Mercado Negro de Datos: 380 MB por 60 EUR

El robo de datos ya no está relegado al dominio de los espías económicos, servicios secretos o terroristas. Las bandas de cibercriminales han descubierto el valor de los datos. En octubre de 2005 se ofrecía a los clientes del banco sueco Nordea un producto antispam de descarga gratuita.

Este producto instalaba una versión del registrador de órdenes de teclado Haxdoor que generaba un mensaje de error y requería una nueva introducción de los datos de acceso. Cuando se detectó el saqueo de numerosas cuentas de clientes de Nordea, el banco cerró el portal de banca en Internet. En total se produjo un daño de aprox. 900.000 EUR.

La cuantía de los daños a través de la estafa online sólo puede ser objeto de estimaciones. Los bancos alemanes no revelan la suma total de los daños. BITKOM calcula para 2006, 3250 ataques phishing con unos daños de 4000 EUR por término medio, en total 13 millones de euros. La tendencia va en aumento.

En el Reino Unido la cantidad de información disponible es algo más alentadora. La organización APACS calcula para 2006 unos daños en la banca online de Gran Bretaña por un importe total de 46,5 millones de EUR.

Los daños vía Internet causados por el robo de los datos de tarjetas de crédito se estiman en unos 214,6 millones de EUR. Los daños causados a escala mundial resultantes del robo de datos se sitúan dentro de un margen de varios miles de millones de euros.

Sin embargo, estas actividades, desde hace mucho, ya no están limitadas al sector de los datos de la banca en Internet. Algunos espías de datos roban todos los datos introducidos en formulariosen los ordenadores infectados. A partir de estos datos es posible obtener datos de acceso a foros de redes sociales, buzones de correo electrónico, tiendas de Internet, bolsas de trabajo, foros de chat, etc., etc. Los datos obtenidos de este modo se encuentran claramente en el área de los terabytes y sólo pueden procesarse con potentes arquitecturas de ordenadores y bases de datos.

En el caso más sencillo, se venden en el mercado negro los datos sin clasificar: 380 MB por 60 EUR. Pero los datos de acceso también se pueden utilizar para el lavado de dinero y el envío de spam a foros.

Crime-Ware o herramientas de delito

Caballos troyanos, vulnerabilidades y programas malignos Otro fenómeno de robo de identidades: Los troyanos se han convertido en los protagonistas de la mayoría de los ataques de phishing.

Los numerosos mecanismos de protección frente al phishing junto a la mejor información de los usuarios demuestran su eficacia. También las medidas de respuesta de los bancos, como es el uso del iTAN, mTAN, testigo de seguridad para contraseñas TAN y HBCI con límite temporal,contribuyen a que la información captada ilegalmente no pueda ser utilizada.Los ciber-delincuentes necesitan, al menos en la mayoría de los países, nuevos medios para captar datos y convertirlos con la mayor rapidez en moneda contante y sonante.

Una clasificación rápida del Crime-ware:

