que deberá afrontar la humanidad, y por tanto la investigación y la docencia, en las próximas décadas. Hace varios años que nos advierten de ello algunos de los estudios acerca de cómo será el mundo a mediados del presente siglo. Pero los terrícolas andamos con la mirada en el muy corto plazo. Ni siquiera somos conscientes de que está ganando batalla tras batalla. Alguna que otra voz asegura que en realidad puede ganar la guerra del mal contra
Un ataque hacker borró a principios de mayo el portal Ibercampus.es, quizá de alguien molesto con sus contenidos, por lo que he decidido pasar el Dia Mundial de Internet escribiendo este artículo. Y mientras Internet festeja su día con más de 1600 millones de usuarios, las asociaciones españolas convocan a su grey a comer pastelitos con dibujos de arrobas y los los hackers crean su propia red social, todos los días ocurre algo similar con otras web, como también a diario son robados miles de millones de euros, violadas millones de intimidades, suplantadas infinidad de personalidades, espíadas empresas y gobiernos y, lo que es peor, desde el espacio virtual se prepara el terreno para todo tipo de crímenes. Resultado: impunidad casi total. Ni siquiera existen medidas adecuadas del fenómeno, entre otras razones porque hasta algunos bancos cuyas bases de datos han sido robadas prefieren silenciar el hecho para evitar las consecuencias del público descrédito. Gracias a Internet y a la impotencia de las organizaciones internacionales, la delincuencia se ha globalizado, como otros muchos ámbitos de la realidad cotidiana   El crimen se transnacionaliza sin que lo hagan las instituciones (normas, medidas, policías, valores, etc) encargadas de combatirlo.
 
Solo tomando algunos de los indicadores existentes, en un reportaje aparecido en el último número de la revista Consejeros estimo que la ciberdelincuencia triplica cada año sus medios, en busca sobre todo de los más de 1000 millones de transacciones financieras diarias, del acceso a los cerca de 5.000 millones de cuentas bancarias existentes en el mundo, de las que 77 millones pertenecen a España. Pero por prudencia ante tal materia oscura me quedo corto en su botín potencial, pues casi solo con las tarjetas de crédito se alcanzan dichas cifras. Frente a esas coordenadas del dinero, cuya masa total en circulación multiplica cada año por cerca de 40 veces el valor añadido mundial en la producción de bienes y servicios, los amigos de lo ajeno se topan con incentivos tan grandes como la virtual ausencia de policías, leyes y castigos para los delincuentes. Su floreciente economía del malware mueve ya cada mes unos 15.000 millones de euros y llega a triplicarse de un año a otro, aunque genera costes muy superiores de seguridad al hoy maltrecho sistema financiero mundial, que se recuperará en uno o dos años de pérdidas similares en la actual crisis de confianza y transparencia por las hipotecas subprime, aunque tendrá que capear por mucho tiempo con el exponencial crecimiento de esta globalización del mal.
 
Esta cruz de la nueva economía de la información, de las fechorías informáticas basadas de un modo u otro en robar información para venderla o explotarla en contra de sus protagonistas, crece a un ritmo muy superior a la también velocidad exponencial de la propia información extendida por la nueva red global: el año pasado se triplicó el número de códigos maliciosos identificados como dirigidos a ese fin, tras multiplicarse por 2,5 durante el 2006.  Y varias consultoras estiman que cerca del 60% de las empresas de todo el mundo tienen malware activo en sus equipos. El año pasado se registraron en la red de redes 711.912 códigos maliciosos destinados a robar información confidencial, diez veces más que 4 años antes, en el 2003, según un informe de Symantec, líder mundial en seguridad basada en antivirus, seguido por McAfee, TrendMicro,Sophos, Kaspersky y Panda. Esta empresas y otras muchas regionales y locales viven días dorados, mientras los grandes como Google, IBM y Microsoft quedan desfasados y tienen que recurrir a comprar empresas especializadas para absorber su tecnología, como para que Microsoft lanzara su prroducto OneCare.
 
