La suplantación de entidades financieras o empresas para robar credenciales, phishing, va a ser un juego de niños, comparado con los problemas que comportarán los ataques a infraestructuras críticas o las pérdidas potenciales por robo de información confidencial a empresas o gobiernos.

1. MIÉRCOLES
4 7 DE ENERO DEL 2015
Amenazas en la red 3 El negocio Páginas 2 a 4 LLL
Falsa identidad
L
a suplantación de identi-
dad más temida y persegui-
da en internet ha sido el ro-
bo de credenciales (usuario
y contraseña) y se ha empleado tra-
dicionalmenteparaconseguirelac-
ceso ilegal a cuentas bancarias o co-
mousuarioconprivilegiosdeadmi-
nistradordesistemasinformáticos.
Pero también hay malhechores que
se han dedicado a crear identidades
falsas, más o menos anónimas, con
el ánimo de engañar, en el mejor de
los casos haciéndose pasar por fa-
mosos o inversores que tienen mu-
chos seguidores o clientes. En otros
casos, estas identidades falsas pre-
tenden corresponder a personas
reales, con nombre y apellidos, con
el ánimo de engañar a otros usua-
rios haciéndose pasar por amigos,
compañeros de trabajo o proveedo-
res para solicitarles información
confidencial o conseguir que des-
carguen ficheros contaminados,
propagandoasíunspywareomalware
en sus ordenadores.
El problema real aparece cuan-
do estas identidades falsas las crean
por millones unos programas infor-
máticos que las hacen actuar desde
ordenadores contaminados de una
botnet, que sin saberlo participan en
el engaño. Estos falsos usuarios pue-
den colapsar servicios críticos de in-
ternet (Estonia en el 2007, o a toda
Europa con el incidente de Spamhau-
se en el 2013), privados (red de Plays-
tation en el 2014) o webs públicas
(Generalitat).
Esta capacidad de suplantar ma-
sivamente también se puede aplicar
replicandoidentidades,técnicausada
para engañar a los usuarios de ban-
ca electrónica mediante webs que
simulan ser la de su entidad finan-
ciera, capturando de esta forma sus
credenciales para reusarlas y hacer
transacciones en su nombre a cuen-
tas controladas por mulas de mafias
internacionales, que hacen reinte-
gros para materializar el robo.
Pero estas mafias no se limitan a
usar las botnets que han creado. Tam-
bién las alquilan por módicos pre-
cios a quien quiera atacar, por ejem-
plo a una empresa competidora, a
un Gobierno enemigo, un objetivo
de un grupo terrorista o para hacer
una campaña de ataque a los clien-
tes de una entidad financiera.
Dentro de poco empezaremos a
ser víctimas de la suplantación de
identidad para engañar a nuestros
sistemas de domótica; o viceversa,
para suplantarlos y hacer creer a los
Análisis
Manel Medina
DIReCTOR DEL ESCERT- upC
El principal riesgo
es la suplantación
para acceder a los
equipos de control
de servicios críticos
para la sociedad
sistemasdecontrolalgodiferentede
la realidad. Ya hay un fabricante de
equipos de telemedición de consu-
mo eléctrico que ha tenido que mo-
dificar el programa de sus equipos
porque se podían falsificar los men-
sajes con las lecturas que enviaban
los equipos a la central de la empre-
sa de distribución de energía.
Pero el riesgo real es la suplanta-
ción de identidad de los equipos de
control de operadores de servicios
críticos para la sociedad, como las
propias empresas de producción de
energía, transporte, telecomunica-
ciones, etcétera. Los llamados siste-
mas SCADA (supervisión, control y
adquisición de datos) de las infraes-
tructuras críticas. Estados Unidos y
la UE ya les están obligando a reali-
zaranálisisderiesgosprecisosdesus
instalaciones y a aplicar las medidas
de prevención adecuadas, bajo ame-
naza de multas si sufren un cibera-
taque que deberían haber previsto y
podrían haber evitado. H
Fraude de 5.200 millones en
EEUU con clics falsos en anuncios
CARMEN JANÉ
BARCELONA
U
n demoledor estudio sa-
cudíaafinalesdel2014 el
mundo de la publicidad
on line: la asociación de
anunciantes estadounidense, la
ANA, junto con la consultora de se-
guridadWhiteOps,publicabaqueel
36% de los clics en anuncios en pági-
nas web no los hacían personas y,
por tanto, eran falsos, y que el im-
porte gastado en EEUU en publici-
dadquenovenadieibaaalcanzares-
te año 5.200 millones de euros. Lo
del fraude del clic es algo que en el
mundo de internet se sospechaba,
porquecasitodoeluniversodelapu-
blicidadonlinefuncionaigual:amás
clics, más ingresos. Pero nadie le ha-
bía puesto cifras.
