[HACK] Indefensos en la red

merce illadeltresor at gmail.com
Wed Dec 17 16:12:41 CET 2008 

25/11/08 10:50:59


INDEFENSOS EN LA RED


Mercè Molist
¿Qué hacer cuando alguien manda cartas falsas o mensajes basura en
nuestro nombre? ¿A quién acudir ante una estafa electrónica? ¿Y si
una operadora nos secuestra la conexión? Muchos internautas
desconocen cómo hacer frente a estos abusos y optan por sufrirlos en
silencio. La policía recomienda denunciar, pero la naturaleza de la
red convierte demasiadas veces en misión imposible el castigo al
malhechor.

Rosa Llop es una diseñadora gráfica de Barcelona. En junio, alguien
empezó a mandar correo basura desde direcciones falsas que usaban su
dominio, rosallop.com. "De viernes a domingo, durante tres meses
hasta que se cansaron, llegaban devueltos a mi buzón entre 1.000 y
2.000 mensajes, procedentes de servidores que los rechazaban por ser
"spam"", explica.

Consultó algunos foros y descubrió que otras personas habían vivido
lo mismo, sin solución: "Era horrible tener que pelearme con toda
aquella basura, un abuso que me hacía sentir impotente, además del
perjuicio comercial y que mi dominio acabó en todos los filtros
"antispam" del planeta", afirma. Desde entonces, usa una cuenta de
Gmail.

La diseñadora no denunció el ataque porque sabía que era imposible
dar con los "spammers". Lo confirma la Brigada de Investigación
Tecnológica (BIT) de la Policía Nacional: "En la mayoría de
investigaciones nos encontramos con servidores que están en países
extranjeros y, aún en el caso de que colaboren, se ralentiza
enormemente el procedimiento, hasta el punto que cuando se llega a
quien tiene la evidencia que probaría el delito, esta ya no existe".

Para complicarlo, cada país tiene su propia legislación y, a veces,
lo que es delito en uno no lo es en otro. Aunque lo sea, los
problemas burocráticos transnacionales entorpecen la investigación.
Además, explican los policías, "el anonimato en muchas formas de
acceso, como los cibercafés o las conexiones inalámbricas, propicia
enormes dificultades a la hora de abordar cualquier investigación".


Salir del armario

La cosa no mejora cuando el abuso se comete "en casa". El 28 de
enero, los amigos de M.H.J., una profesora madrileña de 37 años,
recibían un sorprendente mensaje: la joven les anunciaba que había
"salido del armario". Horas después, M.H.J. mandaba otro correo,
explicando que alguien había entrado en su cuenta y enviado una
carta falsa a las 285 direcciones de su agenda, algunas de foros con
más de mil suscritos.

El centro educativo identificó al bromista, un estudiante que había
usado un ordenador del aula de informática justo después de M.H.J..
Aunque ella cerró la sesión al irse, los ordenadores de la escuela
guardaban por defecto los datos introducidos en los formularios, lo
que permitió al intruso acceder a la cuenta. La profesora le
denunció y, meses después, el juez le absolvió por falta de pruebas.

"Este tipo de bromas están al orden del día, sobre todo en los
institutos: insultan a los profesores, atacan a compañeros o entran
en sus cuentas de Hotmail", explica Marcos Gómez, subdirector de
E-Confianza del Instituto Nacional de Tecnologías de la Comunicación
(INTECO). Es difícil perseguirlo porque muchas veces no se puede
demostrar quién mandó el correo o se sentó ante el ordenador.

Pero no son los bromistas los responsables de los mayores abusos a
los internautas, sino sus propios proveedores de acceso. Gran parte
de las quejas que llegan a la Asociación de Internautas (AI) se
refieren a facturas abusivas, cobros por conceptos no solicitados o
inclusiones indiscriminadas en listas de morosos por parte de
operadoras que no dan el servicio contratado y sus clientes se han
negado a pagar.


