DOCUMENTOS

N 07
JUNIO 2008

Informe de Telefnica:

Evolucin e incidencia del spam, el phishing y el cdigo malicioso en Espaa.

Auditorio de Distrito C:

Primer Encuentro de Seguridad para Entidades Financieras.

ENTREVISTA

Miguel Banegas
Responsable de Marketing de Producto, rea de Negocio de Seguridad. Unidad de Grandes Empresas de Telefnica.

DOCUMENTOS

N 07
JUNIO 2008

Edita: Ediciones CODA Goya, 39. 28001 Madrid (Espaa) Tels.: 91 575 83 24 / 25 Fax: 91 577 70 47 Correo-e: info@revistasic.com www.revistasic.com Produccin, diseo y maquetacin: msgrca Imprime: Monterreina Depsito Legal: M-24860-2006 Prohibida la reproduccin total o parcial de cualquier informacin contenida en Documentos SIC sin autorizacin por escrito de la fuente.

D O C U M E N T O S SiC

nrique Santiago, Director del Sector de Entidades Financieras dentro del rea de Grandes Empresas del proveedor global de TI, hizo destacada mencin en la presentacin inaugural del evento sobre la importancia de generar conanza en un nuevo entorno multicanal y ante una nueva generacin de banca electrnica, en el que el desarrollo de inditos modelos de relacin entre empresas y clientes, y la creciente complejidad tecnolgica favorecen la aparicin de nuevos incidentes que repercuten en una mayor sensacin de inseguridad por parte del usuario. En este sentido, el objetivo de Telefnica es proporcionar a sus

clientes una Red de nueva generacin limpia de malware, que detecte, analice y elimine el cdigo malicioso. Adems, y como parte de esta estrategia, la compaa ha centrado su foco en tres reas fundamentales: la gestin integral de la seguridad, prestada bien en remoto o en casa del cliente; un Centro de Operaciones de Seguridad (SOC) que presta servicios desde la Red; y

la iniciativa Clean Pipes, para proveer de accesos 100 por 100 seguros y limpios. El foro, adems, brind la posibilidad de contar con la visin y las experiencias de destacados expertos internacionales sobre aspectos de ascendente gravedad como el fraude online y en tarjetas, cuestiones analizadas en sus presentaciones por Peter Cassidy,

Vista panormica del Auditorio de Distrito C, sede de la Jornada. A la izquierda, Enrique Santiago, Director del Sector de Entidades Financieras del rea de Grandes Empresas de Telefnica; y a la derecha, Peter Cassidy, Secretario General del Anti-Phishing Working Group.

N 07 / JUNIO 2008

El acto, en el que tambin se trat la aplicacin del DNI electrnico en los servicios de banca electrnica, concit la atencin de ms de un centenar de profesionales de TI y seguridad del sector bancario.

el gran reto, y en su contexto, la evolucin hacia nuevas tecnologas, como SDA (Static Data Authentication), DDA (Dynamic Data Authentication) y CDA (Combined Dynamic Data Authentication).

Secretario General del Anti-Phishing Working Group (APWG), asociacin internacional de la que es miembro Telefnica, y por Neil Stewart, Vicepresidente del rea de Gestin de Fraude de Visa Europa, respectivamente. El portavoz del APWG analiz los actuales objetivos de los ataques de phishing, y subray que los atacantes han diversicado el centro de sus

Adems, entre otras valoraciones, destac que a partir de los datos recabados por el APWG, se observa un importante nfasis en la durabilidad y la multiplicidad de sitios web de phishing como caractersticas inherentes a este tipo de ataques, con el n de optimizar los resultados de los mismos. Por su parte, Neil Stewart expuso en primer lugar su visin sobre el actual

acciones, tradicionalmente ligadas a las grandes entidades nancieras, incluyendo ahora tambin a otras de menor tamao, as como a los empleados clave con acceso a datos competentes e informacin nanciera; y que los grupos delictivos que se encuentran detrs de estas incursiones estn incidiendo actualmente en que el crimeware sobreviva y no sea detectado ni neutralizado por sistemas antivirus o anti-spyware.

