Amenazas en la Red

Consumer Reports magazine: 08-2008

This content will be replaced when pagination inits.

Por qué entrar al Internet sigue siendo riesgoso

El lobo solitario que usted se imagina obsesionado en su computadora en el sótano de su casa, no es el único presto a robarle su identidad en el Internet.

Cada vez más, los criminales cibernéticos operan en un complicado submundo interconectado de sitios Web y tertulias digitales (chat rooms), en donde se venden números de cuentas robadas, herramientas para hacer tarjetas de crédito, escáneres para recoger números y PINs (clave personal o contraseña) de los cajeros automáticos, virus y otro software malintencionado.

Estos ladrones pagan entre $14 y $18 por cada identidad robada, según la firma de seguridad Symantec. Definitivamente que es una buena inversión para ellos: sólo en el 2006, el robo de identidad les costó a los consumidores y negocios $49,300 millones, según la compañía Javelin Strategy & Research que tiene su base en Pleasanton, California.

Nuestro reportero vio imágenes en un sitio Web, hasta hace poco frecuentado por estafadores de tarjetas (carders) que trafican con números de tarjetas de crédito y de débito. Para hacerlo, recibió ayuda del personal de RSA Security, una firma de seguridad de Bedford, Massachussets, que colabora con las autoridades dedicadas a monitorear este tipo de actividades.

En un sitio de chat, un estafador le presumía a otro: -Tengo cuentas bancarias... con descuento si me compras al por mayor-. Y alardeando de sus habilidades, un delincuente le decía a otro cómo hacía "todo tipo de chanchullos con la información pirateada a placer". El sitio también tenía foros de discusión, una publicación con noticias y consejos de cómo llevar a cabo los fraudes, y una galería de famosos (Hall of Shame) en donde se ponía en evidencia a los defraudadores que trataban de estafar a otros del mismo gremio.

Por supuesto que no todos los robos de identidad se realizan en línea. En las estafas recientes más escandalosas unos piratas cibernéticos se metieron directamente en los archivos de clientes de compañías y negocios. Y para ver lo fácil que es sacar información personal de su PC vieja (computadora personal), vea "Lo que su disco duro les dice a los ladrones de identidad".

Pero dada la preponderancia de herramientas al alcance de los delincuentes cibernéticos en sitios como el que visitó nuestro reportero, es evidente que el tipo de amenazas que hemos investigado para este reporte: el spam (correo masivo no solicitado), sitios Web fraudulentos, y el software malicioso (llamado también malware) se han convertido en herramientas importantes en el arsenal de los ladrones de identidad.

A pesar de que ha aumentado la vigilancia por parte de las autoridades judiciales y que hay mejor software de protección, los peligros y amenazas siguen siendo muy fuertes, según la encuesta llamada el Estado de la Red, realizada por Consumer Reports en 2007. La encuesta llevada a cabo esta primavera por el Centro Nacional de Investigación de Consumer Reports, está basada en 2,030 hogares en línea. Los hallazgos de dicha encuesta incluyen los siguientes:

La probabilidad de convertirse en una víctima cibernética es de aproximadamente 1 en 4 -un poco menor que la del año pasado, debido a que algunos de los problemas parecen haber disminuido, aunque sigue existiendo un riesgo significativo.
Los consumidores son todavía presa de estafas cibernéticas [phishing], en las que se les pide por correo electrónico (e-mail) y en sitios Web que divulguen información sobre sus cuentas financieras. La cantidad de personas que proporcionaron información personal en estos fraudes ha permanecido constante desde el año pasado, con un total aproximado de 8 por ciento de los encuestados. En los últimos dos años, calculamos que un millón de consumidores ha perdido miles de millones de dólares en estas estafas.
El 38 por ciento de los encuestados reportó que en los últimos dos años su computadora había sido infectada por un virus; y el 34 por ciento reportó una infección de programas espía (spyware). Según las proyecciones basadas en la encuesta, las infecciones por virus hicieron que 1.8 millones de hogares reemplazaran sus PC en estos dos años; y que otros 850,000 hicieran lo mismo en los últimos 6 meses, por culpa de las infecciones por spyware. Por otro lado, los usuarios de computadoras Mac casi no reportaron problemas de este tipo.
Sigue habiendo pocas defensas. El 17 por ciento de los encuestados no tenía software antivirus instalado, y el 33 por ciento no usaba el software para bloquear o eliminar los programas espía. La mayoría de los hogares tenían instalado un cortafuegos (firewall), programas que mantienen fuera a los piratas cibernéticos. Pero, según nuestra encuesta, calculamos que 3.7 millones de los hogares en los Estados Unidos con acceso al Internet de banda ancha todavía no tienen esta protección.
Los usuarios de Internet inalámbrico corren riesgos adicionales, mostró nuestra encuesta. La mitad de los que usaban su computadora con un enrutador inalámbrico no tomaban las precauciones básicas como habilitar el sistema de cifrado o codificación (encryption). Entre los que usaban conexiones inalámbricas en lugares públicos, llamados hotspots o 'puntos calientes', que tienen más riesgo que las conexiones en casa, el 63 por ciento se expuso a la piratería al conectarse a cuentas protegidas con clave de acceso.
Muchos jovencitos están en peligro. Entre los encuestados con hijos menores con acceso al Internet, el 13 por ciento tenía chicos de 14 años o menos registrados en el enorme sitio de Internet llamado MySpace.com. La edad mínima oficial para inscribirse en este sitio es 14 años. También descubrimos que muchos padres no han preparado a sus hijos debidamente para enfrentarse a los riesgos que pueden correr en el Internet.

