Buenos Aires, 12 de enero de 2012
El valioso material que Cristian Borghello puso a disposición de quienes visiten esta página de Segu-Info contiene, en diez carillas de abundante información estadística y prolijo análisis, un corte preciso de la realidad del phishing en nuestra región.
El material analizado proviene de denuncias, realizadas por visitantes del website mencionado, ocasionadas por la recepción de correos electrónicos fraudulentos. En base a los ejemplares recibidos, que sumaron varios miles en los pasados cinco años, Borghello completó un trabajo de muestreo, análisis de casos, descripción de técnicas empleadas en los ataques, estimación de las ganancias de los delincuentes y elaboración de conclusiones.
Los correos electrónicos recibidos por quienes efectuaron las denuncias analizadas usaban como carnada de los engaños a entidades oficiales, financieras o comerciales de Argentina, Brasil, Chile, Colombia, El Salvador, México, Paraguay, Perú, República Dominicana y Uruguay, en nuestro continente, además de otros ubicados en España.
Algunos números relevantes del estudio:
* Cantidad de email sospechoso analizado: 384
* De ellos, 250 corresponden a la industria financiera y bancaria, y del área previsional, y 134 a proveedores de telefonía fija o celular, redes sociales, webmail gratuito, transporte de encomiendas internacionales, venta de pasajes aéreos.
* Del total, casi el 90% fueron redactados en español, poco menos del 10% en portugués y dos ejemplares en inglés.
* Más del 14% de los email que aludían falsamente a empresas financieras contenían adjuntos con malware; en el caso de los correos que intentaban suplantar a empresas de comunicaciones o de redes sociales, el 54% contenía también adjuntos con malware, o links a sitios con archivos dañinos.
* El 80% apuntaba a algún website alojado en un servidor atacado por los delincuentes y parasitado.
Aproximadamente un 17% de las páginas web que alojaban adjuntos con malware se encontraban en servidores de hosting gratuito.
También se evaluaron los ataques producidos mediante engaño, transmitidos a través de SMS (más del 3%) y se detectó el empleo de acortadores de URL en un tercio de los casos analizados, como forma de ocultar las direcciones web reales a donde apuntaban los links fraudulentos.
En cuanto a las ganancias económicas obtenidas por los delincuentes, estas provienen, según el estudio, de la venta de la información a otros delincuentes, la extracción de dinero de cuentas bancarias, que en algunos casos se destina a compras, y el robo de identidad para la realización de otros delitos.
Es de destacar el estudio detallado del movimiento de información de los casos; por ejemplo, aquel en el que se logró verificar la existencia "...de 1.047 usuarios únicos (IP únicas) y si se realiza un filtrado de los usuarios que ingresaron su información personal y sus datos bancarios reales, se obtienen 132 víctimas. Es decir que el 12,6% de los usuarios que ingresaron al sitio falso, además le brindaron sus datos personales al delincuente..."
(Nota del comentarista: el subrayado es mío, la... tontería es de esos usuarios)
Dos párrafos presentes en este estudio de Segu-Info, que nuestros amigos admin probablemente repetirán muy seguido a los ejecutivos de sus corporaciones:
"El phishing es uno de los engaños y formas de manipulación de usuarios que más ha crecido en América Latina, y aun así lamentablemente no se puede decir que se configura como delito en alguno de los países de la región."
"Es necesaria la implementación de mayor cantidad de controles proactivos por parte de las
organizaciones y entidades afectadas así como la realización de campañas de concientización
orientadas a que los clientes entiendan que son responsables de las actividades que realizan con sus cuentas en sus computadoras."
Esperemos que estas reflexiones no caigan en oídos sordos.
Un link provisto por Segu-Info, con material para revisar:
Proyecto de Ley Antiphishing en Argentina [PDF]
Segu-Info:http://www.segu-info.com.ar/
|