contexto del fraude en tarjetas, los tipos de fraude, as como los sectores de actividad y los pases que han experimentado mayores prdidas ante estos incidentes (atribuyendo a Espaa en 2007 un 4,5% del total de prdidas por fraude). Igualmente, abord el impacto de las acciones de falsicacin de tarjetas de banda magntica y chip, y subray entre sus conclusiones que la autenticacin de usuario supone

La sesin continu asimismo con las aportaciones de Jos Luis Dez Aguado, Comisario del Cuerpo Nacional de Polica y Jefe del rea de Informtica de la Direccin General de la Polica; Yinon Glasner, miembro de la Unidad de Negocio de Inteligencia de Fraude de RSA, divisin de Seguridad de EMC; Juan Salom, Jefe del Grupo de Delitos Telemticos de la Guardia Civil; y Pedro Pablo Prez Garca, Gerente de Servicios de Seguridad Gestionada de Grandes Empresas de Telefnica Espaa. Dez Aguado present el proceso del desarrollo del DNI electrnico y su estado actual de implantacin, as como los aspecto tcnicos de seguridad del documento, y su bagaje de uso. El representante de la Polica seal la importancia de incorporar a futuro el DNIe como elemento de identicacin y autenticacin a los procesos de negocio y su interoperabilidad a nivel europeo, adems de las posibilidad de uso de aplicaciones certicadas, o el deseable desarrollo para nuevos dispositivos, y la incorporacin de nuevos procedimientos en la documentacin. Por otra parte, y desde la privilegiada informacin que aporta la red eFraud Network a RSA sobre los incidentes de fraude online, Yinon Glasner abund

D O C U M E N T O S SiC

La jornada cont con expertos de primer nivel en el mbito especco de la seguridad y la lucha contra el fraude. En primer trmino, Francisco Ginel, Director del rea de Negocio de Seguridad de Grandes Empresas de Telefnica, durante el acto de clausura de la Jornada.

en las caractersticas que describen el contexto en el que se desarrolla el fraude digital, recalcando la facilidad y accesibilidad que este medio ofrece para los atacantes. Asimismo, mostr a los asistentes cmo el fraude se ha convertido en un mercado y genera su propia economa, con ejemplos reales de foros e IRC especializados en la venta de informacin para acciones fraudulentas. En esta misma lnea, Juan Salom destac en su presentacin cmo la Guardia Civil desarrolla sus investigaciones en torno a los episodios de estafa en el

comercio electrnico, timos en la red y fraude en banca electrnica. Finalmente, cerrando el panel de expertos de la sesin previa al almuerzo, Pedro Pablo Prez Garca enfoc su presentacin en los retos de seguridad ante el crecimiento exponencial de dispositivos mviles, y de forma concreta, en los ataques que se producen mediante Bluetooth y mensajera multimedia (MMS), realizando, a modo de ejemplo prctico, una simulacin de ataque aprovechando las vulnerabilidades de la conectividad Bluetooth.

La sesin vespertina de este I Encuentro de Seguridad para Entidades Financieras estuvo enfocada a las experiencias prcticas mediante la exposicin de dos casos y de sendos talleres de rma digital y rma mvil, y de caballos de Troya y hackers. As, Rubn Ceacero, Responsable de Seguridad y Fraude de Bankinter, present las diferentes iniciativas desarrolladas por la entidad para hacer frente a las amenazas que tienen como objetivo los servicios de banca electrnica de Bankinter. Igualmente, Juan Miguel Velasco Lpez-Urda, Director Asociado de Seguridad Gestionada de Grandes Empresas de Telefnica, y moderador de toda la jornada, present en nombre de Banc Sabadell el proyecto de antiphishing de segunda generacin y anticaballos de Troya desarrollado por esta entidad nanciera en colaboracin con Telefnica. Finalmente, y tras los talleres prcticos, dirigidos por los profesionales del rea de Grandes Empresas de Telefnica, Miguel Banegas, Roberto del Pino, Diana Caminero, Leonardo Amor y Luis ngel Fernndez Escabias, la jornada fue clausurada por Francisco Ginel, Director del rea de Negocio de Seguridad de Grandes Empresas de la compaa antriona, quien precis el trabajo que est desarrollando la rma en la creacin y puesta en explotacin de nuevos servicios de seguridad desde la Red, as como en el despliegue de infraestructuras que permitan ofrecer redes limpias.