• El registrador de teclas graba acciones del teclado. Puede aparecer en forma de controlador u obtener datos desde las interfaces previstas en el sistema operativo (WinAPI Set-WindowsHook o WinAPI GetKeyboardState). Para pasar desapercibidos se integran en los procesos del sistema corriente(p. ej. inlogon.exe,services.exe) o utilizan rootkits. En la mayoría de los casos no se activan hasta que no se cumplen ciertos requisitos. Por ejemplo, cuando la página web abierta se encuentra en una lista, con frecuencia muy larga, de nombres de dominio o cuando se abren ventanas con determinados títulos.
• Registrador de pantalla: Como medida para combatir el registrador de órdenes de teclado aparecieron los teclados de pantalla. La reacción de los autores de software malicioso ha sido el registrador de pantalla. Estos graban en intervalos periódicos imágenes de todo el contenido de la pantalla (p. ej. Rbot) o eneran a cada clic de ratón un gráfico del entorno del ratón. A veces, las secuencias de imágenes se transforman de inmediato en una película AVI.
• Manipulación del navegador: Algunos virus o programas maliciosos (p. ej. Torpig) cambian la apariencia del navegador. Son capaces de mostrar la línea de dirección con la dirección correcta, aunque el contenido proceda de otro dominio falso. También el candado que simboliza una conexión cifrada puede mostrarse de forma fraudulenta.
• Falsificación de contenidos: Algunos programas maliciosos (p. ej. variantes de Bancos o Nurech) manipulan los contenidos de determinadas páginas web e insertan otros campos de formularios o páginas web completas. Los certificados SSL siguen permaneciendo activados. Sin herramientas especiales es imposible detectar si estos datos son falsos o no. Los datos obtenidos de este modo son enviados tanto a los criminales como al servidor web auténtico. Después del robo de datos prosigue la sesión de forma normal, de forma que la víctima no tenga ninguna sospecha al respecto. Sólo la consulta a los movimientos de cuenta será la prueba que dará la alarma del delito.
• Los antiguos Session Hijackers interrumpían la conexión de la víctima después de haber proporcionado sus datos. Así la víctima notaba de inmediato que había sido atacada. Desde hace algún tiempo, este tipo de delitos de robo de datos durante la sesión se realiza de forma que el atacante modifica las cantidades y datos de cuenta a su favor (p. ej. Bancos). La víctima sólo ve los datos que ha introducido. Además, el estado de la cuenta también se falsea. También aquí sólo es visible el fraude al mirar los extractos de la cuenta.
• DNS Spoofing o falsificación de DNS: Como ya se menciona arriba, las posibilidades locales de asignar un nombre de dominio a una dirección de IP falsa se utilizan cada vez con mayor frecuencia. Un punto de ataque que se utiliza a menudo por la familia de programas maliciosos QHosts es el archivo Hosts del directorio C:\windows\system32\drivers\etc. En este archivo, es posible asignar una dirección IP a un nombre de dominio. Una vez realizada esta operación con éxito ya no se realizará ningún intento más de verificar la dirección IP encontrada. Otra posibilidad la ofrecen las entradas del servidor de DNS. Son manipuladas de forma que se re-direccionan las solicitudes de DNS a un servidor controlado por el atacante.En la mayoría de las páginas se obtienen entonces resultados correctos, pero en otras, no.
• Redirector: Redirigen el flujo de datos de modo que es posible el ataque tipo Man-in-themiddle. Puede ser un proxy local o un servidor proxy que controla el agresor. A través de ellos, la comunicación de red de la víctima puede ser espiada de principio a fin. Los e-mails, chats, páginas visitadas, datos introducidos en formularios y descargas de archivos pueden ser vigilados.
• Sniffer o programas rastreadores: Para captar el flujo de datos en una red se instalan los sniffers o programas rastreadores. Mediante la falsificación de ARP, esto funciona también en redes no conmutadas.
• Los troyanos espías examinan todo el PC en busca de información valiosa. Esta información puede ser direcciones de e-mail o archivos con determinado contenido o determinado tipo de datos. Estos datos son empaquetados y enviados al agresor. La información de login, códigos de registro y contraseñas (o sus algoritmos) son también datos codiciados. En la zona de almacenamiento protegida se guardan las contraseñas de páginas web y cuentas de correo electrónico, siempre que un usuario acepte la tentadora oferta del navegador o del cliente de correo electrónico de guardar las contraseñas. Es una buena idea prescindir de guardar automáticamente las contraseñas e información de registro. También las contraseñas introducidas en juegos, las claves de registro del sistema operativo y en otros programas populares se guardan en lugares conocidos (registro o archivos) del sistema y son robados de allí.
• También el clic inocente sobre un enlace puede llevar a la pérdida de datos. A través del Cross Site Scripting es posible que otra persona lea sus datos. Así, por ejemplo, el botón “Oferta” de las subastas en eBay fue manipulado de forma que el usuario accedía a una página de registro falsa.
• Realmente, las cookies son inofensivas e imprescindibles en muchas páginas de compras en Internet. No obstante, ofrecen también valiosa información sobre las páginas preferidas del usuario. Este tipo de información es sumamente valiosa para el publicista. Sin embargo, el robo de las cookies también puede valer la pena. Si alguien ha olvidado cerrar la sesión en su tienda de Internet o de su bolsa de contactos, mediante la cookie se puede tener acceso a esta página web con la configuración de la víctima.

