El 23 de marzo, fueron arrestados por la policía británica dos personas, (la prensa británica los califica como «hackers», ambos de 18 años de edad, y ambos galeses) por la entrada ilegal en 9 webs de e-commerce, de cinco países diferentes, (Inglaterra,USA, Canadá, Tailandia, y Japón) apropiándose de la información de 26.000 tarjetas de crédito.
Se les acusa de violar la «Computer Misuse Act» de Reino Unido de 1990. Las webs afectadas han comunicado que los adolescentes habían usado un agujero en la seguridad de SQL Server de Microsoft, aunque en la web de feelgoodfalls.com, se entró a través del agujero del programa Microsoft Storefront. Según algunos de los afectados, también habría que achacar el resultado final a la mala organización de las propias empresas, la mayoría de ellas pequeñas empresas.
Según el FBI comenzaron a actuar en Enero, y usaban el nombre de «curador» en sus ataques, que no sólo quedaban en eso, sino que después publicaban los números de las tarjetas en las webs: e-crackerce.com y free-creditcard.com, as¡ como en la p gina personal de xoom.com. Esta oltima fue cerrada en febrero, y actualmente lo est n tambi’n las otras dos. En ellas hab¡a mensajes como «Gracias a mi amigo Bill Gates, alguien que vende productos como SQL Server, no puede ser tan malo».
Segon el FBI el incremento de este tipo de incidentes empieza a ser alarmante, si bien es cierto que la suplantaci¢n de personalidad o el «robo de identidad» no es nada inventado en este siglo, si es cierto que la seguridad en las transacciones es una de las asignaturas pendientes de Internet.
Para muestra un bot¢n, segon las autoridades americanas, se han publicado las estad¡sticas correspondientes a 1999, y tan s¢lo en la «Social Security Administration» (es decir, el organismo que rige la Seguridad Social norteamericana) se han recibido mas de 30.000 quejas sobre mal uso de los nomeros de las tarjetas de seguridad social, la mayor¡a sobre «robo de identidad», o suplantaci¢n de personalidad. Y ello frente a las 11.000 de 1998, o las 7.868 de 1997. Es decir, aument¢ casi el triple el nomero de incidencias en un a_o.
El nomero de la Seguridad Social en Estados Unidos se usa como el nomero de carnet de identidad en otros pa¡ses, as¡ pues basta tener el nomero de la tarjeta de cr’dito y el nomero de la Seguridad Social de la persona para «poder hacer compras on-line» en la mayor¡a de los casos. Es m s, hay empresas que por 49 d¢lares ofrecen ese nomero a quien lo solicite, o empresas, como Net Detective 2000, que se promociona con anuncios como «la incre¡ble herramienta que te permite saber TODO lo que quer¡as sobre tus amigos, familia, vecinos, empleados o tu jefe». Y son legales.
El Instituto para la Seguridad Inform tica (Computer Security Institute) ha publicado su encuesta «delito inform tico y seguridad 2000», bas ndose en la respuesta de 643 directivos de empresas, gobierno, instituciones financieras, hospitales y Universidades. El FBI ayud¢ en la encuesta, y muestra que 273 encuestados declaran perdidas econ¢micas, robo de informaci¢n y fraude financiero. El 90 por ciento declaran haber tenido problemas de seguridad, el 71 por ciento en relaci¢n con accesos no autorizados.
As¡ no es de extra_ar las palabras de Gregory Regan, jefe de la divisi¢n de delitos financieros de los servicios secretos (USA), cuando dice que todo ese entusiasmo acerca de Internet deber¡a ser «temperado» con un poco de precauci¢n.
Por otro lado la «industria» de las tarjetas de cr’dito rechaza esta visi¢n pesimista y afirma que si bien el fraude existe, no es m s que un peque_o porcentaje de los cientos de billones de d¢lares que las compras con tarjeta de cr’dito mueven cada a_o.
M s informaci¢n:
Encuesta CSI
http://www.gocsi.com/prelea_000321.htm
Caso Curador
http://www.abcnews.go.com:80/sections/tech/DailyNews/curador000324.html
http://www.pc-radio.com/curador.htm
http://stream.internet.com/Content/inr20000309.ram
Tarjetas en USA
http://www.nytimes.com/
Eusebio del Valle
evalle@hispasec.com