En resumen, en un mundo donde los delincuentes cibernéticos se han vuelto muy sofisticados, los consumidores necesitan volverse aún más precavidos respecto de los peligros que acechan en línea. Consumers Union, el editor sin fines de lucro de CONSUMER REPORTS, considera que es necesario que el gobierno y la industria aumenten sus esfuerzos para proteger al público, si bien es cierto que los consumidores mismos pueden hacer mucho para no convertirse en víctimas cibernéticas. Aquí le ofrecemos la información más reciente sobre los mayores riesgos a los que se expone en línea.

Phishing: Una industria en aumento

El e-mail que acaba de recibir se ve como si viniera del Better Business Bureau (Oficina de protección al consumidor). En este correo, le indican que hay una demanda contra la compañía para la que usted trabaja. Luego, le dan un enlace a un sitio que baja un programa que lee el teclado y puede así recoger su información personal y mandarla fuera del país. Hay millones de personas que han caído en trampas como ésta: pretenden venir de servicios financieros legítimos, proveedores de Internet o tiendas minoristas.

Una estafa reciente secuestró el nombre de la Comisión Federal de Comercio (Federal Trade Comission), que es finalmente la responsable de perseguir el fraude por correo electrónico.

El grupo de Trabajo Antiphishing dice que el número de sitios de phishing llegó a 37,000 en mayo. Sólo en ese mes hubo cerca de 23,000 ataques cibernéticos. Las tácticas de los estafadores también están mejorando.

-Hace un año, el phishing consistía en spam esporádico (correo basura) -dice Art Manion, un analista de la seguridad y vulnerabilidad en Internet para CERT, que es un grupo de respuesta a emergencias por Internet con sede en la universidad de Carnegie Mellon. -Hoy en día, el e-mail parece venir de mi banco o mi oficina, con mejor sintaxis, historias más creíbles y mejores URL (Localizador universal de recursos, por sus siglas en inglés) -.

Hay técnicas de ingeniería social populares que hacen que los consumidores caigan en trampas cuando tienen relación a un día festivo o evento, como la Copa Mundial; o un phishing con anzuelo donde el emisor aparenta ser alguien dentro de la compañía para la que usted trabaja; o cuando le dicen que su cuenta bancaria está en peligro. Y luego, lo instan a que introduzca su información personal en un sitio falso que se ve igual al de su banco.

El perfil del phisher está cambiando. -Entre 2002 y 2003, grupos del crimen organizado se dieron cuenta de que hay una manera mejor de hacer dinero que la de vender drogas -dice Alan Paller, director de investigación del Instituto SANS, que se dedica a entrenar profesionales en seguridad. Añadió que algunos terroristas están "exhortando a jóvenes islámicos del Yihad a usar computadoras para hacer que los Estados Unidos caigan de rodillas".

Soluciones. Borre el e-mail que le pida información personal desde un enlace de un sitio Web. Acceda a sus cuentas directamente a través de un navegador, usando su señalador o marcador favorito o escribiendo la dirección de la página Web de su institución. Las instituciones financieras también están reforzando la seguridad. El banco Bank of America y la compañía Vanguard ahora les piden a sus clientes que seleccionen una imagen personalizada o una frase que debe aparecer siempre que se accede al sitio para que la gente sepa que es el sitio real.

Virus: Amenazas cambiantes

El hecho de que las infecciones por virus se hayan mantenido constantes desde el año pasado, según indica nuestra encuesta, es en realidad una muestra de progreso para los consumidores y fabricantes de software, porque los peligros presentan un reto más complicado. Alrededor de 1 de cada 500 mensajes por e-mail está infectado con un virus, según Postini, una compañía de seguridad en San Carlos, California, que fue recientemente adquirida por Google y que procesa mil millones de mensajes por e-mail cada día.

Y, más de dos tercios de la lista de malware que McAffee, el fabricante de software de protección, ha neutralizado apareció en los últimos dos años. -Los peligros no han disminuido: al contrario, se han acelerado -dice Todd Gebhart, un vicepresidente de McAffee. Una razón por la que han aumentado es que las herramientas para crear virus están más al alcance de cualquiera y son más fáciles de usar.

-Hace diez años, eran profesionales técnicos interesados en las computadoras -dice Dmitri Alperovitch, el principal investigador de Secure Computing, que tienen sus oficinas en San José, California. -Ahora, no necesitan saber de computación. Aprenden sobre la marcha-.