Phishing o fraude electrónico

El phishing es el intento de robar datos confidenciales del usuario mediante maniobras de engaño con un objetivo determinado. Desde los primeros intentos de este tipo de fraude a mediados de la década de los 90, ha aumentado considerablemente el número de ataques de fraude electrónico. Según estimación de G DATA Security Labs parece haber concluido la fase de crecimiento.


Desde hace aproximadamente un año, permanece estancado el número de nuevos correos electrónicos fraudulentos con sus correspondientes páginas web. Se han superado los problemas iniciales con codificaciones de caracteres e idioma. Con herramientas flexibles y de fácil manejo, como RockPhish, los delincuentes pueden albergar diferentes páginas de phishing en una página de web.

El grupo de destinatarios preferido siguen siendo los clientes de bancos en Internet, en particular en países en los que un PIN y un simple TAN son las únicas barreras que separan al ladrón de la cuenta como, por ejemplo, en el Reino Unido y EE.UU.

Nuevos “mercados”

Las páginas web eBay y su servicio de pago Paypal se encuentran entre las dianas preferidas. La búsqueda de nuevas víctimas se encuentra en pleno apogeo, cada vez van cobrando más importancia entre las páginas de estafa las páginas web de las tiendas en línea. También en las páginas de registro de las plataformas de redes sociales, bolsas de empleo y juegos online se ha hecho pública la existencia de comportamientos fraudulentos. Las cuentas de usuario tienen cada vez más valor para los delincuentes. Una cuenta de eBay robada puede servir para lavar el dinero ganado a través del phishing. En las plataformas de redes sociales los ladrones de datos encuentran información que pueden acumular y vender posteriormente. Las cuentas secuestradas también se utilizan para propagar spam a través de foros.

Una protección frente al phishing es el filtro antispam. Este filtro detecta los correos electrónicos de phishing y, en mejor de los casos, no los admite. Un mecanismo de protección eficaz debe poder reconocer y bloquear todas las formas de spam independientemente del contenido.

Con la técnica de OutbreakShield, G DATA aplica el filtro de spam más eficaz protegiéndole en tiempo real de todo tipo de correos spam y phishing independientemente de su contenido.

Táctica modificada. Los mecanismos de protección cada vez más eficaces obligaron a los delincuentes online a cambiar de táctica. El acceso a las páginas de phishing hace tiempo que ya no se produce sólo a través del spam, sino que el peligro también acecha en los chat, juegos o foros.

Defensa. Las barras de herramientas anti-phishing instaladas en los navegadores advierten al usuario frente a páginas de phishing o prohíben el acceso a ellas completamente. IE7, FF2 y muchos Productos de Seguridad en Internet llevan esta función integrada en el programa. El resto pueden descargarse e instalarse, como es el caso de Phishtank, Google, Netcraft & Co. Estas barras de herramientas apuestan por el uso de un procedimiento heurístico para la detección de URL fraudulentos. Siempre existe el peligro de un falso positivo, por ello las reglas son más bien conservadoras.

Muchos proveedores apuestan también por la “fuerza de la comunidad”. El usuario que detecta una página web fraudulenta la envía al Response Team, quien la verifica y la registra en una lista de bloqueo si lo considera oportuno.

Estas listas poseen una desventaja considerable: Hasta la verificación de la página transcurre siempre mucho tiempo. En el caso de Phishtank tarda casi 2 días como promedio anual y en el caso de proveedores comerciales, este plazo es de unas horas. En este margen de tiempo los ladrones de datos pueden actuar sin restricciones.

El deber del usuario Los productos o soluciones técnicas contra el phishing no son, pues, infalibles. La sensibilización del usuario es, al igual que se aplica en otros muchos fraudes, el medio más importante en la lucha contra la pérdida de datos. En el tratamiento de datos personales a través de Internet los usuarios deben extremar siempre las precauciones. Por ejemplo, la comprobación visual de las URL (https:// y leer el nombre de dominio, empezando por la derecha) debería encontrarse entre las medidas básicas obligadas.