La pesca y agricultura del ciberespacio
 
De un lado están las redes de ciberdelincuencia, que se mueven con una creatividad y agilidad que escapa a todo control. De otro, las empresas dedicadas a la seguridad y sus clientes, que tienen un fuerte crecimiento, y los gobiernos, cada vez más preocupados pero hasta ahora casi inermes ante la pujanza de este nuevo tipo de economía oculta o informal e ilegal, pero que alcanza niveles organizativos y de globalización, especialización y externalización propios de algunas multinacionales, según ha descrito Norberto Gallego. Su modelo del negocio logra un gran orden organizativo desde el caos y la atomización de los individuos que integran cada cadena de suministro. El resultado es un mercado bien organizado y efectivo por las leyes de oferta y demanda como fuerzas de las que dependen los precios. Hay quienes desarrollan virus a medida por unos 1.000 euros. Las bandas actúan globalmente para hacerse con amplias bases de datos en los que están las claves para lanzar sus ataques. Un listado de direcciones de correo electrónico se cotiza entre 50 céntimos y 6 euros por megabyte, aunque el precio sube para las tarjetas de crédito: entre 1 y 20 euros por titular. El número y contraseña de una sola cuenta bancaria, la mercancía más preciada, puede subir hasta 800 euros en el mercado negro, según el informe periódico que elabora Symantec, líder del mercado mundial de antivirus.
 
Así, las posibilidades de localizar códigos maliciosos también crecen a ritmos exponenciales propios de la informática; por lo que su vida antes de ser identificado por los antivirus se mide ya en horas. Pero la respuesta del malware está siendo más veloz. Además de proliferar, enseguida cambian su fisonomía y las estrategias de ataque, lo que les convierte en aún más nocivos y difíciles de batir. Pitch, un troyano de origen ruso, se multiplicó en 4.000 variantes en cuestión de meses, por lo que la quinta empresa de las citadas declaró hace varios meses que esta guerra pueden perderla los buenos y ganarla los malos.
 
El Malware bancario más frecuente son los troyanos, capturadores de pantalla y keyloggers, que registran las pulsaciones del teclado sin el conocimiento del usuario. Otros códigos maliciosos detectan cuando el usuario accede al sitio web de una entidad de crédito y, de manera local, inyectan el código correspondiente para capturar las claves de acceso. Pero a ellos se suman, según el Banco de España, muchos tipos de fraudes o timos tradicionales a través de páginas web (ofertas falsas de venta de productos o servicios difundidos a través de una determinada página web), así como muchos casos de suplantación de identidad mediante el uso de datos robados -DNI, NIE o pasaporte-, con los que luego se abren cuentas o se contratan operaciones a nombre de la persona que ha sido objeto del robo o sustracción.
 
No obstante, es más frecuente la captura de claves a través Phishing o pesca de datos y claves mediante correos electrónicos fraudulentos ( por e-mail el usuario recibe el supuesto aviso de una entidad de crédito que le aconseja visitar el sitio web de dicha entidad e introducir sus datos de acceso, aunque la dirección desde la que se envía es manipulada para aparentar que procede de la entidad) o Pharming (redirección del usuario hacia una página que suplanta la imagen de la entidad de crédito y que recoge los datos de acceso a los servicios online introducidos por el usuario). El phishing es la modalidad que más crece y la de mayor peligro: su rentabilidad consiste en lanzar millones de e-mail al bajo coste asegurado por las leyes de la nueva economía, a la espera de beneficiarse de la probabilidad estadística ofrecida por los incautos.
                                      
Mejor cuentas que tarjetas
 
En la búsqueda de participar con las variadas formas de malware en algunas de las más de 400.000 millones de transacciones bancarias que se registran cada año en el mundo, según estimaciones del 2007 realizadas a partir de datos del Banco Central Europeo, los ciberdelincuentes prefieren lógicamente el acceso a las cuentas bancarias que a las tarjetas de crédito. Son muchas más y prometen mayor botín.
 
