Buenas,
Allá por noviembre de 2006, escribí un texto sobre ataques pump-and-dump, o lo que es lo mismo, el empleo de spam financiero para adulterar los mercados financieros de alta volatilidad.
Los que lean este blog con regularidad sabrán que una de las críticas que suelo hacer habitualmente es que en el mundo del fraude y los delitos tecnológicos se hace mención, casi en exclusiva, a los ataques de robo de identidad, y más concretamente, al robo de credenciales. En su día fue el phishing, en vías de extinción en muchos países (España entre ellos), y hoy en día es el robo de credenciales empleando troyanos. Son los temas de moda, y aunque el efecto mediático es cada vez menor, ya que la gente se ha terminado por acostumbrar a su presencia, siguen dando que hablar.
Así pues, cuando leo a gente con rigor y con independecia que no todo en esta vida es el robo de identidad, y más concretamente, robo de credenciales (en mi opinión no es ni de lejos el principal problema de fraude de una entidad financiera), pues me alegro bastante, porque estoy algo cansado de las borriqueras que se han puesto los medios con los troyanos y el phishing. Estas borriqueras sólo dejan ver hacia delante y no permiten abrir la visión a los muchísimos «laterales» a los que se enfrentan los usuarios en su día a día en la red: existen otros problemas, y cito sólo algunos ejemplos: la venta ilegal, el juego online, la extorsión criptoviral, el spam, las cartas nigerianas, las farmacias online, las estafas segmentadas, el empleo ilegal, el crimen organizado en general y cómo no, la adulteración de mercados volátiles mediante spam. Todavía más irritante es comprobar que muchas veces se limita el concepto de robo de identidad al robo de credenciales, cuando lógicamente, el robo de credenciales es sólo un subconjunto del primero.
La semana pasada Ameritrade sufrió un robo de datos bastante relevante. Según ha declarado la organización, y median en ello juzgados y autoridades policiales, el robo de datos sólo se extendió a nombres, teléfonos y direcciones de correo electrónico. Aún teniendo a su disposición los autores del robo los números de seguridad social y números de cuenta en la misma base de datos, aparentemente, estos datos no fueron capturados. Esto hace pensar que el ataque, aparentemente, no iba enfocado al robo de identididad.
Este caso nos hace pensar que el atacante o atacantes se han movido por intereses ajenos al robo de identidad. Recientemente, el Gobierno de EEUU liberó una nota de prensa en la que se detalla cómo un atacante, empleando pump-and-dump, se embolsó más de 3 millones dólares. Esta cifra está muy alejada de cualquier robo de credenciales, salvo negligencia e inoperancia de la entidad afectada, lógicamente. Cualquier entidad mínimamente preparada, y me consta que la inmensa mayoría lo están, puede afrontar un robo de credenciales de una manera ágil y limitar los montos sustraídos, bien sea por los límites que el usuario tenga en su operativa, bien sea por la rapidez en cortar el acceso a unas credenciales comprometidas. Hay que explotar con éxito MUCHAS credenciales para embolsarse 3 millones de dólares.
No menos cierto es que el robo de emails cualificados puede ser una excelente vía de segmentar phishing, sobre todo en EEUU, donde el phishing convencional tiene una actividad bastante elevada. De todas maneras, coincido con John Bambenek: este caso tiene toda la pinta de ser una maniobra orquestada para atacar mediante spam financiero a receptores cualificados.
¿Realmente tenemos tan claro que el robo de identidad en cualquiera de sus formas es más rentable que otros delitos tecnológicos, como la adulteración de mercados? Yo no lo tengo tan claro. Y lo que más me asusta es que mediáticamente, la atención se está desviando a un único punto, con lo que el resto de frentes está total y absolutamente fuera del punto de mira, con lo que los esfuerzos por educar al usuario final son prácticamente nulos.
Esperemos que el panorama mejore.
Muy buen enfoque el que has dado. Aunque no es evidente para muchos, lo fundamental son los números y los hechos contrastables; la estadística.
Pero esto depende de «quién es cada uno» (o cada empresa), de la información que tiene disponible (ej: periódicamente) y de la fiabilidad / actualidad de esa informacíón. Espero que no suene rimbonbante (:-)
Siendo consciente de esa limitación y de que por tanto me puedo equivocar, percibo lo siguiente:
(a) El impacto mediático de un tipo de ataque puede no ser proporcional a la efectividad de dicho ataque o al impacto real en la entidad víctima, personas afectadas o la sociedad en general.
Ej: que se hayan cuadruplicado los ataques de phishing, no significa que se hayan multiplicado por cuatro las pérdidas. ¡ Esos son números distintos y de disponibilidad pública muy distinta ! En este sentido, soy de la creencia que bancos importantes españoles están mitigando efectivamente estos ataques; pierden menos dinero ( that’s good :-) Pero objetivamente, no tengo datos. Los atacantes cuadruplican para intentar mantener «su margen de negocio» (…) entiéndase: envían emails a 400.000 destinatarios para tener la efectividad que hace años lograban enviando sólo 100.000 emails. Y como no lo logran, evolucionan; ya sabéis, al malware, etc.
(b) Como la lista de ejemplo que has citado en el 3er. párrafo está bastante bien, añadiría explícitamente la siguiente: «lavado de dinero», porque además vale para los razonamientos siguientes.
Nota: Lavado de dinero a través de cuentas de usuarios que «no tienen dinero»; ej: aquellas cuyos datos han sustraido por malware o phishing o las que han abierto los delincuentes a tu nombre… y tú no lo sabes.
(c) La importancia real de un tipo de ataque u otro depende mucho del punto de vista.
Ej1: Desde el punto de vista del atacante, cuál es la efectividad de cada ataque y cada cuánto tiempo puede montarlo.
Ej2: Desde el punto de vista de las entidades financieras, cuál es el impacto real de esos ataques (en pérdidas económicas directas o indirectas como imagen, etc) versus los costes de medidas preventivas, seguros, etc.
Ej3: Desde el punto de vista de los individuos
Ej4: Desde el punto de la sociedad en general. En este punto… El lavado de dinero afecta, pero no directamente a ninguna de las entidades anteriores.
(d) Así que, ¿cuál de tantos ataques tiene más importancia? Respuesta difícil, depende del punto de vista. Con el spam financiero ¿cómo se podrían medir las pérdidas (de quién) o de la sociedad? ¿Cuántos ataques hay al año y de qué monto de «embolso» tiene c/u ?
En fin, ojalá tuviésemos métricas más o menos públicas (…) de lo que sucede en el mundo.
Bueno, corto el rollo. Saludos!
Botnets = Armas de Manipulación Masiva = Serious Growing Threat
¿Es tu PC… un zombie? (ideas para artículos) ;-)
Bueno, por si fuera poco, un nuevo tipo de ataque se hace público:
CastleCops.com Hit With Reputation-Based Attacks
( http://it.slashdot.org/article.pl?sid=07/09/18/1658212 )
Hispasec lo tiene comentado tambien
El que ataquen con DDoS a compañias o grupos organizados que «defienden el lado del bien» no sorprende a algunos (ej: estaba en las previsiones 2007 de algunas revistas web, como ZDNet y algunos comentarios en este blog). Lo interesante es la variente de reputación, haciendo pagos desde otras víctimas (ej: con PayPal como en este caso)
Lo interesante de este asunto, desde mi punto de vista, es que, lamentablemente, la IDEA se puede extrapolar para chantajear o hundir a otro tipo de compañías.
Insisto: Botnets y complementos = Armas de Manipulación Masiva; hablamos dentro de un par de años, +/-