En el limbo digital

Una de las peores pesadillas es el "slamming" o secuestro de la
conexión por parte de otro operador. Anna Solana, una periodista de
Barcelona de 37 años, estuvo un mes sin Internet: en octubre
aprovechó una oferta de su proveedor, Ya.com, que implicaba un
cambio en su tipo de conexión. En el proceso, se quedó sin Internet:
"Les llamé cada día durante una semana y nunca me dijeron qué estaba
pasando", afirma.

Por fin descubrió que habían trasladado su ADSL a Jazztel sin su
permiso. Pero Jazztel no tenía constancia de ello: "Estaba en una
suerte de limbo digital porque la compañía que tenía mi bucle de
abonado no me reconocía como cliente y, por tanto, no lo traspasaba
a la compañía que lo solicitaba", explica. Tampoco podía denunciarlo
porque necesitaba una factura de la compañía secuestradora como prueba.

"Nadie sabe la energía que se pierde llamando a los servicios de
atención al cliente hasta que tiene que hacerlo", afirma la
periodista. Después de muchas gestiones recuperó la conexión y, casi
al mismo tiempo, Ya.com le cobró el importe del mes que había estado
sin Internet. Cansada de reclamar y temiendo que la incluyesen en
una lista de morosos, decidió pagar.

En abril de 2007 el Ministerio de Industria emitió una orden
reguladora del "slamming", donde se obliga al operador denunciado a
demostrar que la persona se ha dado voluntariamente de alta. A pesar
de ello, esta práctica sigue vigente: en noviembre de este año, 30
personas de Zaragoza presentaban una demanda conjunta a Orange por
"slamming".

Los problemas con las operadoras deben denunciarse a la Oficina de
Atención al Usuario de Telecomunicaciones. Prueba de esta situación
de abuso es que sólo el 17% de las reclamaciones se resuelven a
favor de las operadoras. En cuanto al "slamming", representa el 7,6%
de quejas sobre acceso a Internet que ha atendido la Oficina en la
primera mitad de 2008. En el mismo periodo de 2007 fueron el 12,4%.

Víctor Domingo, presidente de la AI, destaca otro caso de
"impotencia absoluta" de los internautas: los teléfonos de atención
al cliente de los proveedores, que mayoritariamente usan el prefijo
de pago 902, lo que se traduce en un coste añadido al hacer una
reclamación. La AI ha presentado diversas denuncias y recursos, el
último a la Audiencia Nacional, sin recibir respuesta.


Estafas en compras

Las estafas y abusos en el comercio electrónico son otra gran fuente
de problemas. Deben denunciarse en la comisaría más próxima, aunque
según la BIT son difíciles de perseguir por "el bajo importe de los
mismos que hace que, en muchos casos, tengan el reproche penal de
simples faltas y, habida cuenta la gran cantidad de pequeños
delitos, hay que priorizar los de mayor importe".

Marta Torres, una lingüista catalana de 35 años, vivió un caso
típico: compró un billete de avión de ClickAir a través de Rumbo.es.
Costaba 106 euros con tasas incluídas, pero le cobraron 197 más 12
de comisión del intermediario. Envió quejas a ambas empresas y
ninguna respondió: "Como el pago se ha hecho con VISA, no se puede
anular. Tendré que pagar y después reclamar. Mi banco me ha dicho
que tardaré en recuperar el dinero. Lo que no recuperaré es el
tiempo perdido", se queja.

Peor lo tienen quienes compran un coche de lujo a bajo precio por
Internet y, cuando han mandado la señal, la empresa ubicada
supuestamente en un país extranjero desaparece. El mismo engaño se
hace con otros productos caros, como televisores de plasma, sobre
todo en sitios de subastas y ventas de segunda mano. Una variante
son los estafadores que usurpan la identidad del que hace la venta,
sin que este pueda detenerlos.

Los fraudes, junto con la pornografía infantil, los delitos contra
la intimidad, las injurias y las amenazas son los más antiguos y
usuales delitos en la red. El rey de las estafas es el "phishing" o
robo de datos bancarios con engaño. Los bancos suelen reponer este
dinero por lo que, aunque la cantidad de casos es alta, no provoca
en los internautas una sensación acusada de indefensión.

