Internet: alerta amarilla en la nube

XIMENA ALEMAN

Los delitos en Internet cubren un espectro cada vez más amplio, desde usurpación de identidad hasta estafas bancarias. Algunos crímenes no están contemplados por la legislación. Para evitarlos es fundamental la educación de los usuarios.

Las víctimas del crimen son número y letras, los que componen una dirección de mail o una contraseña. También son números y letras los códigos con los que crean los delincuentes las armas cibernéticas. De letras y números se compone la información, letras y números que se convierten en riqueza. Esa riqueza navega en Internet. En Latinoamérica, en 2010, significó aproximadamente 289 millones de dólares en maniobras de comercio electrónico fraudulentas según datos del Registro de Direcciones de Internet para América Latina y el Caribe (Lacnic).

DATOS: UN NEGOCIO. Spam, phishing bank, troyanos, take down: aunque los nombres parezcan extraños, afectan a todos los usuarios de Internet. Nombran delitos informáticos.

"El término virus ya no servía para estas amenazas. Surgió el de malware (malicious software) que embarca todas las categorías, porque cambió mucho el nivel de complejidad", explica el Ing. Joaquín Rodríguez Varela, coordinador del laboratorio latinoamericano de ESET, una multinacional de seguridad informática.

"Dentro de él están los virus, troyanos, gusanos, phishing banker. Todos tienen funciones específicas". En ESSET reciben 240 mil tipos nuevos por día.

Según Rodríguez, los delitos más graves son los que involucran usurpación de identidad y troyanos. En el caso del primero, el usuario ingresa sus datos en un sitio que simula ser original (phishing) y desde el cual son robados. El caso espacialmente delicado cuando involucra contraseñas y sitios bancarios (phishing banking). En cuanto a los troyanos son aplicaciones que simulan ser algo que no son y a través de los cuales se roba información.

"Lo que ese está dando últimamente es el intento de estafa o la estafa misma", comenta el Sub Comisario Gabriel Lima, de la Unidad de Delitos Informáticos de la Policía. "Hay varias formas: te envían un correo ofreciéndote premios o transacciones o ganancias, y las ofertas en Mercado Libre. Allí lo que hacen es un phishing a la página que dice que la compra es segura. Ahí el comprador hace el giro. Es frecuente que sea a Londres. Ese es el delito más tradicional, en parte engañados porque piensan que como es Mercado Libre es seguro".

DESPECHADOS. Los delitos cibernéticos no solo se miden en plata. Algunos también se miden en amor. Es frecuente que ocurran cuando la pareja se desarma.

"Se dan casos en los que sacan información de un perfil en Facebook y hacen perfiles falsos con el fin de provocar un daño a la imagen y perjudicar, o se publican avisos con el teléfono y nombre de determinadas personas con el fin de agraviarlos", cuenta Lima.

Como no hay daño económico ni físico en muchos casos tampoco hay investigación. "Es algo menor, le indicamos a la víctima lo que tiene que hacer para dar de baja ese perfil. También es relativamente sencillo crear una hipótesis sobre quién puede ser el autor porque la información que se vuelca es verdadera y hay que buscar un motivo. En general son amantes despechados".

MERCADO NEGRO. Le pasó a Sony: en mayo de 2011 fue víctima del robo de la información de 77 millones de usuarios de su Play Station Network. En Uruguay se registró un caso , a escala mucho menor, el año pasado.

"La realidad es que los datos que se roban, hoy en día se venden. Hay un mercado negro de ventas de datos", explica Rodríguez. Esos datos pueden incluir pin de tarjetas de crédito o solo direcciones de mail. "Hay criminales que arman estas listas de mails validos y las venden para que las personas que mandan spam tengan listas de mails validadas y actualizadas. Se venden por cantidad millones de cuentas de usuarios".

Otra modalidad de tráfico de información ilegal es el desarrollo de botnets (robotic networks). "Las botnet son redes de maquinas zombies que un desarrollador malicioso infectó con una amenaza. Esa amenaza se propaga por mail o por redes peer to peer. El desarrollador controla a esos equipos de forma remota y les dice lo que quiere hacer". Esta es la modalidad de Anonymous. Puede hace caer una página (se le denomina take down) o enviar millones de correos spam. El alquiler de botnets está disponible en ese mercado negro a 9 dólares por hora, o 67 al día (según cifras de Lacnic).

