Phishing: El cibercrimen del siglo XXI
http://www.tiempoenlinea.com.mx/ 25/05/2015
El robo de datos bancarios por internet se duplicó en cuatro años, al pasar de 352 mil a 700 mil las víctimas de fraude por suplantación de identidad, según un informe de la Condusef. Los criminales obtuvieron 2 mmdp en 2014
Lo recuerda y se le vuelve a poner la piel de gallina: fueron noches sin dormir, días sin comer, dolores recurrentes de estómago sin razón fisiológica aparente: “La verdad es que es una pesadilla realmente”. Así define Paty (nombre ficticio) el fraude bancario del que fue objeto durante ocho largos meses, y que apenas hace dos se resolvió a su favor.
Todavía con el coraje adelgazándole el tono de voz, Paty relata que fue después de un mes de que se inició el fraude, cuando llegó su estado bancario, que se dio cuenta de que algo andaba mal.
“Tengo tres tarjetas con ese mismo banco (Banamex), y me llegó el estado de una de ellas. Entonces empecé a verificar y vi dos disposiciones de efectivo. Pensé: ‘Órale, ¿y ésas de dónde?’ Hablé al banco y me dijeron: ‘Sí, esas disposiciones las tiene usted, pero hizo una transferencia bancaria’. Yo pregunté: ‘¿perdón?’, y el empleado respondió: ‘Sí, hizo una transferencia bancaria a su otra tarjeta’”.
Ya francamente preocupada, Paty preguntó al empleado a qué tarjeta se refería, y él le indicó el número de una que, efectivamente, era de ella. Según él, la transferencia entre ambas cuentas se había hecho vía la banca electrónica. En ese momento Paty pasó de la preocupación al enojo, y aclaró al hombre que la atendía por teléfono que no poseía clave para transacciones por internet. El empleado insistió; ella entonces preguntó qué transacciones y en dónde se habían hecho con la tarjeta a la que, según el banco, había transferido fondos de la primera, de la que, también según la institución bancaria, había hecho dos disposiciones. Al escuchar la lista de compras en tiendas como Superama, Walmart y Suburbia del DF y del Estado de México, se dio cuenta de que se trataba de sucursales a las que nunca había acudido.
La voz del otro lado de la línea telefónica le aconsejó reportar la tarjeta como extraviada; ella dudó, pero al final cedió. “Y eso me ocasionó muchísimos problemas”, dice en entrevista, recordando ese día negro, cuando fue a la sucursal donde tramitó la tarjeta y le dijeron que sólo tenía 72 horas para reportarla como robada o extraviada, y que pasado ese plazo todas las compras y disposiciones que se hicieron con ese plástico tenía que pagarlas. En ese momento la “deuda” ascendía a 200 mil pesos.
El phishing y el pharming
El de Paty es uno más de los 547 mil 104 casos de reclamación por fraude con tarjeta de crédito sucedidos en 2014, en los que necesariamente tuvo que haber una suplantación de identidad gracias al robo de datos bancarios a través de internet. Si sumamos los casos con tarjeta de débito, depósitos a la vista (en los rubros de pagos por celular, operaciones por internet de personas físicas, banca móvil y operaciones por internet de personas morales) así como tarjeta prepagada, la cifra se eleva hasta 736 mil 669.
Este fenómeno llamado phishing —que proviene de la palabra inglesa fishing, que significa pescar— se ha duplicado en los últimos cuatro años, al pasar de 352 mil 858 casos en 2011 a 700 mil al cierre del año pasado. Este tipo de fraude, que se clasifica en el rubro “sin presencia física de la tarjeta” (se dio a través de internet, banca móvil o incluso teléfono), es el único que se ha incrementado en este periodo, respecto a los otros dos tipos. Éstos son: por “terminal en punto de venta (TPV)”, que ha pasado de un millón 533 mil en 2011 a un millón 200 mil en 2014; y por “cajeros automáticos” (ATM), que ha bajado de 60 mil 628 a 31 mil 494, y ya sólo representa 2% del total de reclamaciones imputables a posibles fraudes, según el informe Evolución de las reclamaciones imputables a un posible fraude, de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef).
Al sumar los montos de los presuntos fraudes con tarjeta de débito, crédito, depósitos a la vista y tarjetas prepagadas que según este informe se cometieron sin presencia física de la tarjeta durante 2014, se obtuvo una cifra mayor a 2 mil millones de pesos.
El doctor Rodolfo Romero, experto en suplantación de identidad, no duda en afirmar que este tipo de fraudes por internet “han crecido exponencialmente en los últimos años, a través de este contexto donde todo es tecnológico. Nuestra información personal ahora se concentra en bases de datos, elementos digitales, y resulta sumamente atractivo apropiarse de esos soportes que contienen nuestra información personal”.
En su oficina de la Facultad de Derecho de la UNAM, el doctor en Informática Jurídica y Derecho por la Universidad de Montpellier, Francia, explica que las conductas delictivas en las que el vehículo del fraude es internet son conocidas como phishing y pharming.
El phishing, explica, “es lanzar el anzuelo, enviar correos spam, y el receptor duda de si es el banco o no. En realidad no es, y lo lleva a un sitio muy parecido al sitio real del banco. Ya cuando uno verifica el dominio correspondiente se da cuenta de que no es, pero ya entregó su información de carácter financiero”.