Los expertos a los que consultamos citaron cuatro peligros de los que hay que cuidarse:

Botnets. Son redes de computadoras personales que han sido virtualmente secuestradas (se conocen comozombis) y detrás de las que se esconden los delincuentes que las usan para mandar spam o infectar otras computadoras. Los botnets están entre los peligros más lucrativos y que están creciendo con más rapidez. La manera como ocurre el secuestro virtual es depositando un software malicioso en la computadora del usuario. Desde el 2003, los clientes de McAfee han reportado más de 20 millones de estos peligros. Symantec dice que hasta el 14 por ciento de las computadoras de Estados Unidos están infectadas por botnets. EarthLink, el proveedor de servicio de Internet, dice que bloquea de 7,000 a 30,000 nuevos zombis cada día.

El FBI (Federal Bureau of Investigation) identificó recientemente a más de un millón de computadoras en EE.UU. que habían sido capturadas por botnets, y empezó a notificar a los dueños de las computadoras. También arrestó a dos operadores de botnet en Texas y en Kentucky que, entre ambos, presuntamente controlaban decenas de miles de computadoras.

El 80 por ciento del spam que se manda por Internet proviene de ataques zombis, según EarthLink. Los botnets son usados asimismo para hacer phishing y ataques en que se niega el servicio. Esto hace caer redes enteras de computadoras al sobrecargarlas de tráfico.

Rootkits. Los piratas cibernéticos usan este tipo de malware para esconder otro pedazo de software malicioso en el sistema de su computadora. Ed Skoudis, co-fundador de Intel Guardians, una firma investigadora de información y seguridad en Washington, D.C., dice que los rootkits pueden "cambiar el sistema operativo para que le mienta, le esconda archivos, procesos, claves de registro y sesiones de comunicaciones". McAfee dice que ha notado un 10 por ciento de aumento de rootkits desde principios del 2006 a lo que va del 2007, distribuidos en su mayoría por quienes mandan correo spam (spammers).

Nuevos métodos de entrega. En un estudio reciente de Google entre 4.5 millones de sitios Web, encontraron que el 10 por ciento estaba descargando malware. Y, en vez de atacar el sistema operativo, hay muchos autores de malware que se están aprovechando de las debilidades en aplicaciones como iTunes, QuickTime, Flash y WinZip, según dice Brian Trombley, un gerente de producción de McAfee

Sitios que establecen contactos sociales. Los que usan malware están usando sitios de contacto social como trampolines, aumentando la preocupación en el medio de que el código pernicioso se pueda extender rápidamente. Los enlaces que conectan el sitio de conexiones sociales de una persona con otra, hacen posible que se descargue software malicioso al sistema de un visitante. Esto es aún peor en el caso de los jóvenes que usan estas redes para hacer conexiones sociales con muchos enlaces a los sitios de otros.

Soluciones. Se le puede pasar desapercibido un virus y no verlo hasta que ya ha infectado su computadora personal y la ha dejado inútil. Así que correr y poner al día su programa antivirus, su sistema operativo y aplicaciones es la mejor defensa que usted tiene.

Los proveedores de Internet continúan combatiendo el malware. EarthLink ha agregado un servicio especial que asegura que puede rastrear 300 comportamientos típicos del software malicioso. Recientemente, Google adquirió un producto que protege al navegador de descargas maliciosas.

Spam: Mejores defensas

El spam, correo no solicitado, aumentó en 161 por ciento desde septiembre del año pasado hasta junio de este año y ahora representa el 94 por ciento del correo electrónico, según datos de Postini. Pero nuestros encuestados reportaron una proporción más baja de spam recibido en su correo que en el pasado. Creemos que la razón de esta aparente contradicción es que el bloqueo de spam ha mejorado, tanto en cantidad como en calidad. En nuestra encuesta, el 65 por ciento de los que respondieron usaban su propio filtro de spam, más del 59 por ciento que lo hacía el año pasado. Y los grandes proveedores de servicio de Internet como AOL y MSN han filtrado mejor el spam en años recientes.

Mientras que el 30 por ciento de los encuestados que había recibido spam el mes anterior señaló que era material pornográfico u objetable, es de todos modos 10 por ciento menos que el año pasado.

En hogares con menores que tienen acceso al Internet, el 5 por ciento dijo que un niño en su hogar había estado expuesto a pornografía.

De los encuestados que habían recibido spam el mes anterior, sólo 28 por ciento cayó en la trampa de tratar de quitar su nombre de la lista haciendo clic en el enlace del mensaje, y solamente el 17 por ciento trató de borrarse del plan respondiendo a él. Hace tres años, ambas categorías estaban en 40 por ciento.

De todos modos, la lucha contra el spam sigue en pie. De los encuestados que dijeron que reciben spam, casi la mitad lo recibe en grandes cantidades. Más de la mitad reportaron haber recibido solicitaciones fraudulentas y el 40 por ciento pensaron que el spam había invadido su privacidad.