ElestudiodelaANA,realizadoso-
bre tres millones de páginas web, se-
ñalaba que el fraude afecta tanto a
«anunciantes de renombre y a com-
pañías importantes» como a webs
pequeñas. Según sus análisis, los ro-
botsactúanentodoslossectoresyti-
pos de anuncios, si bien comienzan
a despuntar más en el vídeo, donde
hay más automatismos (las imáge-
nes se empiezan a reproducir solo
con entrar en la página, por ejem-
Las mismas mafias
controlan los
programas y las
páginas que visitan
Robots falsifican la
audiencia de la
publicidad en beneficio
de la web que la aloja
plo) y el anuncio se paga más caro.
De hecho, la ANA señalaba que el
23% de las impresiones de anuncios
de vídeo son falsas, igual que el 11%
de los anuncios estáticos y el 19% de
los dinámicos (que van cambiando).
El colmo del fraude se lo llevan los
enlaces a otras webs (hasta el 52%
del tráfico es automatizado), que es
lo más buscado, porque Google pri-
ma a las webs más enlazadas.
El engaño funciona a base de
bots muy sofisticados que llegan a
suplantar al propio usuario usan-
do las cookies que ya tiene instaladas
en su navegador (los pedazos de có-
digo que definen el perfil demográ-
fico que tiene para los anunciantes:
sexo, edad, intereses... ).
Otros robots funcionan solo a ho-
ras nocturnas y además lo hacen
una sola vez para no ser detectados
por las arañas (robots rastreadores)
de Google, que consideran que un
usuario no clicará más de una vez al
día en el mismo anuncio.
ARTEYPARTE/Muchasdelasredescri-
minales que siembran los bots son
también las propietarias de páginas
minadasdeanunciosporlasquena-
vegansusmáquinas.Lamayoríahan
sidotambiéncreadasdeformaauto-
mática, clonando otras webs que se
esfuerzan en ser originales, o sim-
plemente citando un párrafo e in-
cluyendo el enlace, para que parez-
can más profesionales. Son fáciles
de detectar porque ni siquieran res-
petan la completa extensión de las
palabras.
«Es un problema endémico de la
publicidad on line. En Estados Uni-
dos han creado una lista de bots que
se va actualizando y que es consul-
table previo pago, y en España es-
tamos trabajando con Autocontrol
en un código de regulación del sec-
tor», explica Paula Ortiz, asesora le-
gal de IAB España. «Para las grandes
webs es difícil falsificar los resulta-
dos porque están muy controladas
por medidores independientes, pe-
ro las pequeñas lo tienen peor», afir-
ma su compañero Javier Clarke, res-
ponsable de New Media.
Pero el fraude no solo implica a
mafias de países del Este o de China.
Un periodista de la web sobre publi-
cidad Digidaily demostró el pasado
mes de marzo que era posible com-
prartráficoparaunawebestadouni-
densecreadaconpárrafoscopiados,
llenarla de anuncios con una gran
agencia y posicionarla sin que na-
diecomprobaralacalidaddelconte-
nido ni si infringía las leyes de pro-
piedad intelectual porque todas las
acciones las podía hacer de forma
automatizada. En 10 días, ganó 100
euros, que donó a una oenegé. H
33 Elgigantedelapublicidadenin-
ternet, Google, difundió el pasado
noviembreconunestudioenelque
apelaba a definir los formatos de
los anuncios en la publicidad on li-
ne,porque,trascomprarunacom-
pañía que analiza dónde dirige la
mirada un usuario en una web, ha
descubierto que el 56,1% de los
anunciosquehayenlaspáginasno
los ve nadie. El estudio, llamado
con cierta sornaLa importancia de
ser visto, señalaba además que la
mayoría de estos anuncios invisi-
blesveníandeunterciodeltotalde
anunciantes y desmontaba mitos
como que el tamaño importa. No,
es la posición, dicen.
Google calcula que hasta el 56% de los
anuncios en internet no los ve nadie
Webs
reales
Webs ficticias
creadas por
los piratas
para alojar
publicidad real EL ANUNCIANTE
PAGA ANUNCIOS
QUE NO SE VEN
INFOGRAFÍA: CRISTINA CLAVEROLFuente: IAB
UN EJEMPLO DEL ENGAÑO
Un programa malicioso
entra en diferentes
webs y realiza
muchas visitas
B
Los piratas acceden a
ordenadores ajenos y
los convierten en zombis
A
Los piratas
hacen creer a
las empresas que
su anuncio será
muy visitado
C
D
En realidad
venden visitas
falsas en
©2015 Ediciones Primera Plana S.A. Todos los derechos reservados
PDF generado el 07/01/2015 15:41:17 para el suscriptor con email medina@ac.upc.edu
Esta publicación es para uso exclusivamente personal y se prohíbe su reproducción, distribución, transformación y uso para press-clipping