Como se ha esbozado la automatización de los procesos de fraude electrónico va de la mano con la implementación de algoritmos inteligentes. La única manera hasta ahora conocida de contrarrestar los ataques con efectividad es a través de la misma tecnología.
La generación de contenido falso distribuido por medio de correos electrónicos es lo que ordinariamente se denomina Phishing. La estrategia apunta al engaño de incautos para que compartan datos personales, como contraseñas, números de cuentas y tarjetas de crédito. Para ello, los cibercriminales hacen uso de la ingeniería social con el envío masivo de correos que en apariencia son de instituciones financieras o estatales de confianza. Es una suerte de pesca (de allí el término en inglés) de usuarios desprevenidos. En el vasto mundo de Internet muchos caen en el anzuelo.
La circulación de información sobre el fenómeno del Phishing es vital para capacitar y prevenir a los usuarios cada vez más expuestos a los fraudes informáticos. Además, las estrategias de pesca de víctimas, con el pasar del tiempo, se hacen más sofisticadas. El escrutinio que arroja la ingeniería social y la automatización en la generación de correos falsos, que parecen reales, los hace más eficaces.
Sin embargo, la ingeniería social por sí misma siempre fue una estrategia criminal con no pocos obstáculos para hallar las víctimas más apropiadas, tomando en cuenta su alcance internacional. Por ello, la tendencia hacia el perfeccionamiento de los ataques encuentra en los algoritmos inteligentes (Machine Learning) un método ideal para ampliar la efectividad de la pesca de víctimas.
Un ejemplo de este fenómeno se encuentra en la publicidad dirigida a usuarios. Partiendo de aquí los cibercriminales pueden optimizar la pesca de potenciales víctimas. Como se sabe, las empresas de comercio en línea rastrean y guardan el movimiento de compras de las personas; de forma similar los delincuentes pueden realizar un seguimiento de los sitios que visitan los usuarios u obtener esos datos de empresas que se dedican a guardarlos y clasificarlos (en inglés se llaman los Data Brokers).
Así, los correos falsos tienden a ser más persuasivos con los perfiles de usuarios más precisos, por su consistencia en logos, nombres propios, más solicitudes razonables.
En 2020 se han ampliado las habilidades de la criminalidad en línea operando no solo mediante los correos electrónicos sino también por teléfonos móviles y la mensajería de textos, redes sociales y plataformas de gaming streaming, donde los jugadores discuten en tiempo real las experiencias con los juegos.
Las campañas de correos falsos usando la identidad de importantes instituciones (empresas tecnológicas, financieras y de telecomunicaciones, entre otras), se ha extendido por todo el mundo. Los spear phishinds van dirigidos a compañías determinadas y a personas dentro de las mismas que tienen el poder para transferir grandes sumas de dinero.
En el reconocido “fraude al CEO” el agente recibe un correo de su superior, manifestándole que debe realizar una transferencia urgente por un motivo equis. A la sazón, el dinero es transferido realmente a la cuenta del cibercriminal. Es obvio que para tal operación los delincuentes buscan los nombres de los ejecutivos en la página web de la misma empresa.
La práctica delictiva llega al punto de imitar la dirección de correo electrónico. Por un lado, con solo cambiar una letra es más que suficiente para engañar a cualquier ejecutivo agotado, con varias horas de trabajo encima. Por otro lado, usan la técnica mail spooting o la adulteración de cuentas de correo electrónico de personas e instituciones, con la cual los cibercriminales envían cadenas de correos (más conocidos por hoax). Con este sistema la dirección del remitente aparece dentro del mensaje.
Debe indicarse que en las dos estrategias descritas las respuestas al correo que se cree verídico son enviadas en realidad a los cibercriminales. El escrutinio de la IP del remitente debería arrojar, en caso de fraude, que no pertenece a la institución que se indica en el correo.
Hoy día existen soluciones tecnológicas que han dado buenos resultados. Por ejemplo, las estrategias de seguridad de red son capaces de ejecutar análisis más completos (se anticipan a los ataques) que los que hacen las aplicaciones anti-phishing integradas.
Con la finalidad de obtener una seguridad doblemente robusta se tiende a proteger también las estaciones de trabajo (workstations) con programas antispam, que detectan las anomalías en cuanto a dirección IP y geolocalización.
En materia de control del uso de datos, las compañías más representativas del sector navegación/Internet están haciendo mejoras de privacidad. Corresponde a los ingenieros y especialistas en software del bando anti-fraude crear herramientas anti-phishing que sean capaces de descubrir y neutralizar, en tiempo real, este tipo de intrusión, mediante motores de análisis de comportamiento.
En cualquier caso, las organizaciones deberán contar con protocolos para cualquier clase de operación monetaria. Es decir, elevar los niveles de seguridad para los tipos de transferencias y delegar en más de una persona la autorización de desembolsos por cada solicitud.
