Según lo que he visto en CSO, al parecer hay en el mercado una herramienta automatizada que es capaz de generar sitios fraudulentos en apenas un par de segundos.
Este artículo me ha hecho reflexionar sobre el phishing convencional. Mi impresión es que está de capa caída en Europa, y especialmente en España, donde los esfuerzos de las Entidades han dado sus lógicos frutos en este campo. El phishing convencional sigue teniendo su impacto en países donde abundan las bancas online de microentidades que no tienen desplegados sistemas de autenticación de doble factor, como sucede por ejemplo en Estados Unidos, aunque no menos cierto es que hay ataques dirigidos a grandes entidades donde por las razones que sean, no existe autenticación fuerte.
Al hilo de Estados Unidos, comentar que Gartner se mojó recientemente y empezó a dar cifras (aparecen en el artículo que enlazo), las cuales son bastante inferiores a las magnitudes catastróficas que se barajan por ahí. En Estados Unidos el número de víctimas es, en opinión de la conocida consultora, de 2.3 millones, siendo la pérdida promedio de 1250 dólares americanos.
Sabiendo que la población es del orden de 300 millones, estas cifras harían pensar que menos del 1% de la población ha sufrido robo de credenciales y que el importe medio no sería superior a 950 euros por cliente estafado. Lo único que no queda claro es el espacio de tiempo en el que se han producido esos 2,3 millones de robos de identidad, pero desde luego son cifras muy alejadas de las que se pueden escuchar en cualquier corrillo donde se hable de phishing, especialmente en lo referente a las cantidades, donde es frecuente que la gente hable por hablar y desde el más profundo desconocimiento, con lo que oír disparates es de lo más común.
Se me presentan serias dudas a la hora de evaluar el impacto real de este tipo de amenazas. Por eso me pregunto cómo de elevadas son las cantidades sustraídas. Artículos como este me hacen barajar seriamente que todo este asunto se haya podido magnificar más de la cuenta, a consecuencia de la peligrosa mezcla que supone la inexistencia de datos oficiales de las entidades y el nivel de imaginación que le ponen algunos, que probablemente no hayan pisado una entidad más allá que para domiciliar la nómina.
No obstante, insisto en que seguiría pensando que estas lacras son una desgracia, aunque sólo existiera un caso de robo a un cliente bancario, al que hubieran sustraído un sólo euro. Los delitos tecnológicos no tendrían por qué producirse, y cualquier actividad delictiva debe ser duramente perseguida y sancionada.
Entre tanto, lo que podemos hacer todos es esforzarnos en provocar que las cifras que deriven de los delitos tecnológicos sean aún menores. Para ello, hagamos caso a las recomendaciones de seguridad que nos transmita nuestra entidad bancaria y sigamos poniendo 4 ojos en cualquier actividad financiera que hagamos por la Red. Ante la duda, siempre es prudente pensar que algo puede ir mal, y una llamada al centro de soporte de nuestro servicio financiero puede resolvernos muchos quebraderos de cabeza.
Sobre la herramienta que he hablado al principio, para todos aquellos que tengan curiosidad, comentar que se trata de código PHP capaz de instalar un sitio phishing en un servidor comprometido en apenas dos segundos. Al parfecer, los créditos del descubrimiento son de la RSA, y la fecha estimada, hace aproximadamente un mes. La información completa está en CSO Online.
Un saludo y buen fin de semana a todos.