Según el INTECO, el 70% de intentos de estafa que reciben por
Internet los hogares españoles son "phishing". La AI contabilizó más
de 3.000 casos en 2007, cuando en 2005 no llegaron a los 300. Un
reciente informe de la Dirección General de Policía afirma que ha
aumentado tanto que los policías se declaran impotentes para detener
a los delincuentes, quienes usan sofisticados métodos y actúan fuera
de España.


Indefensión absoluta

Víctor Domingo explica un delito relacionado con este: "Miles de
internautas son engañados por ofertas falsas de trabajo que les
obligan a gestionar una serie de pagos enviando dinero al
extranjero, robado mediante "phishing"". Según Domingo, la falta de
información sobre este tema por parte de los jueces "está provocando
condenas penales indiscriminadas".

Esta es la indefensión absoluta: no sólo ser víctima de un abuso
sino que te denuncien por el mismo. Lo último y que ha sucedido ya a
diversos internautas fuera de España es que alguien use sus
conexiones inalámbricas para cometer delitos, de forma que quien
técnicamente aparece como delincuente no es el ladrón de la conexión
sino su víctima.

En octubre de 2004, un virus infectó el ordenador que la profesora
norteamericana Julie Armero usaba en clase y provocó un alúd de
ventanas emergentes pornográficas que no supo como parar. La
acusaron de mostrar pornografía a sus alumnos y un juez la condenó a
40 años de cárcel. El pasado 21 de noviembre, cuatro años después de
los hechos, la declaraban inocente en un nuevo juicio.

Pero los policías no quieren ni oír hablar de indefensión en
Internet. El Grupo de Delitos Telemáticos de la Guardia Civil
asegura que, junto con las dificultades que se encuentran policías y
jueces en la persecución de los delitos, otro punto en contra es la
"sensación subjetiva de indefensión de los ciudadanos, que no creen
que puedan hacer algo y dan el dinero por perdido, cuando muchas
veces se puede denunciar y aclarar".

Según la Guardia Civil, "cada día nacen amenazas nuevas en la red
pero no hay un aumento de estos delitos, no se puede dar la
sensación de que estamos perdidos porque no es así". La información
y concienciación de las personas para una navegación responsable es
tan esencial como los acuerdos internacionales sobre cibercrimen,
aseguran los agentes: "Saber siempre dónde te metes y estar atento".





QUÉ HACER EN CASO DE ESTAFA

1. Hablar con el banco. Algunos tienen seguros "antiphishing".

2. Denunciarlo en una comisaría. Si el importe es pequeño pero hay
más víctimas del mismo fraude, poner una denuncia conjunta. Más
información en la sección de Gestión del Fraude Electrónico de
INTECO:
http://www.inteco.es/Seguridad/INTECOCERT/Respuesta_y_Soporte/Gestion_de_Fraude_Electronico

3. Modificar nuestras rutinas en la red para que no vuelva a ocurrir.



QUÉ HACER EN CASO DE ABUSO DE UN PROVEEDOR

1. Guardar todos los documentos y facturas.

2. Denunciarlo a la Oficina de Atención al Usuario de
Telecomunicaciones: http://www.usuariosteleco.es



CÓMO RECONOCER UN MENSAJE FRAUDULENTO

1. Las entidades financieras, tiendas de comercio electrónico y
administración pública nunca mandan mensajes de correo a sus
clientes solicitando datos de acceso o bancarios. En caso de duda,
llamarlos por teléfono.

2. Los mensajes fraudulentos usan todo tipo de ingeniosos argumentos
para justificar que les manden datos personales. Algunas excusas
frecuentes son: problemas técnicos, nuevas medidas de seguridad en
el sitio, promoción de nuevos productos, premios y regalos.

3. No asustarse ante el envío de información que hace creer que ha
habido un desastre o un serio peligro. Muchas estafas empiezan
advirtiendo de que se ha hecho una compra con la tarjeta de crédito
y para anularla hay que pulsar un enlace.

