Cada vez más, las dependencias federales y estatales han implementado servicios a través de la web para realizar trámites o consultas de información personal en línea, agilizando con ello la atención y ahorrando tiempo y recursos. Actualmente se pueden consultar en línea –desde cualquier dispositivo que esté conectado a internet– datos como CURP, RFC, vigencia del INE, número de seguridad social, pago de impuestos, copia certificada del acta de nacimiento, estado de cuenta de créditos hipotecarios con INFONAVIT y FOVISSSTE, cédula profesional y declaración patrimonial, por mencionar algunos.
Para eso cuentan con toda la infraestructura de TI necesaria para mantener disponibles dichos servicios y garantizar la seguridad de la información que se encuentra bajo su custodia, utilizando las mejores tecnologías del mercado e implementando estrictos procesos de seguridad que están apegados a estándares internacionales, además de aplicar las mejores prácticas administradas por expertos en todas las áreas.
A pesar de ello, en México año con año se han incrementado los delitos de fraude y suplantación de identidad cometidos a través de medios tecnológicos. Según las estadísticas de la CONDUSEF, durante 2011 se atendieron 4 mil quejas por presunto robo de identidad, cifra que se elevó a 10 mil durante 2015, y en todo el sistema bancario se presentaron 59,250 quejas. Por cierto, no existe información oficial sobre el delito de robo de identidad a nivel nacional.
Colaboración para inhibir la suplantación de identidad
En febrero de 2016, cinco dependencias del Gobierno Federal (Comisión Nacional Bancaria y de Valores, Procuraduría General de la República, Sistema de Administración Tributaria, Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros, y Procuraduría de la Defensa del Contribuyente), dos organismos públicos autónomos (Instituto Nacional de Transparencia e Instituto Nacional Electoral) y la Asociación Nacional de Bancos de México (donde siete de los principales bancos de México son miembros) suscribieron las “Bases de Colaboración para Inhibir la Suplantación de Identidad”, las cuales permitirán determinar protocolos de atención y acción inmediata, así como mecanismos de comunicación e intercambio entre autoridades involucradas, a fin de hacer un frente común que proteja a los usuarios a través de:
- Acciones de difusión sobre medidas preventivas
- Orientación acerca de qué hacer en caso de robo de identidad para iniciar procedimientos y denuncias respectivas ante las autoridades competentes
Por lo anterior, todos los que firmaron las bases, incluyendo los bancos miembros de la Asociación de Bancos de México, han implementado en sus sitios web un apartado de seguridad donde, de forma general, emiten recomendaciones para evitar ser víctimas de fraude y de robo de identidad. También describen las principales técnicas de ingeniería social (IS) utilizadas por los ciberdelincuentes (entendidas éstas en su sentido de manipulación psicológica y tecnológica), como:
- Phishing. Para obtener información confidencial en forma fraudulenta (especialmente financiera), el estafador o phisher se hace pasar por alguien de una empresa de confianza en una aparente comunicación oficial, por ejemplo, correo electrónico, redes sociales, llamada telefónica o SMS.
- Vishing. Es el uso del VoIP o voz sobre protocolo de internet (también conocida como telefonía por internet) para obtener información delicada a base de engaños.
- Pharming. Consiste en explotar la vulnerabilidad en el software de los servidores o en los equipos de los usuarios para redirigir un dominio a un sitio web falso, incluso si escriben correctamente la dirección o URL.
Desafortunadamente, esta información no es fácilmente visible a los usuarios, ya que los vínculos para ingresar se encuentran en la parte más recóndita de sus páginas web y sólo aquel que está interesado en protegerse buscará por todo el sitio hasta dar con ella.
Pareciera que únicamente se está buscando cumplir con una legislación o compromiso de facto, cuando es de suma importancia que el delito de robo de identidad disminuya verdaderamente, con el objetivo de proteger los intereses de los usuarios e incluso cuidar la imagen y reputación de las mismas instituciones.
IS en manos de hackers
Todos los datos son útiles para estos expertos informáticos con el propósito de elaborar sus ataques y finalmente obtener beneficios, como cobrar seguros de vida y pensiones, conseguir créditos y acceso a servicios bancarios, evadir impuestos, pagar servicios y mucho más. Para ello, buscan información de todas las fuentes posibles de forma activa o pasiva, es decir, los ataques no necesariamente inician sobre las instituciones financieras.