Y según la encuesta, calculamos que 650,000 consumidores ordenaron un producto o servicio el mes anterior a la encuesta que habían visto anunciado en un sitio de spam.

Al mismo tiempo, los spammers se han vuelto más difíciles de rastrear, según Paula Selis, abogada de la fiscalía general del estado de Washington, oficina que se ha dedicado a procesar a los spammers.

-Tal vez el rigor judicial los ha hecho irse al extranjero -nos dijo. Eso complica a los spammers, pero también hace más difícil el trabajo de los cuerpos judiciales-.

Soluciones. Use un filtro efectivo y nunca conteste ni compre nada que le ofrezca un mensaje de spam. A casi cuatro años de que fue aprobada la ley federal llamada Can-Spam Act, que proporciona a las autoridades policiales herramientas para usar en contra de los spammers, su efectividad todavía no ha sido demostrada. Aunque ha traído cierta responsabilidad al e-mail comercial y les ha brindado a los funcionarios oficiales herramientas legales, desgraciadamente también le dio legitimidad a cierto tipo de spam y les quitó validez a leyes estatales fuertes.

Desde el 2004, la Comisión Federal de Comercio (FTC por sus siglas en inglés) bajo esta ley ha presentado 26 denuncias contra spammers, según dijo Lois Greisman, director asociado de la división de prácticas de mercado de la FTC. La Corte adjudicó indemnizaciones de cerca de $13 millones en esos casos. En 2007, hubo dos casos muy publicitados de spam criminal. Esta primavera, Robert Soloway, un vendedor de Internet que vive en Seattle, fue acusado de mandar, en un lapso de 4 años, decenas de millones de e-mails, entre los que, la mayoría promueve servicios de e-mail a granel. Soloway se declaró no culpable.

A principios de este año, Jeffrey Goodin, un phisher de Azusa, California, se convirtió en el primer spammer declarado culpable bajo la ley Can-Spam. Su condena fue de casi seis años.

Spyware o programas espía: Todavía son un peligro

A pesar de que las infecciones de spyware disminuyeron entre nuestros encuestados, el riesgo de tener una es todavía de 1 en 3, y el de tener daños serios en su computadora es de 1 en 11.

Spyware y adware, cuyos sitios descargan programas en su computadora para rastrear su actividad, todavía siguen proliferándose. Esto es debido a que los anunciantes todavía usan distribuidores que instalan software que usa pop-ups en las computadoras de los usuarios, según Ben Edelman, profesor asistente de la Escuela de Negocios de Harvard. En una demanda colectiva en contra de Yahoo, se alega que usa spyware para mostrar sus anuncios. El caso, en parte, está todavía en mediación.

En enero, la fiscalía general del estado de Nueva York llegó a un arreglo con Priceline.com, Travelocity.com y Cingular Wireless por el cual que estos sitios acordaron dejar de usar a los distribuidores de anuncios que instalan adware sin previo aviso adecuado o sin consentimiento del usuario. Los tres sitios habían usado el servicio de Direct Revenue, al que la oficina del fiscal había demandado el año anterior por este tipo de prácticas. (La demanda aún sigue pendiente).

Spyware ya aparece también en algunos enlaces patrocinados de los resultados de buscadores. McAfee, a través del servicio de asesoramiento de sitios para identificar sitios peligrosos, recientemente investigó estos enlaces en los 5 buscadores más importantes. Lo que McAfee encontró fue que estos enlaces lo llevan al doble de sitios peligrosos que los resultados que se obtienen sin pagar. Los riesgos incluían spyware y sitios tramposos que engañan o le ofrecen precios bajos que luego no le cumplen (lo que se llama en inglés: bait-and-switch billing).

Al mismo tiempo, los fabricantes de programas antiespías se arriesgan a demandas por parte de las compañías a las que acusan de usar programas espías. Zango, un distribuidor en línea, acaba de demandar a PC Tools por esa razón aunque los tribunales denegaron la petición de Zango de ponerle una orden restrictiva temporal a PC Tools.

Soluciones. Para poder detectar y quitar los programas espía de su computadora, use un buen programa antiespía,o aún mejor dos programas simultáneos. La FTC ha ejercitado 11 acciones legales en contra de los programas espías en los últimos dos años. También continuaron las demandas por parte de los estados todo el año pasado. La ley I-Spy autorizada la primavera pasada por la Cámara Federal de Representantes, aumentó las multas por las actividades de los programas espías, como el descargar programas perniciosos que no han sido aprobados por el usuario. El Senado aún no ha votado esta ley.

La ley I-Spy aprobada por la Cámara de Representantes en junio, requiere que haya prácticas de autorización y notificación por parte de y para el usuario. También se enfoca en penas civiles.

-Ninguna de las dos leyes va a prosperar- dijo Fred von Lohmann, un abogado de la Electronic Frontier Foundation, un grupo de San Francisco, y añadió que es lo mejor que podría suceder. -Causarían daño al validar prácticas que no son buenas para el consumidor-.