Informe Cibercrimen:La mitad de los internautas navegan sin protección alguna, arriesgándose a perder su identidad online

• El phising se encuentra estancado, el pharming y el crimeware son los caminos de mayor éxito utilizados para delinquir.
• Lotes de varios cientos de megabytes con datos personales están disponibles en el mercado negro por apenas 60 euros.



Los clásicos correos electrónicos de phishing, dinosaurios en el emporio del e-crimen, son parte del repertorio estándar de estos criminales. Según Ralf Benzmüller, responsable de los laboratorios de seguridad de G DATA, el pharming y el crimeware son los caminos alternativos de mayor éxito utilizados para delinquir. En el último informe de seguridad de G DATA, “Los nuevos métodos para el robo de datos”, el experto en seguridad ofrece una visión detallada sobre los trucos y tácticas que utilizan actualmente los cibercriminales.

Para este tipo de delincuentes, el robo y la posterior venta de información supone uno de los modelos de negocio más rentables que existen. Estos extorsionadores han estado activos desde hace años, y los miembros de la nueva generación del cibercrimen hace tiempo que dejaron de centrar sus actividades tan solo en la banca online.

"Muchos usuarios siguen infravalorando enormemente el valor de sus datos personales. En general, no existe prácticamente aplicación alguna a la que no se le pueda dar un uso inadecuado o de la que no beneficiarse económicamente. Los precios varían notablemente dependiendo de la calidad de los datos, con algunos lotes de varios cientos de megabytes de detalles personales disponibles en el mercado negro por apenas 60 euros. Entre ellos, se encuentran datos de acceso a cuentas de correo electrónico, detalles de pago para la plataforma PayPal o información de banca online”.

Hace tiempo que se han producido grandes cambios en los trucos utilizados por los ladrones de datos. Los tradicionales mails con phising son solo una de las tácticas utilizadas por los criminales para atraer a sus víctimas a páginas web falsas. “Entrar correctamente en el dominio no es garantía de que uno acabará en la página web a la que pretende acceder. Los ladrones desvían a sus víctimas a páginas falsas al forzar los servidores DNS, o mediante la utilización de malware especial en ordenadores infectados. Incluso a los expertos les cuesta distinguir con claridad la auténtica web frente a su falsificación. Además, la información que introducimos en dichos sitios se reenvía automáticamente a los criminales”, añade Benzmüller.

Crimeware, el arma más eficaz de los criminales.
No obstante, la amplia variedad de mecanismos de protección y la concienciación progresiva sobre el phising al fin están comenzando a hacer efecto, forzando a los criminales online a adoptar nuevas tácticas. Los ataques actuales de phising se basan en troyanos, siendo a menudo estos programas especiales “desechables”, es decir, que han sido diseñados para utilizarse solo una vez y autodestruirse a continuación, tras haber transmitido los datos con éxito.

El malware inteligente, como las variantes de Bancos o Nurech, manipula el contenido de los sitios web a los que se dirige e inserta sus propios formularios e incluso páginas web enteras. Los datos seleccionados se envían tanto a los atacantes como a los servidores web auténticos. Esta estafa se produce sin que se den cuenta las víctimas en absoluto, que tan sólo descubren lo que ha sucedido cuando el dinero desaparece de sus cuentas.

Educación y protección
La adopción de soluciones de seguridad eficientes que combinen antivirus, antiphising, firewall y protección frente al spam es ya una obligación para los usuarios, más que una simple recomendación. Los resultados de la macroencuesta de seguridad de febrero de este año elaborada por G DATA arrojaron resultados insatisfactorios, como el que la mitad de los usuarios de PC navegan en la Red sin protección, exponiéndose como presa fácil para los ladrones de datos.

El no tomarse en serio la seguridad de los datos, unido al desconocimiento sobre las tácticas adoptadas por los criminales online, permite a los miembros de la sociedad del e-crimen llevar a cabo sus oscuros planes sin apenas esfuerzo.