4. Un correo fraudulento trata de forzar a la persona a tomar una
decisión de forma casi inmediata, advirtiendo de consecuencias
negativas si no lo hace, como puede ser quedarse sin acceso a aquel
servicio.

5. Al generarse con herramientas automáticas de traducción, estos
mensajes suelen contener faltas ortográficas y errores gramaticales.

(Fuente: Equipo de seguridad CERT del INTECO)



CONSEJOS PARA COMPRAS ELECTRÓNICAS

1. No comprar si el establecimiento no inspira confianza. En caso de
duda, hacer una búsqueda en Internet para comprobar su reputación.

2. Desconfiar de gangas y superofertas que estén fuera de la lógica
comercial, aguzando especialmente la atención en sitios de subastas
y ventas de segunda mano.

3. No introducir el número de la tarjeta en páginas de contenido
pornográfico en las que se solicita como pretexto para comprobar la
mayoría de edad.

4. No facilitar más datos personales de los necesarios.

5. Al enviar información bancaria, comprobar que se está en una
página segura: su dirección empieza con https:// y en la parte
inferior del navegador aparece un candado amarillo o cerrado.

6. Si se puede escoger el método de pago, mejor contra reembolso.
Huir de las transferencias.

7. Comprobar que los cargos recibidos se corresponden con los
realizados y guardar todos los justificantes y resguardos.

8. Si en el plazo establecido no se recibe el producto y no hay
respuesta del comerciante, acudir al banco y anular el cargo.

9. Si el producto recibido es de inferiores características al
contratado, exigir su inmediata reposición. Si el establecimiento se
niega, denunciarlo y anular el cargo en el banco.

(Fuente: BIT Policía Nacional y GDT Guardia Civil)



CONSEJOS DE SEGURIDAD GENERAL

1. No abrir mensajes de correo ni archivos adjuntos de origen
desconocido, tampoco en la mensajería instantánea. Eliminarlos sin
previsualizarlos.

2. No fiarse de los regalos, premios y otros ni llamar a teléfonos
con prefijos 906 para recibirlos.

3. No facilitar la dirección electrónica ni otros datos personales
con ligereza.

4. Tener un antivirus y un cortafuegos en el ordenador y mantenerlos
actualizados, así como el sistema operativo, el navegador y, a ser
posible, todos los programas.

5. No descargar programas de sitios poco confiables.

6. Cuando se navega por Internet, utilizar la función "usuario sin
permisos de administrador" del sistema operativo.

7. Borrar las "cookies", formularios e historial y desactivar la
opción "autocompletar" cuando se utilizan ordenadores públicos o de
otras personas. En ningún caso hacer transacciones económicas desde
estos equipos. Cerrar todas las sesiones al acabar.

(Fuente: BIT Policía Nacional, GDT Guardia Civil y CERT INTECO)





RECLAMACIONES SOBRE ACCESO A INTERNET

             1a mitad 2008       Total 2007

Bajas            29,6%              31,8%
Facturación      29,3%              20,5%
Altas            17,9%              22,7%
Interrupciones   16,6%              14,8%
Liberación linea 2%                  4,2%
Otros            4,8%                6%

(Fuente: Oficina de Atención al Usuario de Telecomunicaciones)



RECLAMACIONES POR CADA 10.000 ABONADOS EN LA PRIMERA MITAD DE 2008

Ya.com     11,66
Jazztel    4,12
Tele2      3,90
Orange     2,89
Ono        1,99
Telefónica 0,48

(Fuente: Oficina de Atención al Usuario de Telecomunicaciones)





Oficina de Atención al Usuario de Telecomunicaciones
http://www.usuariosteleco.es

Grupo Delitos Telemáticos. Guardia Civil
https://www.gdt.guardiacivil.es

Brigada Investigación Tecnológica. Policía Nacional
http://www.policia.es/bit

CERT INTECO
http://cert.inteco.es




Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.

More information about the hacking mailing list