Redes sociales: Niños en peligro

Los sitios donde millones de niños anuncian sus intereses personales y su información de contacto, como MySpace y Facebook, se han vuelto terreno fértil para los depredadores infantiles. Esta primavera, MySpace, el sitio de conexiones más grande que a su vez pertenece al gigante de las comunicaciones News Corp., reveló que miles de depredadores fichados estaban registrados en su servicio. Varios fiscales de distrito a nivel estatal exigieron que se les diera el nombre de estos individuos, citando muchos casos en que a través del sitio de MySpace, los depredadores habían contactado y explotado a un gran número de menores. Todo esto lo dio a conocer Roy Cooper, el fiscal general de North Carolina.

MySpace entregó más de 7,000 nombres y canceló esas cuentas. Pero el peligro no ha desaparecido. En los hogares que encuestamos, el 13 por ciento de los menores registrados en MySpace tenían menos de 14 años, (la edad mínima oficial para inscribirse en este sitio es 14 años) y el 3 por ciento tenían menos de 10 años. Y ésos son sólo el caso de cuando los padres estaban enterados. Hermanshu Nigam, jefe de seguridad de Myspace.com, no disputa estos hallazgos. De hecho, él dice que MySpace corre del sitio aproximadamente a 8,000 usuarios cada semana por dar datos falsos al respecto de su edad. La compañía está tomando otras medidas para mantener a los niños menores de edad fuera del sitio. Esto incluye la oferta de programas de software a partir de este otoño que permita a los padres saber si sus hijos están usando MySpace y dando su nombre, edad, y ubicación. En cuanto a la verificación de la edad, Nigam dice que no hay ninguna forma viable de implementar tecnología que haga esto.

Soluciones. Cómo protege usted a sus hijos depende de su edad y madurez. Las tácticas más populares usadas por los padres que encuestamos eran tener muchas pláticas familiares acerca de los peligros que presentan los depredadores en línea y cómo proteger la información personal, además de mantener la computadora del niño en un área abierta a toda la familia. Otras estrategias importantes que usan los padres encuestados incluyen llevar un récord de los nombres de usuario del niño y sus cuentas, usar controles por parte de los padres que les brinda el proveedor de servicio de Internet, monitorear el correo en línea del niño, y usar programas que bloquean los sitios inapropiados.

Interconexiones sociales en la red

Los sitios de conexión social tienen más riesgo debido a que los depredadores sexuales tienen oportunidad de desarrollar una relación a largo plazo con varios menores al mismo tiempo. -Tienen contacto repetido con el menor por 6 meses- dice la Dra. Sharon Cooper, la directora de la oficina de Desarrollo y Pediatría forense (Developmental and Forensic Pediatrics) en Fort Bragg, N.C. Generalmente se presentan como alguien de 20 años, que es una edad atractiva para los niños menores, según la Dra. Cooper. Hablan con el niño con tanta frecuencia y por períodos tan prolongados que, para cuando le proponen una reunión, los niños nunca ven al predador como un extraño.

-Lo ven como una persona que los entiende aún mejor que sus propios padres- según la Dra. Cooper.

Es vital que los padres estén involucrados en la vida del niño en línea. Sin embargo, como lo muestra nuestra encuesta, muchos son los que han abdicado a esta responsabilidad. Cerca del 20 por ciento de los encuestados con hijos menores de 18 años activos en línea, nos dijeron que nunca habían hablado con sus hijos sobre cómo evitar y defenderse de los acosadores y depredadores cibernéticos. Aproximadamente el mismo porcentaje tampoco había conversado con sus hijos sobre cómo salvaguardar la información personal o lo que es apropiado y se puede escribir en el Internet. La mayoría no monitoreaba lo que sus hijos escribían en línea, ni llevaban un registro de los seudónimos, contraseñas ni la información de las cuentas en línea. Los padres de los niños mayores de 14 años bajaron aún más la guardia al tomar menos precauciones que los padres con hijos menores de esa edad.

Pero, los padres no pueden hacerlo todo solos. Hay agencias policíacas que están empezando a ayudar. Además de perseguir a los culpables de acoso sexual que usan esos sitios violando su libertad condicional o los términos de su libertad bajo palabra, los fiscales de distrito de los estados están tratando de instituir leyes más fuertes para proteger a los niños en línea. En Connectitut, por ejemplo, están considerando una ley que requiere la verificación de la edad de los usuarios de sitios como MySpace, según el fiscal general Richard Blumenthal. Lo mismo está pasando en North Carolina. El senado en ese estado recientemente aprobó una ley que exige verificar la edad y prohíbe a los infractores sexuales fichados usar los sitios para hacer conexiones sociales. -En North Carolina estamos cansados de esperar - nos dijo el fiscal general, Roy Cooper. Al mismo tiempo, han surgido otras iniciativas. La asociación llamada National Association of School Resource Officers, fundada apenas a principios del 2007, promueve la seguridad del Internet en las escuelas. Microsoft colaboró recientemente con la policía montada en Canadá para desarrollar una red mundial que rastree los casos de explotación de niños. El año pasado, un grupo de compañías tecnológicas que incluye a Microsoft, AOL, Yahoo y United Online formaron el Centro de Tecnología para la Protección del Niño, que es una rama del Centro Nacional para Niños Perdidos y Explotados.