N 07 / JUNIO 2008

os servicios de seguridad de la Unidad de Grandes Empresas de Telefnica de Espaa, y especcamente los de Correo Limpio y Anti-Phishing son receptores de valiosa informacin sobre la evolucin, las tendencias y la aparicin de nuevas amenazas en la Red, as como los objetivos de las mismas y los mtodos empleados por los atacantes. En este sentido, en sus informes peridicos, se proporcionan datos muy interesantes acerca de la incidencia del phishing en las entidades espaolas, as como sobre el volumen de cdigo malicioso y spam detectado y gestionado por sus servicios de Trco Limpio. Entre las conclusiones recientes ms preponderantes, sin duda, uno de los datos que destaca es el hecho de que los casos de phishing sufridos por entidades espaolas entre el ao 2004 y 2007 han experimentado una evolucin vertiginosa, mostrando un crecimiento imparable de ao a ao. As, el Servicio Anti-Phishing de Telefnica registr en 2004 un total de 33 casos; en 2005 291 (multiplicndose la cifra por ms de ocho respecto al ao anterior); en 2006 fueron 1.040 los incidentes contabilizados, y en 2007 el nmero de casos tratados y resueltos por la compaa duplic a los registrados durante todo el ao anterior, con un total de 2.151 ataques. Pero esta tendencia no slo sigue un curso incremental, sino que la proporcin en la que evoluciona ao a ao es abrumadora, ya que desde enero hasta el mes de abril de este ao Telefnica ya ha gestionado 2.637 casos en su servicio Anti-Phishing,

superando la cifra global a cierre de 2007. Por otro lado, el nmero de entidades nancieras espaolas afectadas por phishing en 2007 fue, segn los datos registrados por Telefnica, de 46. Y, en lo que al conjunto de entidades

En este punto hay que sealar que de las 20 mayores entidades nancieras de Espaa, 17 son clientes de estos servicios de Telefnica, que se prestan desde Madrid, adems de 4 entidades de otros pases de Europa y otras 10 ms de Latinoamrica.

nancieras se reere, los ataques a las mismas se multiplicaron por 2,5 en 2007 respecto al ao anterior, a lo que hubo que sumar otras 4 compaas del mbito no nanciero que formaron parte de varios phis-kits.

El servicio permite tambin calcular el tiempo empleado en el cierre de pginas web fraudulentas, y del informe se desprende que ms de la mitad de los incidentes fueron resueltos en las 12 horas siguientes a su

D O C U M E N T O S SiC

deteccin, y un desglose mayor revela que prcticamente el 40 por ciento de los casos se cerraron en menos de 5 horas. No obstante, tambin se evidencia un aumento en el porcentaje de casos que se tardaron ms de 24 horas en resolver por la incidencia del spyware y los caballos de Troya, representando estos ltimos un 18% de los ataques. En cualquier caso, segn la informacin del AntiPhishing Working Group (APWG), la media de duracin de los ataques a nivel mundial es de ms de 36 horas.

navegadores en la principal puerta de entrada de virus. Contrariamente, el spam se multiplic en 2007 por 4,5 respecto a 2006 (registrndose ms de 3 mil millones

de mensajes de este tipo), con un gran aumento en el ltimo tramo del ao, en que el spam supuso el 94% del total del correo gestionado. En este sentido, la cifra a nales de

Por otra parte, el volumen de correo procesado por la Unidad de Grandes Empresas de Telefnica durante el ao pasado, cerca de cuatro mil millones de correos, super en 2,25 veces al de 2006, y 2008 previsiblemente superar con mucho a la de 2007, ya que en slo los primeros cuatro meses del ao los Servicios de Correo Limpio de Telefnica han recibido el 60% del total del spam detenido en todo el ao pasado.