La primera fase para iniciar un ataque es el reconocimiento o Information Gathering donde los ciberdelincuentes buscan recolectar información del objetivo que sirva de ayuda para perpetrar los delitos. Para ello utilizan técnicas de Ingeniería Social (IS), algunas de ellas ya mencionadas, pero existen otras más como OSINT (Open Source Intelligence) que se basa en la búsqueda de datos en fuentes abiertas y de acceso público, por ejemplo, medios de comunicación, información de fuentes gubernamentales, redes sociales y blogs.
La finalidad de la IS con el enfoque malicioso es manipular a las personas aprovechándose de las debilidades del comportamiento humano como las ganas de ayudar, la dificultad de decir “no”, la compasión, el exceso de confianza e incluso los escasos conocimientos o la indiferencia en torno a los temas de seguridad de la información.
Por ejemplo, si un hacker quisiera suplantar la identidad de una persona, puede iniciar buscando datos a través de su perfil en las redes sociales, como fecha de nacimiento, nombre completo o dónde labora, lo cual ayuda a obtener más datos en portales de gobierno como el CURP o en qué institución de salud está inscrito; de hecho, dentro de la página del CURP es posible que consigan referencias de su documento probatorio como el acta de nacimiento; y así sucesivamente ir navegando entre los sitios web que ofrecen consulta de información de los ciudadanos, reuniendo la mayor cantidad de datos posibles.
Aunado a lo anterior, la ciberdelincuencia se apoya en herramientas como los spyware (programa o software espía que transmite información a otra computadora, como los hábitos de navegación) y keyloggers (herramienta que registra las pulsaciones en el teclado de la computadora, por ejemplo, para obtener contraseñas), aprovechándose de las posibles vulnerabilidades de los sistemas como las configuraciones por defecto de los navegadores web, que permiten almacenar localmente archivos temporales, cookies y certificados digitales, los cuales contienen datos muy importantes sobre las personas: correos electrónicos, logins, passwords, nombres completos, domicilios y teléfonos, así como sus costumbres al navegar, con los que se puede saber a qué portales de bancos entra, dónde realiza sus compras en línea y, con suerte, hasta los datos de la tarjeta de crédito que utiliza. Incluso teniendo datos suficientes de la persona objetivo, se puede suplantar la identidad para obtener información de mayor confidencialidad a través de los servicios de chat que ofrecen algunos sitios de gobierno o vía telefónica.
El eslabón más débil
A pesar de que las instituciones y dependencias gubernamentales invierten en la mejor tecnología (firewalls, IPS, VPN, antivirus y proxies) implementan procesos alineados a normas internacionales y cuentan con recursos humanos especializados en todas las vertientes de la seguridad de la información, es evidente que no se tiene un método infalible para evitar los delitos o los ataques que puedan sufrir, ya que dentro del ciclo de la seguridad informática también existen elementos no técnicos que no pueden monitorearse ni controlarse: las vulnerabilidades inherentes al ser humano. Es ahí donde opera la Ingeniería Social.
Los servicios proporcionados a través de la web irán inevitablemente en aumento, lo que significa que, en el futuro, todas las transacciones comerciales serán digitales, por lo que las personas utilizarán cada vez menos dinero en efectivo, situación que ocasionará que los delitos cambien de robo a transeúnte a delitos cibernéticos como robo de identidad y fraude, entre otros.
El tema es conocido y por eso muchas empresas responsables y reconocidas promueven la cultura de la seguridad de los datos en sus servicios web, pero aún son esfuerzos aislados. El proyecto del gobierno para mitigar los delitos de suplantación de identidad tiene que ser una iniciativa que no solamente considere al sector financiero; por el contrario, debe instaurarse en todos los ámbitos y dependencias gubernamentales de los tres niveles de gobierno y ser incluyente con la iniciativa privada.
En este sentido, la visión de las dependencias debe apuntar a promover –de forma colectiva y continua– una cultura de la seguridad de la información en todos los ciudadanos para:
- Crear conciencia de la importancia de salvaguardar los datos personales y la información de las dependencias donde presten sus servicios.
- Enseñar a conducirse con actitudes responsables al usar las TI.
- Adoptar y respetar las legislaciones en materia de delitos cibernéticos.
- Conocer los mecanismos de defensa para evitar ser víctimas de la Ingeniería Social.