Prospectos para tener una red más segura

Existen varias iniciativas para tratar de salvaguardar el Internet. La autentificación del e-mail es una técnica que usan los proveedores de Internet para verificar al autor de un e-mail. Microsoft usa Sender ID, un programa que bloquea 20 millones de mensajes falsificados por día en su servicio de Hotmail. Esta primavera, el grupo especial de trabajo de ingeniería en Internet (Internet Engineering Task Force), que son los que marcan los estándares y protocolos, aprobaron el primer estándar propuesto de autentificación.

A finales del 2006, el Congreso de EE.UU. aprobó la ley de seguridad de la Red (U.S. Safe Web Act) que extiende la autoridad de la FTC para trabajar a nivel internacional y proteger al consumidor. Para poder abarcar su creciente carga de trabajo, la FTC pidió recientemente que se le aumente en 10 por ciento su presupuesto para la protección al consumidor.

También está trabajando en acuerdos con otros países.

Microsoft Windows Vista, que fue lanzado en enero, acabó con muchas oportunidades de hacer trampas en Windows que permitían que aumentaran los riesgos. Conforme más gente use Vista, podremos ver qué tan bien los protege.

A pesar de que estas iniciativas hacen que el Internet sea un lugar más seguro en los años por venir, por ahora mucha de la responsabilidad para protegerse recae en los consumidores.

-Usted necesita ser esa persona que le cuesta demasiado trabajo a los delincuentes- dice William Yurek, un abogado consejero del Departamento de Justicia.

Delincuentes que engañan

Falsos sitios cibernéticos como éstos engañan a millones de usuarios para sacarles su información personal y luego usarla para estafarlos. Las víctimas de este fraude perdieron en promedio $200 por persona en los últimos dos años, según indica nuestra encuesta sobre el Informe del estado de la Red.

En dónde conspiran los delincuentes cibernéticos

El Internet sirve de anfitrión a los chats de sinvergüenzas. Aquí tenemos a varios en un chat en línea que hablan sobre si la Web es una honeypot o trampa preparada por agentes judiciales para atrapar criminales.

DEFRAUDADOR A: -Así que, ¿es seguro este sitio? ¿Debería usarlo?

DEFRAUDADOR B: -El texto que han puesto muestra que la gente que corre ese sitio no sabe de lo que están hablando. Así que es posible que sea bueno... pero también podría ser una imitación... pero no es una trampa honeypot para nada porque normalmente no hacen este tipo de errores tan garrafales.

DEFRAUDADOR C: -Yo no podría decir que [ese sitio Web] es legítimo. De cualquier manera, yo no me metería allí simplemente por el hecho de que [Defraudador E] lo recomienda y porque [Defraudador F] lo está usando.

DEFRAUDADOR D: -El [Defraudador E] no es un agente federal. Es el único que sobrevivió a Firewall [operación del Servicio Secreto], y yo los vi a todos caer, uno por uno.

Source: RSA Security, Inc.

Consumer Reports 2007 Estado de la Red

El riesgo que involucra usar el Internet sigue siendo alto. Nuestro reporte sobre el Estado de la Red evalúa la probabilidad y el impacto de 4 riesgos mayores al estar en línea, que listamos en orden de ocurrencia, y basados en la encuesta hecha por el Centro Nacional de Investigación de Consumer Reports y otra investigación nuestra de seguimiento.

Lo que su disco duro le puede decir a los ladrones de identidad

Mucha gente cree que cuando se deshacen de su computadora vieja, desaparecen para siempre los archivos que habían borrado del disco duro.

No es cierto. Nosotros compramos un puñado de discos duros en eBay y tratamos de recuperar archivos viejos al correr un software sencillo y barato que cualquiera puede obtener y usar.

Esto es lo que encontramos: un documento de impuestos en Microsoft Word que incluía información sobre salario anual; archivos de Quicken llenos de datos sobre ingresos y gastos; el nombre de una cuenta de MySpace y la clave secreta de e-mail en Outlook Express; cartas de amor, fotos y listas de sitios Web favoritos. (Más tarde borramos todos los datos personales de forma permanente).

La mayoría de los discos duros que compramos habían sido descritos por los vendedores como totalmente borrados. De muchos de estos discos pudimos extraer datos fácilmente, en una variedad amplia de formatos comunes.

Éste no es un caso aislado. Simson Garfinkel, que ahora es un investigador de la Universidad de Harvard, ha examinado más de 1,200 discos duros para diferentes proyectos que ha llevado a cabo en MIT y Harvard. Encontró que solamente entre un tercio y la mitad habían sido limpiados apropiadamente. El problema es muy extenso. No hay versión reciente ni de Microsoft Windows ni de Mac OS X que ofrezca una forma rápida y conveniente de borrar de forma eficaz los archivos individuales de un disco duro en su totalidad. Para borrar de forma segura su disco duro con Windows, Microsoft le recomienda que use software de terceros.