stos multiplicaron prcticamente por seis el nmero de correos recibidos en 2004. Adems, en los primeros 4 meses de 2008 Telefnica ha superado el 50% del total de correo recibido en 2007. Los virus informticos y el spam muestran cada vez de forma ms clara tendencias opuestas de crecimiento. As, en 2007 se mantuvo la tendencia a la baja del volumen de virus recibidos (un total de 19.425.718). Esta nueva directriz se debe en gran medida a que los atacantes han aprendido a enviar enlaces a URLs donde se alojan los virus en lugar de enviarlos directamente, lo que sin duda ha convertido a los

N 07 / JUNIO 2008

Telefnica tiene en explotacin un conjunto de servicios, Antiphishing, Gestin de Riesgo de Transacciones y Antispyware, diseado para minimizar el impacto en los negocios del fraude en lnea. Al tiempo, dispone de una valiosa informacin acerca de las tendencias del spam y de los ataques *shing. De este y otros asuntos habla en la entrevista Miguel Banegas, uno de los especialistas de la lnea de servicios de seguridad para grandes empresas de la compaa.

De qu factores depende que en los tres prximos aos crezca, se estanque o disminuya el fraude en servicios en lnea? El factor fundamental ser que contine habiendo negocio, es decir, mientras el coste de los ataques y la impunidad de los atacantes sean inferiores a las potenciales ganancias. Mientras no se acte de forma coordinada a nivel internacional y nacional para cambiar estos tres factores, veremos como el fraude seguir proliferando, migrando a otros sectores no explotados an, con menores protecciones, y crecer la organizacin de las bandas de ciber criminales. Se est haciendo un gran esfuerzo por parte de las entidades nancieras, de telecomunicaciones, fabricantes de hw/sw y administraciones pblicas para controlar y prevenir el fraude en la red. Estos esfuerzos van fundamentalmente orientados a aumentar el coste de organizar un ataque para los cibercriminales y reducir al mximo su ventana de oportunidad. En esta lnea, en Telefnica estamos trabajando en crear una gama completa de servicios contra el fraude, que aportan diferentes alternativas para reducir al mximo las ventanas de oportunidad de los atacantes, y que contemplan tanto al usuario nal como a la red y a las propias transacciones. Esta gama se compone de tres servicios principales. Uno, el de Antiphishing, orientado a la prevencin, deteccin temprana de ataques de phishing, y al bloqueo y cierrre de los sitios web falsos. En estos casos, la ventaja de Telefnica es decisiva, ya que en muy breve tiempo podemos impedir que nuestros usuarios accedan a los sitios fraudulentos. Otro, el denominado de Gestin del Riesgo de las Transacciones, orientado al anlisis en tiempo real sobre el riego de las transacciones en la red, de forma que aunque las medidas preventivas y detectivas desplegadas fallen ante amenazas de ltima generacin (caballos de Troya), sean detectadas lo antes posible en el mismo momento en el que se intenta cometer el delito. El tercer servicio es el de Antispyware, destinado a medir el grado de exposicin del eslabn ms dbil de la cadena, es decir, el usuario nal. Con dicho servicio podemos ofrecer a nuestros clientes informacin en tiempo real sobre si un determinado usuario nal que est accediendo a uno de sus servicios online (por ejemplo, un portal de banca electrnica) est infectado o no con malware que le afecte. De esta forma, los clientes pueden tomar las acciones oportunas para minimizar el riesgo, por ejemplo, avisando al usuario y limitando el tipo de operaciones que puede realizar hasta que se subsane la amenaza. Cmo esperan que evolucione tcnicamente el fraude en orden a su tipologa y a la consolidacin de nuevos canales en lnea? Al nal el phishing se fundamenta en tcnicas de ingeniera social, con lo cual los delincuentes aprovecharn y utilizarn cualquier canal tecnolgico o fsico a su disposicin para tratar de engaar a los usuarios, los *shing (Vishing. SMShing, etc.).