La otra conducta, más sofisticada, es el pharming. Romero la explica así: “Por ejemplo, yo uso esta computadora y constantemente ingreso a mi institución bancaria. Creo una ruta siempre predeterminada a través de archivos temporales de acceso a internet que se llaman cookies, en los que la computadora alberga la información de la navegación. Yo lo que hago, como hacker o cracker, es modificarle sus archivos temporales de acceso a internet y redirijo el sitio a otro que pareciera ser mi institución bancaria, pero no lo es. A eso se le conoce como pharming. Y se logra simplemente accediendo a mis archivos temporales de navegación”.
El primer caso de robo de identidad, según el especialista, ocurrió en Reino Unido hace más de tres décadas; y el Comisario de Datos en Canadá Daniel Therrien lo ha llamado “el crimen por excelencia del siglo XXI”.
Simple sanción
Todos estos fraudes implican una suplantación de identidad, que Romero define así: “Implica el hecho de que una persona asuma las cualidades o atributivos informacionales de otra persona, o se haga pasar por ésta con el fin o no de obtener un lucro”.
Con estas cualidades se refiere también a datos biométricos como huellas dactilares o palmares, e iris, así como a la apropiación de certificados digitales como la FIEL del SAT. Puede ir desde la apropiación de documentos de información personal, como domicilio, fecha de nacimiento o inclusive obtener un acta de nacimiento, lo que implica que alguien quiere hacerse pasar por titular de esos datos.
Lo más preocupante, explica, es que en México (país que, según el portal globometer.com, es décimoprimer lugar mundial en robo de identidad) no hay una legislación clara con respecto a este ilícito, y por tanto goza de un alto índice de impunidad. Cuando se trata de suplantación de identidad sin daño patrimonial, advierte, no es considerado un delito grave. Pero si lo vemos en un concurso real de delitos, sí puede darse la conducta asociada al fraude y sí puede convertirse en una de orden grave.
Lo que sucedió con las tarjetas de Paty es un ejemplo para comprender lo que quiere decir Romero con “un concurso real de delitos”, que terminó con un pharming. “Era todo un fraude a través de mis tres tarjetas”, explica la afectada. “Hicieron transacciones de una a otra, compraron con la tercera tarjeta a meses sin intereses teniendo yo los plásticos”.
Después de que Paty exigió, por medio de varias cartas, que el banco hiciera una investigación, se descubrió que cuando le enviaron por correo la reposición por vencimiento de una de sus tarjetas de crédito, el repartidor dijo que se la había entregado a su “asistente”. “¿Te imaginas? Si hace años que ni tengo muchacha de servicio, ya mero voy a tener asistente”.
Bastó que el repartidor se apropiara de uno de los tres plásticos para que diera inicio un fraude que implicó el uso de transacciones electrónicas (muy probablemente mediante pharming) entre sus cuentas y hasta la utilización de una firma apócrifa en los vouchers que el banco se negó a mostrarle.
El perfil de los phisher
Romero explica que no hay un solo perfil que se ajuste a quienes cometen el delito de usurpación de identidad; puede ser desde un delincuente convencional hasta alguien más sofisticado: un experto en tecnología. Alguien que simplemente vaya pasando y encuentre correspondencia apilada afuera de un domicilio. Puede haber ahí números de tarjetas de crédito, referencias personales, información de la que un delincuente puede apropiarse para suplantar la identidad.
En una elegante oficina, Juan Carlos Contreras Licona, subsecretario de Información e Inteligencia Policial de la Secretaría de Seguridad Pública del DF, advierte que dado que los fraudes cibernéticos ocurren con páginas clonadas, siempre que se ingrese al portal de un banco, de una tienda departamental o de cualquier otro comercio que ofrezca ventas en línea, hay que observar que la dirección electrónica empiece con https, ya que la “s” significa security. “Si cuando abrimos nuestro portal aparece https tenemos la certeza de que hay una tercera instancia que le da a todos los bancos esa ‘s’, lo que quiere decir que es una página segura”, explica.
Por su parte, la Policía Federal informó en febrero de este año, que mediante el patrullaje en internet ha logrado desactivar 5 mil 549 sitios web apócrifos que usurpaban la identidad de instancias financieras y gubernamentales con fines de fraude.
Quién paga los platos rotos
Después de ocho meses de llorar cuando su hija no la veía, y de haber entregado todo su aguinaldo para cubrir los mínimos de las tarjetas porque le llamaban a todas horas exigiendo el pago, el caso de Paty se resolvió a su favor. Por eso opina que debería haber sanciones para los bancos: “Es su responsabilidad garantizar la seguridad de los usuarios”.
Pero el deseo de Paty, a corto plazo, se vislumbra difícil. Romero explica que un fraude de este tipo es una conducta de efectos prolongados, por eso es muy difícil fincar responsabilidades.
Puede ser que una persona sustraiga mi información de carácter personal (por medio de phishing o pharming), pero puede ser que ella le ceda a un tercero esa información, que venda la base de datos, y puede ser que ese tercero o incluso una cuarta persona, con esa información duplique un plástico, y una quinta haga la afectación patrimonial utilizando esa tarjeta. Es una cadena que empezó con la apropiación de la información y pueden existir en el camino cinco, 10 o más personas, y finalmente alguien genera la afectación patrimonial.
Entradas