Solo en la UE las transferencias bancarias suman al año mas de 250 billones de euros (millones de millones: con seis ceros), cifra que deja corta a los 1,6 billones de euros de pagos realizados mediante tarjetas de crédito. Según el Banco Central Europeo, las primeras representaron el año 2005 el 91,5%,, frente al 0,62% de los pagos realizados mediante tarjetas de crédito, el 3,4% a través de debitos directos y otro 3,8% mediante cheques.
 
No es de extrañar que resulten más caras en el mercado negro del malware las claves para acceder a cuentas bancarias y tarjetas bancarias europeas que las cotizadas para los EEUU. La preferencia de la industria del malware está mas que justificada por el valor medio de cada transacción. El de las trasferencias realizadas en la Unión Europea asciende nada menos que a 10.200 euros cada una, frente a los 446 de los debitos o a los 59,6 euros alcanzados de media por las tarjetas de crédito en las mismas cifras del Banco Central Europeo.
 
España, paraíso y promesa
 
Pese al escaso uso comparado de Internet y de los medios de pago, España es el origen de un 2% del phishing mundial, según un estudio elaborado por la división de seguridad del grupo EMC. Pero nuestro país aporta el 6% de las entidades víctimas. Ello sucede porque, aunque China y Estados Unidos son los países de donde proceden el mayor numero de códigos maliciosos, en segundo lugar aparecen los países iberoamericanos, seguidos por Rusia, Ucrania y otros países de la antigua Unión Soviética.
 
En cuanto a los países de destino del phishing, por delante de España sólo se encuentran Estados Unidos y Reino Unido, aunque con una concentración de ataques muy superior (60% y 16% de los fraudes, respectivamente). Sin embargo, además de paraíso para este y otros instrumentos del malware, España es para ellos tierra de promisión, debido a que el uso de medios de pago y de transacciones electrónicas en general está todavía subdesarrollado en comparación con otros países, por lo que tiene un mayor potencial en los próximos años.
 
En efecto, el valor de las transferencias bancarias por habitante fue el año 2006 en la UE de 478.970 euros contra sólo 177.680 euros en España, mientras que el de los pagos por tarjeta de crédito ascendió a 3.230 en la UE y a 1.940 en España. En cambio, España casi converge con la media europea en el valor de las operaciones de débito por habitante (17.820 y 14.690 el año 2006, aunque en anteriores superó en España los 20.000 euros) e incluso en el uso de cheques (20.100 euros por habitante frente a los 21.720 alcanzados en España.
 
Esto no es óbice para que incluso en nuestro país se desarrolle una pujante industria no solo de las cuentas bancarias, sino de las tarjetas de crédito, tras la cual se mueve el mundo del malware. El año pasado se realizaron en España más de 4.000 millones de transacciones, de ellas 1.830 millones en terminales de punto y otros 1.011 millones para retirada de efectivo en cajeros, siendo de un 0,80% la tasa media de intercambio por operaciones de compra en una misma red y y del 0,96% en otra red nacional (véase cuadro adjunto por sectores)
 
Soluciones lejanas
 
Cuando según Accenture sólo el 7% de los encuestados cambia periódicamente sus claves para acceder a sus cuentas en Internet, la amenaza potencial de cara al futuro resulta aun mayor por la extensión de Internet a los móviles, los juegos on line, la mensajería instantánea, el intercambio de ficheros, los blogs, los mundos virtuales, etcétera. De hay que cada vez son más los pesimistas sobre la aparición de soluciones universales contra la proliferación de malware.
 