D O C U M E N T O S SiC

Pero sin duda, la amenaza emergente son los caballos de Troya, que no requieren tanto de este tipo de tcnicas sociales. Por ejemplo, los caballos de Troya personalizados para un usuario particular. Estos ataques combinan este tipo de creaciones con elementos de captura de claves (keyloggers) y con parmetros nicos dirigidos a cada usuario. Cuando ste pincha (origen en email o malware), se presenta la pgina del ataque. Cuando se identica la URL el proveedor anti-phishing encuentra un documento vaco URL NOT FOUND. El spam, que es portador de malas noticias en todos los rdenes (fraude, cdigo malicioso, consumo de ancho de banda...) crece de un modo alarmante. En la pasada edicin de Securmtica, el Director de Seguridad Informtica de Caja Madrid vaticin que tal vez en 2011 los proveedores de telecomunicaciones y de servicios habran eliminado el correo basura. Coincide en su previsin? No somos tan optimistas. Sin duda se reducir, pero mientras siga habiendo negocio en el spam, habr spam, ya sea como lo conocemos hoy o no. Los spammers y ciberdelincuentes son muy imaginativos. Debemos entender el negocio del spam, tanto en la venta de productos por Internet, como al spam como vector de otro tipo de amenazas, ms serias. Las entidades nancieras tienen inters en que se cierren a la mayor velocidad los sitios emisores de phishing, pero ltimamente maniestan todava ms inters en que a sus clientes no les lleguen mensajes de phishing por correo electrnico. Hay alguna diferencia cualitativa entre un mensaje de spam y un phishing, que pudiera servir para discriminar y realizar un ltrado ptimo? De forma purista ambos son correos no solicitados y por tanto spam; sin embargo, la diferencia fundamental entre un correo de phishing y uno de spam radica en que en el primero hay suplantacin de identidad con intenciones de cometer fraude, mientras que en el segundo, se aprovecha el engao para hacer una oferta comercial. Sera necesario que tanto los usuarios, emisores y receptores de correo, como los prestadores de servicios de correo se pusieran de acuerdo en un estndar que permita diferenciar los correos legtimos del spam, y hay diferentes iniciativas en el mercado en este sentido, como son SPF, Sender ID, DomainKeys o DKIM. Sin embargo, no lo vemos suciente, ya que aunque nalmente se consiguiera, lo que requerira de la colaboracin de los proveedores de servicios de correo electrnico, no resolvera que los usuarios se infectaran con caballos de Troya, que como demuestran las estadsticas, constituyen la amenaza creciente y silenciosa para las entidades nancieras, y en general para las transacciones en lnea y la privacidad. La posibilidad de perfeccionar operaciones en lnea a la que adems nos anima la legislacin espaola, particularmente la Ley de medidas de impulso de la sociedad de la informacin, convierte al medio electrnico en un espacio casi innito para el ensayo de nuevas tipologas de fraude, timo y engao. Han investigado al respecto en Telefnica, siquiera para encauzar la evolucin a medio plazo de sus servicios de prevencin de fraude?

Como comentaba anteriormente, ya contamos con este tipo de herramientas. El servicio Gestin del Riesgo de las Transacciones, que prestamos en colaboracin con RSA, nos permite detectar en tiempo real la suplantacin de usuarios vctimas del phishing, gracias a diferentes parmetros de una transaccin que nos

En este sentido, en Telefnica nos hemos adelantado al nuevo entorno de contratacin online con el lanzamiento del servicio Mediador de Conanza, una plataforma en la red que permite que se puedan completar diferentes tipos de transacciones en lnea (contratos, compra de productos o servicios, etc) con plenas garantas jurdicas, mediante el uso de la rma digital, y con soporte para las mltiples identidades digitales (DNIe, FNMT, CatCert, etc.) El uso de PKI (Certicados Digitales y Criptografa de Clave pblica), garantiza el paradigma de la seguridad en las transacciones, lo que los americanos denominan, no P.A.I.N, no security, es decir, la Condencialidad (Privacy cifrado), Autenticacin (Certicados digitales, rma digital, etc.), Integridad (mediante funciones hash y cifrado) y No repudio (Firma digital, time-stamping, etc.). De este modo se cubren las deciencias de los mecanismos actuales basados en usuario/clave que permiten suplantaciones, repudios e incluso modicaciones de transacciones mediante ataques de hombre interpuesto. Adems, somos tambin pioneros en este campo gracias al servicio Firma Mvil, que nos permite extender las funcionalidades del servicio Mediador a los usuarios mviles de Telefnica, que gracias a l podrn rmar documentos desde sus propios telfonos. Telefnica dispone de datos extraordinariamente precisos y completos sobre fraude en lnea. Han identicado pautas en el comportamiento de los delincuentes, o todava les falta a los malos un punto de organizacin? Hay variedad, no todos son los del grupo Rock Phish; lo que s que es cierto es que al menos comparten informacin, que luego pueden o no utilizar de forma coordinada en los ataques. Es cierto que cada vez hay ms organizacin y coordinacin en estas complejas redes de ciberdelincuentes, que estn alcanzando un grado de madurez o industrializacin importante, y que constituyen verdaderos ecosistemas, sorprendentemente basados en reglas de mercado. Lo que estamos viendo es que cuentan cada vez con ms informacin detallada y completa de los pases donde van a lanzar un ataque. Falta mucho para que Telefnica disponga de herramientas tecnolgicas en su SOC, que operen desde la red para la deteccin en tiempo real de mulas y la emisin del consiguiente aviso a las partes interesadas?