El Top 5 del Crimeware:

Cada día aparecen nuevas variantes de spyware de datos. Esta es una lista de las más comunes. Para consultar la macroencuesta de febrero de 2008 elaborada por G DATA, visite el siguiente enlace:

http://www.gdata.de/unternehmen/DE/articleview/4063/1/160/.
(idioma alemán)

• OnLineGames. Cuota: 31.2 %. Busca contraseñas para juegos online y se las proporciona a los estafadores.
• Magania. 19.1% . Roba los datos de registro para juegos online del fabricante taiwanés Gamania.
• Banker. 9.9% . Intercepta todos los datos introducidos en formularios de páginas de bancos
• Ldpinch. 7.4% . Busca y roba contraseñas presentes en la configuración de los navegadores, clientes de correo electrónico, sistemas de mensajería instantánea, programas FTP y dialers más habituales. También instala una puerta trasera (backdoor) y otro tipo de malware.
• Zbot. 2.6% . Roba datos de formularios web utilizados por la banca online y del área de Almacenamiento Protegido (en donde se almacenan las contraseñas del navegador)

Pharming o redireccionamiento de tráfico de sitios web

Pharming es una alternativa al ataque phishing clásico. Se redirigen a los usuarios sin que se den cuentan a páginas web falsas a pesar de haber introducido nombre de dominio correcto. Técnica del pharming La base de este tipo de estafa es averiguar la dirección de IP del nombre de dominio. Además, el sistema DNS puede ser también objeto del ataque. En el caso de los dominios de broadcast, como las WLAN, es muy fácil falsificar las peticiones de DNS. Aunque también los servidores DNS con un mal mantenimiento o una mala configuración permiten llenar el caché del servidor DNS de datos falsos (DNS Cache Poisoning) hasta penetrar en el servidor DNS.
Puntos susceptibles de desmantelamiento de los sistemas DNS se encuentran también a nivel del cliente y los aprovechan sobre todo los caballos troyanos. ¿Cómo se puede proteger de un modo sencillo? Con métodos sencillos nos podemos proteger de ataques DNS locales. Por ejemplo, cuando el usuario guarda el nlace a su banco online como dirección de IP en Favoritos. Pero el panorama es muy distinto en el caso de ataques a la infraestructura DNS. En este caso, el usuario de Internet debe confiar en el operador del servidor DNS.

Informe de ataques contra los jugadores online

7 de cada 10 archivos relacionados con videojuegos de las redes P2P contienen algún código malicioso. Las cuentas de juego online poseen más valor en el mercado negro que los números de las tarjetas de crédito.

Madrid, 8 de abril de 2008 – Según el último estudio de G DATA, compañía alemana líder en seguridad informática y pionera en la protección antivirus, sobre los riesgos que conllevan las redes de compartición de archivos (P2P), el porcentaje de archivos potencialmente maliciosos que se camuflan bajo software relacionado con los videojuegos se ha incrementado durante el primer trimestre de 2008.

Para los jugadores, redes P2P como eMule constituyen una herramienta popular para encontrar trucos, parches y otro tipo de software relacionado con los videojuegos. Lo que muchos de ellos desconocen es que una gran parte de estos archivos, en apariencia relacionados con los videojuegos, contienen peligrosas amenazas para sus equipos.

Las redes de intercambio de archivos entre usuarios están infectadas. Ya en enero de 2008 se deterctó un elevado nivel de amenazas camufladas en archivos de videojuegos, un 58%, porcentaje que llegó a situarse en un 62% en el més de febrero, y que ahora, en el pasado marzo, a alcanzado su pico más alto, un 67%.

De dichos datos se desprende que los jugadores se están convirtiendo en un objetivo cada vez más atractivo para los ciberataques. Por ello, no debe sorprendernos que las cuentas de juego online robadas posean ya en el mercado negro de Internet un valor incluso más elevado que el de los números de las tarjetas de crédito.

Spots GData. (alemán subs. en español)