El mayor problema es que los ciberdelincuentesno pueden ser llevados ante la justicia, porque ni siquiera está claro cuál sería la jurisdicción. Formalmente, sólo toman y agrupan códigos disponibles en redes de intercambio de ficheros, o en páginas web y pueden decir que no son responsables del uso que otros hagan. Según Norberto Gallego, experto de seguridad informática de La Vanguardia, “ningún software, por bueno que sea, puede acabar por sí solo con la ciberdelincuencia. “La impunidad de que goza y su naturaleza internacional –dice la firma rusa Kaspersky – hacen necesario crear una Interpol de Internet, pues la delincuencia es rentable, mucho más que atracar un banco, y porque es más fácil explotar un código que empuñar una pistola”.
 
Ciertamente, proliferan como reacción al malware herramientas de seguridad contra el fraude bancario: token de seguridad, huella dactilar digitalizada a través de diversos productos como la Internet ID-Card de Siemenes, tarjetas sin contacto que han lanzado casi al mismo tiempo para importes inferiores a 10 euros los rivales mundiales Visa y Mastercard…y un largo etcétera al que se ha sumado la compañía ibérica Zitralia con un sistema a prueba de ataques informáticos.
 
Sin embargo, los antivirus y otros productos informáticos se limitan a bloquear peligros ya identificados, por lo que IBM, Cisco, Microsoft y otras compañías afectadas prometen dar un cambio radical: desplazar a los especialistas para integrar la seguridad dentro de los sistemas y los procesos. Y es que las soluciones más efectivas se dirigen hacia la prevención en la fuente, de madera que además de evitar o neutralizar la captación de claves y números de cuenta o tarjetas estos datos no puedan ser utilizados aunque sean capturados y comercializados, por ejemplo mediante sistemas hacia el que giran los estándar europeos como el de doble clave o factor (pin y pasword) soportados por algoritmos matemáticos.
 
A la espera de estas y otras soluciones del I+D por parte de empresas como las citadas o de otras españolas como Abengoa e Indra que cotizan y se mueven en mercados globales, la universidad española acaba de aportar como posible vía la criptografía cuántica contra hackers, al ganarun proyecto de la ESA (agencia europea de la ciencia) para proteger los satélites y el voto por Internet mediante haces de rayos láser con la capacidad de alterar los datos cuando alguien intenta leer la información, por lo que el receptor sabe que está siendo espiado. Pero muchos usuarios bancarios preferirían proteger su cuenta o tarjeta de crédito antes que su voto.
 
Post scriptum
Al acabar de escribir estos textos llega a mis manos un estudio de la Comisión Europea con medidas propuestas y adoptadas durante los diez últimos años contra este problema, que dice mina la confianza en los sistemas de pago y puede ser mejorada con ciertos métodos de autenticación, así como con otras medidas, siempre que se cuente con el compromiso de las partes afectadas para reducir el riesgo y las consecuencias de transacciones no autorizadas. El papel me reafirma en las anteriores opiniones de que estamos lejos de conocer las verdaderas cifras del fraude y de encontrar soluciones adecuadas, pues dice aparecerán nuevas amenazas, sobre todo en el robo o fraude de la identidad y el cibercrimen en general. Lo cierto es que estamos como estamos aunque  hace años que funciona un Grupo de Expertos en Prevención del Fraude (EU Fraud Prevention Expert Group (FPEG), se han adoptado otras medidas de prevención del crimen financiero (Prevention of Financial Crime ) y se ha contado con el apoyo de otras instituciones como el Banco Central Europeo (ECB), la ENISA, la ePSO y sobre todo el Europol, además de inicitativas en otros ámbitos (Initiatives in other jurisdictions). Pero es tan poca la conciencia social sobre la envergadura del problema que el citado estudio de la Comisión Europea lleva fecha del 24 de abril pasado y no ha aparecido en ningún medio de comunicación masiva.
 
 (1) Profesor titular de Organización Económica Internacional en la UAM

De interés

Artículos Relacionados

Centro de preferencias de privacidad