permiten medir su riesgo, ofreciendo a los bancos un portal donde se les muestra los usuarios destino de estas transacciones fraudulentas. El servicio cuenta adems con la informacin de la eFraudNetwork de RSA, una red de bancos y proveedores de telecomunicaciones, que comparten informacin de transacciones, cuentas origen, destino, pases y ordenadores desde donde se hacen las transacciones, y que permite optimizar la informacin sobre dispositivos o IPs fraudulentos. Adicionalmente, muchos de los correos de spam se distribuyen para captar mulas y son parados como spam por motores anti-spam, ya que se envan desde redes de bots conocidas, pero no se centraliza esta informacin. La tipologa de fraude mediante suplantacin de la identidad ligada al engao a las personas seguir creciendo. Piensan seriamente en Telefnica que en un plazo razonable el desarrollo de cdigo malicioso estar tan perfeccionado que se impondr (y no necesariamente asociado al engao a las personas) como fuente casi indetectable de fraude en lnea? Honestamente no, es decir, el fraude por ingeniera social se ha demostrado como una tcnica muy til en todos los tiempos, que no requiere mucha inversin para el atacante, muy limpia, y contra la que slo se puede luchar va concienciacin de la seguridad. Queda mucho camino para alcanzar la eciencia en la prevencin del fraude en lnea. Est Telefnica decidida a poner toda la carne en el asador? Como pioneros de los servicios antifraude no olvidemos que Telefnica fue la primera empresa en Espaa en lanzar un servicio Antiphishing, estamos rmemente comprometidos con este objetivo, y ello tiene reejo en nuestro plan estratgico con nuevos servicios para 2008, inversin en I+D y aumento del nmero de servicios en el SOC y de recursos especializados. En este sentido, nuestro equipo especializado en fraude del SOC est alcanzando un nivel de expertise e informacin, que nos permite detectar y reaccionar ante incidentes de este tipo de manera rpida y eciente. Colaboramos con mltiples proveedores y fabricantes de seguridad, somos miembros del eCRIME y del Antiphishing Working Group, as como en mltiples foros que nos permiten compartir informacin sobre los atacantes y sus mtodos.