UN TERRITORIO SIN LEY. Aunque en Facebook aparezcan las caras de 800 millones de personas e Internet parezca el reino de la exhibición, para los delincuentes es sinónimo de anonimato. Y a veces también de impunidad.

En Uruguay, los delitos informáticos tropiezan con dos complicaciones: la localización de la información y el Código Penal. El primero se genera porque la información en general se almacena en servidores extranjeros, fuera del ámbito de legislación del Estado donde ocurre el delito. Para acceder a ellos es necesario que el juez realice un exhorto a las autoridades competentes. En el caso de Facebook, es necesario que el ministerio de justicia de Estados Unidos realice el pedido.

"Es una cadena inmensa que tiene que justificar el pedido. A veces como hay otras medidas mas prácticas se utilizan esas: indicarle a la persona como hacer para eliminar esos perfiles, prever quien puede tener la información que perjudica a la persona", explica Lima.

En el caso del Código Penal es que no está actualizado. "Hay situaciones que se nos están dando a nosotros que en otros países la gente va procesada de pleno. En Uruguay no y no es por falta de capacidad, sino porque no hay nada que diga que cometió tal acción".

Es el caso de los delitos de hackeo. Como el código no tiene esa figura, los jueces utilizan la de violación de correspondencia o la de adulteración del documento privado.

"Para nosotros es un poco más grave lo que se da en materia electrónica pero a falta de un artículo específico utilizamos eso. Pero si sacás el tema de la pornografía infantil y la propiedad intelectual, el resto de las figuras se asimilan a figuras que ya existen. En el caso de robo de información, se tipifica "rapiña"; en el caso de phishing, se tipifica "estafa".

Todos los países de Latinoamérica, más adelante o más atrás, pelean por estar al día.

Dos iniciativas pretendieron actualizar el Código uruguayo. El Proyecto de Reforma del Código Penal incorporaba algunas figuras y el Proyecto de ley sobre Ciberdelincuencia y delitos informáticos pretendía incorporar la normativa sancionada en el Convenio de Budapest de 2001 sobre al derecho nacional. Ninguna de las dos fue sancionada.

Buenas prácticas en internet

No realizar transacciones bancarias desde una computadora ajena, menos aun desde un cybercafé.Nunca hacer clic en links desconocidos, especialmente si aparecen en otro idioma o si provienen de mails desconocidos.

Tipear las direcciones en lugar de acceder a ellas a través de links.

Navegar por sitios que se conocen. Hay sitios maliciosos.

Utilizar los mejores (en general, los primeros) resultados del buscador.

Utilizar un protocolo de seguridad cifrado especialmente para realizar transacciones bancarias. Para esto tienen que aparecer las letras HTTPS antes de la dirección de la página web.

Corroborar que aparezca el dibujo de un candado al lado del link HTTPS. Ese candado indica seguridad.

Para chequear que el candado certifica la seguridad del sitio, clickear sobre él. A continuación se debe abrir una pestaña con la dirección de la página a la que deseamos acceder. Si es así, el certificado es válido y la dirección es segura.

Muchos sitios hacen ventas on line, pero su certificado no es válido. Se recomiendan sitios de buena reputación.

No conectar dispositivos USB en computadoras desconocidas.

Utilizar un antivirus y firewall (filtro de seguridad) y mantenerlo actualizado, tanto en computadoras como en dispositivos móviles: tablets y smartphones.

Mantener los programas, navegadores y aplicaciones actualizados. Muchas de las actualizaciones solucionan fallas de seguridad encontradas y previenen así ataques.

Congreso en el Radisson

Hoy se realiza Segurinfo 2012, vigésima Feria Iberoamericana de Seguridad en la Información, en el Hotel Radisson Victoria Plaza.

Los temas que se tratarán involucran la seguridad informática desde diversas perspectivas: firma electrónica y sus posibles aplicaciones en Uruguay, documentos de identidad electrónicos, prevención de fraudes en Ecommerce y malaware en dispositivos móviles.

El congreso contará con diversos panelistas y ponencias. Marcas e instituciones involucradas en la temática se harán presentes: IBM, ESET, Dirección General Impositiva (DGI), Agencia Gobierno Electrónico y Seguridad de la información (Agesic), entre otras.