Mac OS X tiene una característica que puede borrar permanentemente el contenido de la papelera. Pero es un proceso lento; para borrar 3 GB de datos nos tomó cerca de 9 minutos. Las versiones 10.3 o más nuevas de Mac OS X pueden borrar un disco entero de forma permanente.

Consumers Union, el editor de CONSUMER REPORTS, considera que los consumidores deberían poder borrar archivos y discos duros completos de forma segura y en un período de tiempo razonable, usando el sistema operativo que vino con la computadora. No hay una razón práctica por la que Microsoft y Apple no puedan ofrecer esta capacidad.

Lo que usted puede hacer. Para borrar archivos seleccionados de forma segura en una computadora con Windows, use Eraser (gratis en: www.heidi.ie/eraser). Este programa puede extirpar archivos temporales además de aquellos que usted haya transferido a la papelera, y también puede borrar un disco duro por completo.

Las mejores maneras de mantenerse a salvo en línea

Active las protecciones. Si su sistema operativo o el software tiene firewall o cortafuegos, bloqueador de spam o alguna otra aplicación de seguridad integrada en su computadora, asegúrese de que esté funcionando. El firewall que viene incluido con Windows Vista es adecuado. La Mac One no lo tiene, pero las computadoras Apple generalmente no son el blanco favorito de los piratas cibernéticos o hackers. El firewall llamado ZoneAlarm 7.0 de Windows XP es gratuito. Descárguelo de www.download.com. Procure activar también el filtro para spam y otras protecciones en línea provistas por su ISP o su servicio de e-mail, como son Yahoo, Google o MSN. Para el spam, eso puede resultar suficiente.
Ponga al corriente y renueve. Programe el sistema operativo y el software de protección para que se ponga al día de forma automática. El spam, el spyware y los programas detectores de virus incorporan archivos de 'reglas' o de 'definición' que tienen que ponerse al día con regularidad para detectar los riesgos más nuevos. Si su computadora permanece desconectada del Internet por largos periodos, debería asegurarse de que las actualizaciones son automáticas o hágalas usted manualmente. Y cuando el software le advierta que necesita renovar el servicio, asegúrese de hacerlo para que su protección no caduque.
Actualice su computadora y el navegador. Si está corriendo Windows XP o versiones más antiguas de Windows, considere actualizarlas usando Windows Vista, que es más seguro, lo deja navegar el Internet en un ambiente protegido que previene que las amenazas en línea le dañen el sistema operativo, y tiene también un firewall que puede bloquear la entrada o salida de programas perniciosos. (El firewall de salida necesita mejoras para hacerlo más efectivo). Al menos, actualice con el Internet Explorer 7 o el navegador Firefox 2. Ambos le avisan de sitios falsos conocidos o sitios Web con phishing.
Instale una barra de herramientas con características de protección. No hemos probado de forma sistemática estas herramientas suplementarias en línea, pero creemos que son una buena segunda línea de defensa. La barra de Earthlink (www.earthlink.net/software/free/toolbar), por ejemplo, incorpora un bloqueador de spam y de pop-ups (que son ventanas emergentes que se abren para mostrar un anuncio de manera impertinente) o de programas espías, y que ofrece protección para su página personal. La barra de herramientas antiphishing (toolbar.netcraft.com) lo previene de los sitios conocidos que hacen phishing y puede revelar el sitio de la compañía que lo alberga y hasta el de su dueño registrado. Si usted va a sitios una vez que ha instalado el programa McAfee Site Advisor (www.siteadvisor.com), el programa le permite saber si McAfee lo ha evaluado y, le dice lo que encontró, incluyendo virus, programas espías, spam, pop-ups, phishing y fraudes a los consumidores.