N 07 / JUNIO 2008

onsciente de la importancia de participar activamente en foros e iniciativas internacionales contra el fraude en la Red, Telefnica forma parte del AntiPhishing Working Group (APWG), un consorcio independiente que agrupa a 3.100 miembros procedentes de ms de 1.800 instituciones pblicas y privadas en todo el mundo, entre los que guran proveedores de telecomunicaciones, de servicios de Internet (ISPs), fabricantes de la industria de la seguridad TIC, reguladores de banca, agencias gubernamentales, y cuerpos y fuerzas de seguridad, cuya presencia es cada vez ms reclamada por instituciones gubernamentales, entre las que se cuenta el Consejo Europeo. Segn su Secretario General, Peter Cassidy, invitado por Telefnica a participar en el I Encuentro de Seguridad para las Entidades Financieras, Este crisol de miembros permite la interactuacin entre profesionales de sectores muy diversos, lo que facilita la comunicacin y el trabajo conjunto, adems de proporcionar un foro en el que los miembros puedan entender cmo funcionan las empresas, y cmo las organizaciones se convierten en vctimas de abusos de phishing. En este sentido, el APWG, para el que trabajan en tareas de gestin y operativas un total de nueve personas y un cuerpo de cerca de 50 voluntarios (profesionales de todo el mundo veteranos en diferentes tipos de negocio como banca, TI, arquitecturas de seguridad, etc.), adems de investigadores que prestan su asesoramiento, pretende seguir desarrollando su labor como una entidad independiente, en un modelo cada vez ms cercano al de una organizacin diplomtica de tipo tcnico, como un canal que permita que las agencias gubernamentales y la industria puedan interactuar sin fricciones. Segn Cassidy, desde su creacin, hace poco ms de cinco aos, la aproximacin del consorcio al concepto de phishing ha variado notablemente. Actualmente tenemos una visin muchsimo ms amplia sobre cmo se desarrollan este tipo de delitos. A lo largo de estos aos hemos asistido a la aparicin de nueva tecnologa y de las nuevas posibilidades que ofrece Internet como plataforma de servicios a los usuarios, lo que tambin ha alentado nuevas formas de crimeware, arma. En el comienzo de nuestra actividad tenamos un foco mucho ms estrecho, y ahora sabemos que el phishing es slo una parte de un conjunto completo de nuevos y diferentes tipos de scams. Como organizacin no podemos centrarnos ya slo en el anlisis del phishing porque estas amenazas evolucionan impara10

Peter Cassidy, secretario general del AntiPhishing Working Group.

las medidas de seguridad. Igualmente, segn Cassidy, se enfatizan las campaas de phishing en su durabilidad empleando nuevas tcnicas como el fast ux (consistente en cambios rpidos de la direccin IP asociada al dominio con el n de frustrar la posibilidad de cerrar la pgina vctima del ataque), as como la intencin de que el crimeware no sea detectado ni neutralizado por sistemas antivirus o anti-spyware. Los informes que ofrece el Grupo se ofrecern en breve con carcter trimestral, con el n de poder realizar una categorizacin ms en detalle de los objetivos de los ataques, especialmente en lo que al sector bancario, objetivo tradicional de los mismo, se reere. De esta forma, la organizacin espera ser ms til a los reguladores de banca. Asimismo, entre sus planes a medio plazo,

blemente y si no lo hiciramos dejaramos de ser tiles, apunta Cassidy.

La privilegiada visin y acceso a los datos del APWG, que elabora informes mensuales sobre los casos de phishing de que es informada a nivel mundial, as como sobre otros datos estadsticos de inters, permiten trazar un retrato actual y a futuro de las tendencias que acompaan a este tipo de delitos, de los que en 2007 el APWG report un total de 250.000 ataques a nivel mundial. De este modo, como ya dejara patente el Secretario General del consorcio en su presentacin durante el evento de Telefnica, las organizaciones delictivas que se encuentran detrs de estos incidentes, estn tendiendo a diversicar sus objetivos, primero hacia acciones de mayor repercusin econmica, con foco incluso en ejecutivos con acceso a informacin corporativa de valor (nanciera, propiedad intelectual) dentro de las organizaciones (CFO y superior), as como, por otro lado, a objetivos muy pequeos, entre ellos, a entidades nancieras de menor tamao en los que pueda resultar ms sencillo comprometer

el APWG proyecta disponer de una landing page con nes de formacin y orientacin a usuarios, desarrollada en colaboracin con el laboratorio cientco de la Universidad Carnegie Mellon. Actualmente cuando se cierra una pgina de phishing el usuario encuentra un mensaje 404 de pgina no encontrada. Esto no resulta muy til comenta Cassidy, mientras que si encontrara un mensaje que informara: esta pgina ha sido empleada como una web de phishing, podra ensear al usuario que necesita protegerse de delitos como ste. Por ello, estamos preparando dos versiones del prototipo: una versin slo de texto, para telfonos mviles y PDAs, y otra para PCs y porttiles, con contenido ms grco. Segn el Secretario General del consorcio, el objetivo ser proveer de esta herramienta a los ISPs que la demanden y quieran gestionarla localmente, as como a los bancos que quieran personalizarla y alertar a su ISP para que publique esta pgina cuando se produzca un incidente de phishing bajo el nombre de su entidad. Adicionalmente, el APWG proporcionar la opcin de alojarla en sus sistemas, de forma que cuando un ISP cierre una web de este tipo sea, de forma coordinada con el consorcio, el APWG quien la publique.
D O C U M E N T O S SiC

