Nociones de seguridad de McAfee

Buenas prácticas para evitar ataques de fraude electrónico

Justo cuando pensaba que era seguro entrar a la arena del comercio electrónico actual, surgió el fraude electrónico como una de las amenazas más peligrosas del mundo.

El fraude electrónico implica la distribución de mensajes de correo electrónico con direcciones de respuesta, enlaces y diseños que hacen que los correos electrónicos parezcan legítimos, como si hubiesen sido enviados por instituciones financieras a sus clientes.

Desafortunadamente, el único objetivo de estos correos electrónicos es engañar a los destinatarios, sin que ellos se den cuenta, para que divulguen información de sus cuentas personales, tarjetas de crédito y otra información confidencial. Una vez que un consumidor ha compartido esta información, los estafadores obtienen los medios para robar identidades y efectuar transacciones fraudulentas con la información robada.

Los estafadores también roban información privada de los clientes al instarlos en forma engañosa a visitar un sitio Web fraudulento, así como también a instalar programas espía en el computador del cliente, de manera que sea posible robar información cuando el usuario visita un sitio Web legítimo.

Un criminal que no discrimina

Actualmente, todos pueden ser víctimas de las intenciones maliciosas de estos estafadores. Los clientes de grandes empresas, instituciones financieras, agentes de seguros, así como también organizaciones de créditos y préstamos han sucumbido a los ataques de fraude electrónico.

Estos estafadores dirigen sus ataques a organizaciones conocidas, ya que la mayoría de sus correos electrónicos se distribuye en forma aleatoria. Las organizaciones establecidas normalmente buscan captar más clientes, por lo que existen más posibilidades de que un cliente reciba un correo electrónico fraudulento de la organización víctima de dicho ataque.

De hecho, correos electrónicos fraudulentos que se supone provienen de la Corporación Federal de Seguros de Depósitos y de la Asociación de Bancos de Estados Unidos han ingresado a bandejas de entrada de todo el mundo. Incluso el FBI ha sido víctima de este tipo de ataque.

La amenaza del fraude electrónico no parece disminuir. Según informó el Anti-Phishing Working Group, una asociación de la industria que combate el robo de identidades y el fraude, se informaron 176 nuevos ataques de fraude electrónico en enero de 2005, lo que representaba 5,7 nuevos ataques por día. En junio de 2004, la cifra ascendió meteóricamente a 1.422 ataques de fraude electrónico nuevos.

Los analistas estiman que hasta un 5% de los correos electrónicos fraudulentos recibidos logran obtener la información confidencial del destinatario. No obstante, los consumidores no son las únicas víctimas de la amenaza de fraude electrónico. En fecha reciente, uno de los 20 principales bancos de Estados Unidos tuvo que efectuar hasta 90.000 llamadas telefónicas por hora luego de que en febrero un ataque de fraude electrónico paralizara sus operaciones durante cinco horas.

Lo que es aún peor, las empresas víctimas de estos ataques corren el riesgo de perder la confianza de sus clientes en línea. Por ejemplo, si un banco se convierte en objetivo de fraude electrónico, es muy probable que sus clientes eviten efectuar sus transacciones bancarias en línea.

No muerda el anzuelo

En la actualidad, los estafadores están recurriendo a tácticas cada vez más sofisticadas, como el uso de ventanas emergentes e iconos de candado falsos para engañar a los visitantes incautos. Sin embargo, existen formas de evitar ser víctima de fraude electrónico. McAfee recomienda que las empresas creen (y comuniquen con frecuencia) políticas de seguridad corporativas para el contenido de correo electrónico, de manera que un correo electrónico legítimo no se confunda con uno fraudulento.

Un buen ejemplo de política puede ser que una empresa jamás solicite a sus clientes llenar ningún formulario adjunto a un correo electrónico. De esta forma, si un cliente recibe un correo electrónico con un formulario adjunto, es posible identificar de inmediato el mensaje como un ataque de fraude electrónico.

Otra medida puede ser que las empresas siempre ofrezcan a sus clientes formas de verificar que un mensaje de correo electrónico es legítimo y no fraudulento. Para lograrlo, las empresas deben establecer una política para incorporar información de autenticación a cada correo electrónico que envían a sus clientes.

Por ejemplo, algunas empresas solicitan a sus clientes que seleccionen un gráfica personalizada que se incorporará a un correo electrónico, lo que dificultará que los estafadores envíen mensajes de correo electrónico corporativos falsos.

Las empresas debe evitar incorporar enlaces en los que sea posible hacer click en los correos electrónicos con formato HTML. Además, teniendo en cuenta que los estafadores dependen de la extracción de contraseñas, las empresas también deben evitar solicitar a sus clientes que ingresen información confidencial al iniciar sesión en un sitio Web. De hecho, las tarjetas inteligentes y otros códigos de autenticación constituyen métodos de autenticación mucho más sofisticados que las contraseñas y los números de seguro social.

Los clientes también deben procurar establecer el máximo nivel de seguridad posible en su explorador Web y configurar sus exploradores para que muestren advertencias http, de manera que puedan saber si el sitio Web que están visitando es seguro.

Es posible detener las acciones de los estafadores si las empresas monitorean activamente Internet para buscar sitios Web potencialmente fraudulentos, que a menudo aparecen antes de la emisión de correos electrónicos de estafadores.

Para concluir, siempre es útil que las empresas implementen soluciones de administración de contenido seguro de alta calidad, herramientas que las empresas con frecuencia ofrecen a sus clientes como servicios comerciales. Por ejemplo, McAfee ofrece soluciones antispam que pueden identificar ataques de fraude electrónico en el gateway, soluciones antivirus para computadores de escritorio que detectan capturadores de tecleado y herramientas de protección contra intrusos para hosts de sitios Web. Al instalar este tipo de protección, puede tener la seguridad de que todo su tráfico de mensajes entrantes y salientes será seguro antes de que cualquier contenido no deseado infecte su red o afecte a sus usuarios.