La delincuencia electrónica es una amenaza cada vez mayor para la sociedad, especialmente el tipo de fraude online conocido como phishing. Las estadísticas no sólo revelan un aumento constante de los ataques de tipo phishing, sino que además estas estafas son cada vez más elaboradas y más difíciles de eliminar.
Curiosamente, el éxito de las mismas reside en muchas de las mejores prácticas de las Tecnologías de la Información (TI) utilizadas por empresas legitimas para garantizar la continuidad de su negocio. Parece que ahora los estafadores están empleando dichas prácticas para aumentar el éxito de sus estafas online y escapar de las estrategias de mitigación utilizadas por aquellos que tratan de acabar con el phishing.
El phishing es una estafa online que consiste en remitir engañosamente a los usuarios a páginas web fraudulentas, principalmente mediante e-mails que parecen auténticos, y en pedirles que proporcionen información personal como nombres de usuario, contraseñas, números de cuenta, direcciones, números de identificación personal (PIN), etc.
Después, el estafador utiliza esa información para usurpar la identidad de la víctima y sacar dinero de su cuenta bancaria, organizar subastas online, solicitar tarjetas de crédito, pedir préstamos, blanquear dinero y llevar a cabo diferentes actividades ilegales online.
Aunque el blanco de estas estratagemas son los consumidores individuales, las entidades por las que se hacen pasar los estafadores también son víctimas: se está atentando contra su marca y la buena reputación que tanto les ha costado conseguir. Los bancos son el objetivo más común de los ataques de tipo phishing, aunque cada vez se producen más ataques contra todo tipo de empresas.
El phishing se ha convertido en una realidad desafortunada. El número de páginas únicas de phishing detectado por el Anti-Phishing Working Group (www.antiphishing.org) ascendió a 55.643 en abril de 2007, lo que supone un aumento radical respecto a las 20.871 que existían en marzo.
Un modo más preciso de medir las actividades de estos estafadores es contar el número de marcas corporativas que han sido atacadas. Según el estudio de MarkMonitor recogido en el Brandjacking Index del verano de 2007, el número de marcas al mes víctimas del phishing alcanzó en mayo de 2007 la cifra de 240, un hecho sin precedentes.
En un ataque habitual de phishing, el estafador envía cantidades ingentes de correo ‘spam’, con links a páginas web fraudulentas cuyo control está en sus manos. Los links remiten a páginas que aparentan pertenecer a la empresa verdadera y normalmente se encuentran en servidores de páginas web legales en las que el estafador entra.
Ante esta situación, el éxito del estafador depende de su capacidad para conseguir la recepción satisfactoria de los e-mails falsos que envía, entrar en un servidor web e introducir en él páginas falsas. En la actualidad, las empresas especializadas en operaciones antiphishing normalmente pueden mitigar sin demora estos ataques. Lo consiguen proporcionando inmediatamente direcciones de páginas web a las compañías antispam y contactando con los proveedores de web hosting o con el propietario legítimo de la web para eliminar de la misma las páginas web fraudulentas. Por ello, muchos estafadores han optado por nuevas tácticas para incrementar la efectividad de sus operaciones.
Hoy en día, los profesionales de TI han adoptado una serie de mejores prácticas diseñadas para mejorar la seguridad y disponibilidad de los sistemas de información corporativa. Desafortunadamente, los ciberdelincuentes se están adaptando a estas mismas tácticas para diseñar sus ataques.
En particular, durante los dos últimos años, un grupo conocido como Grupo Rock Phish ha estado empleando estos métodos para robar una suma que se cree que alcanza cientos de millones de euros a bancos de todo el mundo mediante técnicas de phishing más avanzadas. Es más, el grupo Rock y sus secuaces han construido una arquitectura de red elaborada con varios niveles formada por varias capas únicas con el fin de poder llevar a cabo sus estafas.
El resultado de estas tácticas es que las páginas web que este grupo usa para estafar duran un 61% más de media, a veces hasta unas tres semanas. La efectividad de estas nuevas tácticas de phishing ha provocado que un conjunto de bancos deleguen sus actividades antiphishing en compañías de seguridad como MarkMonitor, que se dedican a controlar la complejidad de estas redes y enfrentarse a estas tácticas novedosas.
Los delitos electrónicos cometidos por el Grupo Rock Phish se están expandiendo rápidamente. Ha llegado el momento de que las empresas renueven sus iniciativas contra la delincuencia electrónica para responder a esta creciente amenaza, sobre todo los bancos, que han de esforzarse por fomentar la seguridad personal en Internet entre sus clientes.
Internet Libre para Cuba 