Bankinter y la Unidad de Grandes Empresas de Telefnica han alcanzado un acuerdo por el cual la compaa espaola de telecomunicaciones suministrar el servicio de seguridad para sus transacciones en lnea basado en la tecnologa Panda Security for Internet Transactions, de Panda Security, que Telefnica comercializa bajo el nombre de servicio Antispyware. Se trata de un servicio conjunto entre Telefnica y Panda Security, especialmente orientado a la seguridad de entidades nancieras y plataformas de pago que operan por Internet, que se presta desde el Centro de Operaciones de Seguridad (SOC) de Telefnica, y que complementa la oferta actual deTelefnica en servicios contra el fraude, de los que Bankinter es cliente desde hace unos aos (servicio Antiphishing). Bankinter es toda una referencia dentro de la banca online espaola y, segn sus propias cifras, en la actualidad un 46 por ciento de sus transacciones se realizan a travs de Internet. En virtud del acuerdo, Telefnica y Panda Security garantizan la seguridad de todas estas operaciones, al asegurar que los clientes que accedan a los servicios de banca electrnica de Bankinter estn libres de malware y, en particular, de caballos de Troya bancarios, una de las

principales amenazas para la seguridad de las transacciones electrnicas. Cuando un cliente intenta acceder a los servicios de banca online, este servicio busca malware activo en la memoria del equipo del usuario. En concreto, detecta virus, gusanos, caballos de Troya, procesos ocultos, y otras amenazas como jokes, dialers, hoax, hacking-tools, etc. Esto permite al banco limitar el acceso en tiempo real a ciertas operaciones de su

nancieras y empresas que operan en Internet, como brokers, subastas, plataformas de cobro, etc. se han convertido en una verdadera epidemia silenciosa. El dao directo e indirecto que estos ciberataques generan a clientes y entidades se calcula en miles de millones de euros anuales. Para contrarrestar esta amenaza creciente, el servicio se nutre de las alertas sobre caballos de Troya dirigidos que ofrece el Departamento de Vigilancia

banca en lnea, caso de que el usuario est infectado, limitando as el riesgo. Los nuevos caballos de Troya informticos, diseados como ataques dirigidos con el objetivo de robar las identidades y los fondos a clientes de banca, entidades

Antifraude de PandaLabs, basadas en el anlisis de la informacin que reciben de los millones de usuarios nales que tienen su antivirus, y que actan como sondas del malware en la red.

Banc Sabadell tiene actualmente un acuerdo con la Unidad de Grandes Empresas de Telefnica para la prestacin del servicio de Gestin del Riesgo de las Transacciones, servicio de nueva generacin que permite a la entidad nanciera medir en tiempo real el riesgo de sus transacciones en lnea mediante mecanismos de control del fraude similares a los que las entidades nancieras ya utilizan en otros mbitos: fraude en tarjetas, blanqueo de capitales, control del fraude interno, etc. Telefnica presta este servicio en colaboracin con RSA divisin de Seguridad de EMC, concretamente mediante el uso de la eFraudNetwork de esta compaa, una red de entidades nancieras y compaas de telecomunicaciones para compartir datos de trasacciones, cuentas bancarias, pases y computadores que participan en operaciones, y que hace posible obtener informacin de valor sobre dispositivos o IPs fraudulentos.

El servicio permite a Banc Sabadell un conocimiento en detalle de los patrones de fraude y del comportamiento de los defraudadores, incluso para nuevos patrones de ataque, no detectados por herramientas convencionales.

En virtud de esta informacin, Banc Sabadell puede complementar los mecanismos de autenticacin y servicios reactivos de proteccin con la incorporacin de mecanismos proactivos, de forma que se garantice el servicio a sus clientes en todo momento.

N 07 / JUNIO 2008

11

CONTRAPORTADA PUBLICIDAD TELEFNICA

12

D O C U M E N T O S SiC