La ciberdelincuencia se traslada a la 'web'

El correo electrónico pierde fuelle como medio de transmisión de virus y robo de datos. Los criminales apuestan cada vez más por la web. Primero fueron las páginas fraudulentas (phishing) y, ahora, las infecciones por virus al visitar una página.

Cuando Bernardo Quintero, de Hispasec, visitaba su tira cómica favorita, Dilbert, un virus intentó colarse en su PC: "Una ventana emergente decía que había errores en mi sistema y recomendaba que instalase el programa gratuito WinFixer".

Pinchó el botón Cancelar sin éxito: "Se abrió otra ventana que intentó instalarlo. Me negué, pero insistió". Consiguió zafarse y después comprobó que era un virus publicitario (adware). Si hubiese entrado, le habría mostrado ventanas continuamente, advirtiéndole de errores inexistentes, hasta que hubiese comprado WinFixer cuando en teoría era gratuito.

El virus no procedía de Dilbert, sino del anuncio que aparecía en la página. Poco después, otro anuncio en MySpace infectaba a más de un millón de usuarios: el virus aprovechaba un fallo del navegador IE para entrar sin preguntar. El primer virus en anuncios apareció en 2001 en Securityfocus, pero la invasión empezó en 2003, con el troyano Qhost, que viajaba en un banner de Fortunecity, y en 2004, con troyanos que robaban datos bancarios. "No hay suficiente control por parte de las agencias. Uno de los servicios publicitarios más difundidos de Internet, AdSense, lo contrata cualquiera", critica Quintero.

Álvaro Andoin, director de Media Contacts, explica: "Somos nosotros y no el sitio quienes servimos los banners: recibimos la creatividad del cliente, la aprobamos y la subimos a nuestro servidor en DoubleClick. Cuando descargas una página de esta web, su servidor llama a nuestra creatividad alojada en DoubleClick. Si un sitio permite que esto lo haga un tercero, pasa lo que pasa".

Más peligros

La semana pasada, en la web de Samsung en EE UU apareció un troyano que infectaba al visitante y le robaba los códigos de sus cuentas. En junio, un mensaje en un foro de Orkut tenía un enlace que, si se pinchaba, descargaba otro troyano. Por entonces, los usuarios del correo web Yahoo! recibían peligrosas cartas: al abrir el mensaje se infectaba.

Estos virus en sitios populares culminan una evolución que empezó con el primer gusano para la web, Jer, descubierto en 2000, según Quintero: "Estaba hospedado en una web de Geocities, con el título Las 40 formas de llevarte a las mujeres a la cama. Su autor publicitó la página en el chat y tuvo éxito de audiencia e infectados". Hoy sigue funcionando el truco, pero destacan otras tácticas, como posicionar una página fraudulenta en un buscador, relacionándola con un término. Según McAfee, búsquedas como kazaa, free games o weight loss dan hasta un 72% de resultados maliciosos y los enlaces patrocinados contienen del 200% al 400% más de sitios con contenido peligroso que el resto.

El navegador es importante dice Quintero: "Hay que actualizarlo siempre. La explotación de sus fallos permite, en el caso de IE, la infección con sólo ver la página".

Sami Jourdain, de Deny All, achaca el problema a "las aplicaciones web interactivas al permitir que los usuarios interactuasen con ellas dejándoles así manipular las peticiones HTTP". Estas aplicaciones son cada vez más complejas y vulnerables: "Los ataques a través de HTTP y HTTPS, para acceder a datos no autorizados o robar la identidad aumentan, con crecimientos del 90% respecto a 2005".

Como muestra, la sofisticación del phishing. Al inicio, las webs eran copias de las del banco. Hoy, mandan a las víctimas al sitio real, donde los criminales explotan un fallo para robar la información.

La semana pasada, la policía detuvo a 23 personas en una operación contra un grupo internacional de estafadores. Los detenidos, entre ellos 16 españoles, empleaban un troyano que infectaba los PC de sus víctimas para robar contraseñas con los que obtuvieron dos millones de euros.