Ola de Phishing en Bolivia

Estos dos últimos meses se incremento masivamente la ola de phishing en nuestro país, el tema de aguinaldos y mayor movimiento económico llama la atención de estos delincuentes mal llamados hackers, que no son otra cosa mas que delincuentes comunes (maleantes o cuenteros del tio). Recientemente se vieron traficando por internet una serie de correos phishing dirigido a los clientes de varios Bancos del sistema financiero boliviano. Algunas entidades ya efectuaron su denuncia ante la FELCC para determinados casos y se encuentran tomando medidas de seguridad técnico informáticas así como operativas para prevenir este tipo de fraudes. Sin embargo no se tiene todavía un camino claro para combatir de manera continua las amenazas actuales y las que se vienen.

Los Bancos que cuentan con soluciones de doble factor de autenticación (token, tarjeta, etc.) para sus transacciones electrónicas fueron escasamente afectados por ataques de phishing, mas allá de que el token-RSA no sea 100% seguro, sin duda minimiza en gran porcentaje el fraude informático y personalmente considero la mejor forma para protegerse contra el phishing.

Las medidas que ayudan pero no son suficientes para contrarrestar el phishing son las operativas, ejemplo: limitar montos de dinero para transferencias, limitar cantidad de transferencias y traspasos, enviar correo de confirmación de la operación, alertas de movimientos inusuales, etc. Comentario personal; las limitaciones deben ser controles brevemente temporales, si vamos a limitar los servicios, mejor dejemos de trabajar.
ISACA expone que la mejor contramedida contra el phishing (Ing. Social basada en computador) es la CONCIENTIZACIÓN al usuario, la cual incluye programas y medios de capacitación continua en temas referentes a seguridad. Estoy totalmente de acuerdo en que esto es lo mejor contra la ing. social y una de las mejores contramedidas contra el phishing, porque este tipo de fraude no es mas que el conocido “cuento del tio” solo que ahora se lo realiza a través de computador, no es un ataque sofisticado como muchos colegas analistas de seguridad comentan, ni si quiera el “pharming” que viene a ser la evolución del phishing se podría considerar un ataque “sofisticado” y mucho menos avanzado, ya que también lo realizan muchachos de entre 17 y 20 años en nuestras Universidades, en menos de 5 minutos programan un script tipo troyano que modifica el fichero “host” de Windows y lo “wrappean” en cualquier programa “legitimo”, diseñar una plantilla de autenticación similar al del banco y sobreponerla al original les lleva otros 5 minutos.
Los Bancos están buscando contramedidas técnicamente sofisticadas (antivirus contra pharming, certificados digitales a todo nivel, mecanismos de alerta y otras cosas) para un ataque que no es sofisticado, no digo q estas contramedidas sean malas, pero tampoco están bien dirigidas para el phishing en particular.
Un ataque tradicional simple (apoyado con tecnologia) se debe combatir con técnicas también tradicionales y simples (apoyadas con tecnologia). Hay q tomar en cuenta que no están atacando nuestras redes ni aplicaciones, están atacando la ingenuidad, inocencia y buena fe de las personas. Por tanto hay q combatir nutriendo a las personas de información precisa.
En una era tecnológica, las personas (clientes) no pueden quedar al margen de los cuidados mínimos en transferencias electrónicas, por más q cueste esfuerzos y dinero, se debe insistir en estas campañas de concientización y los bancos si bien no tienen la culpa, tienen la responsabilidad de su difusión.
El tema es cultura de Seguridad, los primeros carros no tenían chapas, multilock, alarmas, rastreo satelital, etc. Y no por eso se culpaba a Volkswagen, Ford y otros por los robos de autos, mucho menos se les pedía que rembolsen otro auto. Seguramente se lo habría hecho si existirá una “Autoridad Supervisora de Fabricación de Carros” de Bolivia. Las personas simplemente nos tuvimos q adaptar a los hechos delincuenciales y a tomar mayor conciencia de seguridad, informándonos mas sobre los peligros y contramedidas a tomar.
No puedo culpar al que me vendió el carro si yo mismo hice perder las llaves, ya que no está en sus manos sino en las mías y por tanto es mi responsabilidad cuidarlas, tenga o no el conocimiento necesario. Otro caso seria si estas llaves están en custodia del que me vendió el carro y se las robaron a él.
Resumiendo, Antiphishing= token + concientización continua.

Fuente: Israel Rosales