La seguridad informática en problemas

Tom Zeller Jr | THE NEW YORK TIMES

La mayoría de las personas que usan el mail reconocen los mensajes que pretenden provenir del banco o algún negocio, pero que en realidad intentan robar información confidencial. Pero entre los ciberladrones esa técnica (llamada phishing) ya ha pasado de moda. Actualmente se ha visto eclipsada por una forma aún más virulenta de engaño electrónico: el uso de programas que roban las claves (en inglés los llaman keylogging).

Estos software silenciosamente copian lo que el usuario digita en un teclado y envían esta información a los delincuentes. A menudo estos programas están escondidos dentro de otro software y luego infectan la máquina; es decir, se comportan como un virus troyano. Se pueden adquirir en cualquier parte. Desde archivos bajados de la red, correos electrónicos o con tan sólo ingresar a una página web. Los navegadores dejan correr algunos softwares automáticamente, los cuales muchas veces contienen troyanos en su programación.

ALERTA EN BRASIL. Hace dos semanas, la policía federal brasileña hizo una redada en la ciudad de Campina Grande, arrestando a 55 personas por instalar programas ladrones de claves en equipos de usuarios desprevenidos. Los estafadores robaron alrededor de U$S 4,7 millones ($ 2.400 millones) desde 200 cuentas diferentes en seis bancos.

Estos programas detectan fallas de seguridad en los sistemas y monitorean el tránsito de información desde el teclado hacia otras partes de la computadora. "Estos troyanos son muy selectivos", dijo Cristine Hoepers, gerente general del Equipo de Respuesta Computacional de Emergencia de Brasil. "Siempre atacan a víctimas con un perfil determinado. De acuerdo a informaciones reunidas por compañías de seguridad digital en 2005, el uso de troyanos para robar nombres de usuarios y claves —y dinero— ha crecido".

Durante el 2005, iDefense, institución que provee información sobre seguridad virtual al gobierno de EE.UU., ha detectado 6 mil tipos distintos de códigos maliciosos, un aumento de más de 65% respecto a 2004. La empresa de antivirus Symantec dice que la mitad de ellos no están hechos con el fin de destruir sistemas, sino para reunir información. El instituto SANS, grupo dedicado a certificar profesionales en seguridad digital, estima que en algún momento del año pasado, cerca de 9,9 millones de computadoras tan sólo en EE.UU. se encontraban infectadas con keyloggers, dejando cerca de U$S 24 mil millones al alcance de los criminales.

En EE.UU. cada vez aumentan más las exigencias de las agencias gubernamentales a la industria financiera. Estas estarán obligadas a pedirles a los usuarios más que un nombre de usuario y una clave. Los expertos en el tema creen que las exigencias están bien, pero fallan en un aspecto: no hacen obligatorio el uso de dispositivos electrónicos que generan una clave distinta cada 60 segundos, medida que disminuiría el cibercrimen y frustraría muchos intentos de fraude mediante keyloggers.

Esta tecnología que logra captar cada acción del usuario no es nueva ni sofisticada, si se considera que se vende comercialmente para que los padres vean qué hacen sus hijos en internet. No todos están de acuerdo con que sea tan masiva como indican estos estudios. "Me preocupa que la gente le tenga miedo a la red", dijo Alex Eckelberry, presidente de Sun-Belt Software, fabricante de anti-spywares, los programas que evitan este tipo de invasiones. Eckelberry cree que los números no son tan elevados, debido a la cantidad de gente que ya se encuentra protegida en contra de ese tipo de tecnología.

Los expertos creen que la simplicidad de estos programas es exactamente la razón de su popularidad entre los ladrones. "Phishing es algo que requiere tiempo y esfuerzo", dijo David Thomas, jefe de la división de invasión de computadoras del FBI. La programación también es bastante trivial. "Pueden ser desarrolladas por un hacker de 12 años", dijo Eugene Kaspersky, cofundador de los Laboratorios Kaspersky, una compañía internacional de antivirus.

A pesar de todos los esfuerzos, según un estudio realizado por el Grupo Hoeper en Brasil, la mayoría de los antivirus detectan cerca del 90% de los troyanos, pero el resto puede actuar sin ningún tipo de trabas. Kaspersky teme que la cibercriminalidad esté a un paso de salirse de control: "Si la cantidad de este tipo de crímenes crece a este ritmo, las compañías de antivirus no estarán capacitadas para entregar una protección eficiente en el futuro." TRADUCIDO EL MERCURIO / GRUPO DIARIOS AMÉRICA

Durante la Cuarta Reunión de Expertos Gubernamentales en Delito Cibernético, en OEA, Washington, el secretario general del Organismo, José Miguel Insulza, propuso "la creación de un directorio único de autoridades de investigación y persecución del crimen cibernético, y la consolidación de un sistema integral de comunicación con un fluido intercambio de información".

El tema preocupa a la Organización de Estados Americanos (OEA), ya que según dijo Insulza "los delitos informáticos constituyen por esencia un peligro de carácter internacional y plantean grandes retos legales, tecnológicos, de capacitación y de asistencia y cooperación, no sólo entre los Estados sino también con el sector privado y los centros de investigación".

Ya existe la Red Emergencia 24 horas/7 días, mediante el cual las naciones americanas intercambian experiencias y conocimientos "sobre actos que atentan contra la seguridad del espacio cibernético".

Una tarea fundamental es mantenerse al día con todos los "parches" del sistema operativo, comprar un buen programa antivirus y utilizar un firewall básico. La mayoría de los programas antivirus buscan troyanos que contienen un ladrón de claves; lo mismo hacen los mejores programas anti-espía. Algunos productos, como Spyware Doctor, de PC Tools, y SpySweeper, de WebRoot Software, se dedican de manera especial a troyanos ladrones de claves y cuestan alrededor de U$S 30.