Archivo

Es 'fácil' robar cuentas por Internet, aseguran dos paisas víctimas de ese flagelo

El criador de mascotas Miguel Barrientos y el ingeniero y educador, Alex Narváez, investigaron el tema después que a al primero le sacaron de su cuenta 9 millones 700 mil pesos.

01 de junio 2007 , 12:00 a.m.

No tener ocultas las direcciones internas de la página (como la del teclado virtual), no identificar si el acceso se está haciendo desde la dirección original del banco, y hasta dejar abiertos a los ladrones informáticos los lenguajes de programación, hacen parte del listado de vulnerabilidades que tendrían las sucursales virtuales de los bancos.

Aunque la entidad ya le devolvió a Barrientos 4 millones 700 mil pesos, este dice que "lo hizo porque el tope máximo de transferencias diarias era de 5 millones y dejaron que el ladrón sacara más, pero que no reconocieron los errores de seguridad de su sitio virtual".

Narváez, de 32 años y ex karateca, se unió a la investigación gracias a su pasión por la seguridad en Internet y que a través de la misma red conoció el caso de su compañero.

Ambos decidieron crear una página web (www.bancosseguros.com) con más de 100 visitas diarias y hasta un video de 45 minutos.

Allí, dicen, se prueba la vulnerabilidad de la banca virtual del país, que en una sola entidad pueda generar casi 16 millones de operaciones mensuales.

Las trampas

Este diario pudo comprobar cómo con un simple correo electrónico que anuncia las últimas fotos de Egipto o de un paseo familiar, se puede 'contaminar' un computador y robar las claves personales del usuario cuando este abre el archivo.

La técnica se denomina phising perfecto (pesca de información) y consiste en atacar las ventanas 'Ieframe' (desde donde se abren los teclados virtuales para escribir las claves personales en Internet) para copiarlas y enviar la información sin que el usuario se dé cuenta.

"Así, una persona accede al teclado virtual pero no desde la página del banco sino del delincuente que le envió el virus por e-mail y le da toda su información sin darse cuenta, pues en la pantalla le aparece su saldo", explica Narváez mientras señala en su computador las fallas que tienen las sucursales virtuales.

Según Narváez, la página de una de las bancas virtuales, por ejemplo, no tiene ocultas sus direcciones internas.

En castellano significa que la información es abierta a cualquier persona y por eso puede ser usada por los crackers para enviar los e-mails contaminados y así cometer los fraudes.

"Lo más grave es que tienen errores de validación de las páginas. Es decir, cuando en el computador de una persona se carga el teclado virtual, el sistema no comprueba si se cargó desde la página real o de una ficticia, lo que permite el fraude", agrega.

Barrientos, menos ducho en el tema, pero con la experiencia de la investigación a cuestas, también muestra un software que cualquiera puede bajar de la red, con el que se puede grabar el momento en el que una persona escribe su clave personal en un teclado virtual.

Este 'modelo' de robo es más difícil, pues obliga a instalar el programa en el computador de la víctima y a sacar la información con el riesgo de ser atrapado.

La investigación de Narváez y Barrientos fue expuesta a varias entidades para su revisión.

'Es un sitio seguro'

Bernardo Zapata, gerente de seguridad informática del sector bancario, niega que el trabajo de estos dos hackers compruebe alguna vulnerabilidad de la banca virtual en el país.

"Es seguro, completamente confiable", enfatiza y asegura que en su entidad se contrató desde diciembre una empresa que monitorea las 24 horas del día los posibles ataques de ladrones informáticos a sus clientes para prevenirlos.

Explica que la página tiene sus links abiertos al público "porque si no, sería imposible que se habilitara el teclado virtual". 

"No hay errores de validación de la página. Cuando un ladrón informático logra capturar la imagen de nuestro sitio la carga desde otro servidor y por eso no tenemos nada que ver".

Augusto Restrepo, de la Unidad de Canales de Distribución de la banca, explica que en el caso del software que graba la pantalla cuando se escribe la clave, "es en el computador del usuario y no tiene nada que ver con alguna vulnerabilidad del sitio".

En todo caso, Narváez y Barrientos insisten en que es necesario que se tomen medidas de seguridad, en los bancos cuyos clientes han sido víctimas de los crackers.

Según datos de la Unidad de Delitos Informáticos de la Dijín, hasta el 2006 se registraron en el país cerca de 2 mil procesos por robos en Internet, especialmente a través de tarjetas de crédito y débito.

En total, se cuantificaron cerca de 3 mil millones de pesos en robos virtuales. Lo grave es que este año ya van 30 casos y 7 internautas han sido judicializados por robo y extorsión.

Ojo con la seguridad de sus cuentas

Revise que la página web donde realiza sus transacciones tenga un candado en la parte inferior y en la barra de dirección aparezca https://.

Nunca abra links o documentos adjuntos de correos electrónicos sin comprobar su origen con su antivirus o si presentan una dirección que nunca ha visitado. Incluso si vienen de personas de confianza.

No conteste o diligencie formularios donde le soliciten información personal o financiera por correo electrónico.

Cuide sus datos, no entregue información financiera ni de identificación en cualquier página de internet ni por correo electrónico.

No comparta su clave secreta.

No utilice computadores públicos para efectuar operaciones financieras, especialmente en sitios como cafés Internet.

Cambie su contraseña por lo menos cada mes y no use nombres de familiares o de gustos personales que sean fácilmente descubiertos.

En algunas entidades bancarias, se inicia una investigación cuando se presenta la denuncia por robo en cuentas. Si se comprueba que el cliente fue el que entregó sus claves no se responde por el dinero.

JUAN DAVID CORREA L.
Corresponsal EL TIEMPO
Medellín