Hasta traslapa los reportes del sitio con resultados de búsqueda del Internet y automáticamente bloquea el acceso a los sitios que explotan las debilidades del navegador.
Apague su computadora. Apagar su computadora cuando deja de usarla por mucho rato (o al menos desconectar el cable del Internet) puede reducir la probabilidad de que una computadora maliciosa a distancia tenga acceso a ella. Y además, usted ahorrará electricidad.
Utilice las computadoras públicas con cautela. Evite usar las computadoras en las librerías, hoteles o aeropuertos para hacer transacciones financieras o negocios personales. Tampoco use su propia computadora en una red inalámbrica, especialmente si no está en una página Web segura o no ha deshabilitado su sistema de conexión con otras computadoras.
Considere comprar una Mac. Aunque los dueños de Mac encaran los mismos problemas con el spam y el phishing que los usuarios de Windows, tienen menos que temer de los virus y los programas espías. Debido a que las computadorasApple son más escasas que las computadoras de Windows, los delincuentes cibernéticos tienen menos incentivos para concentrarse en las computadoras Mac.
Fíjese en lo que descarga. Hay miles de programas gratuitos, juegos y otro tipo de software en el Internet que puede ser útil, pero muchos están plagados de virus y spyware. Trate de descargar solamente de fabricantes bien conocidos y sitios de confianza como los de www.download.com, www.snapfiles.com, y www.tucows.com.
Considere un paquete o suite. Para obtener protección amplia de forma simple, seleccione una suite de seguridad. Tenga en cuenta que tal vez esté pagando extra por duplicar algunos componentes que ya existen en su computadora o que están a su alcance de forma gratuita. Le recomendamos que tenga al menos un giga bite de memoria para prevenir que este programa haga más lenta a su computadora.
Corra un software antivirus. Realmente funciona y es algo que sí necesita. Esto es cierto aun si tiene una Mac. Aunque los usuarios de Mac tienen mucho menos de qué preocuparse cuando se trata de un virus o spyware, no significa sin embargo que sean inmunes. Y un programa antivirus va a prevenir que se transfieran archivos llenos de virus de las Mac a las PC.
Corra dos programas antiespías. El spyware es tan insidioso y a veces tan difícil de detectar que amerita doble protección. Ponga al mejor de los dos programas a bloquear el spyware en tiempo real. Use el otro para detectar cuando sospeche que algo se le pudo escapar al primer programa.
Use direcciones de e-mail desechables para frustrar los planes de los spammers. Si el spam o correo basura es un problema, considere usar direcciones desechables para diferentes propósitos. Por ejemplo, use "sanchezcompra08" para comprar en línea. Si esa dirección empieza a recibir mucho spam, abandónela o cámbiela. Muchos proveedores de Internet le dan direcciones de e-mail extras que usted puede cambiar a su antojo. Por comodidad, configure su programa de e-mail para que pueda revisar todas sus direcciones simultáneamente. O ponga cuentas desechables en un servicio gratuito de e-mail como Google o Yahoo. Una advertencia: Conserve su dirección primaria de e-mail que obtuvo de su proveedor de Internet, porque ésa no la puede cambiar sin perder su cuenta completa.
Use una tarjeta de crédito. Las tarjetas de crédito le ofrecen mejor protección que otras opciones de pago cuando compra en línea. Aún mejor, algunos emisores de tarjetas le permiten generar números de cuenta virtuales que son válidos para una sola compra con un límite fijo. Use esos números y no tendrá que darles a los vendedores su número permanente de tarjeta.
No asuma que un sitio certificado es seguro. Aunque es vital tener una conexión segura cuando manda información personal en línea (indicado por "https" antes de la dirección Web y un ícono en forma de candado en su navegador), no hay garantía de que el sitio Web sea de confianza. De igual forma, los símbolos de certificación del Better Business Bureau, TRUSTe y otras organizaciones similares, le dan cierta seguridad (asumiendo que están siendo usados con autorización). Pero, no son sustitutos de que usted lea la letra menuda con cuidado y de investigar el sitio hablando con amigos y revisando las opiniones de otros en línea antes de entregar su tarjeta de crédito o alguna otra información.
Salvaguarde su información personal. Nunca responda al e-mail en que le piden su contraseña, nombre de usuario, número del seguro social o cualquier otra información personal, sin importar que tan oficial se vea el correo. Si le piden que llame a un número de teléfono, verifíquelo de forma independiente.
Evite usar hiperenlaces en el e-mail. Un hiperenlace puede mostrar una dirección pero luego llevarlo a otra. Antes de hacer clic en el enlace de una página Web, con su cursor revise el URL y vea si la dirección que aparece en el fondo del navegador se parece a la página o sitio al que usted quiere acceder. Cuando llegue al sitio, verifique que el URL mostrado en la barra de dirección de su explorador es el correcto. Ponga atención a la parte del URL entre "http://" (o https://) y la siguiente barra oblicua. Esté atento a los trucos como el uso del cero donde debía estar la letra O. Verifique la dirección y cópiela en su navegador. O use su marcador favorito que ya tiene guardado en el navegador.
Teclee la información con mucho cuidado. Hay embaucadores que han creado imitaciones de sitios populares usando errores comunes de tecleado en los URL.
Reporte el phishing. Si recibe un e-mail de phishing, reenvíelo al grupo Anti-Phishing Working Group ( reportphishing@antiphishing.org), a la Comisión Federal de Comercio ( spam@uce.gov), y a la compañía u organización por la que se está haciendo pasar. También puede presentar una queja formal al Centro de Quejas de delitos de Internet del FBI (Internet Crime Complaint Center en www.ic3.gov. Si su barra de herramientas antiphishing no reconoce un sitio Web como fraudulento, reporte el sitio al proveedor de la barra de herramientas.
Revise sus cuentas con regularidad. Revise sus estados de cuenta de tarjetas de crédito y del banco tan pronto como los reciba. Reporte cargos o retiros sospechosos inmediatamente.