SEGURIDAD EN LA RED
La fiscalía guipuzcoana alerta de la proliferación de webs que vulneran la protección de datos


El ataque de un grupo de ‘hackers’ a una compañía de contactos extramatrimoniales pone al descubierto las infidelidades de los guipuzcoanos

¿Es seguro facilitar los datos personales a los sitios webs? “El problema que nos estamos encontrando en la nube es que ofrecemos mucha información personal a empresas que no saben gestionarla”. El escándalo del sitio web Ashley Madison, que busca pareja a personas casadas que quieran tener una relación extramatrimonial, no ha cogido por sorpresa al fiscal Jorge Bermúdez, experto en delitos informáticos y habituado a perseguir este tipo de ciberataques. “En este caso, la finalidad es desconocida. Los hackers son tremendamente vanidosos y puede haber sido por pura chulería, o responder a algún tipo de venganza empresarial”, aventura.

Los piratas informáticos actuaron en julio, y las direcciones electrónicas y números de teléfonos de los clientes han sido colgados en Internet esta semana por el grupo Impact Team. Conocer más detalles sobre los usuarios era cuestión de tiempo, y la empresa española Tecnilógica se ha encargado de hacerlo, elaborando un mapa que localiza geográficamente a los usuarios “cazados” por los piratas informáticos. Según el volcado de información, casi 10.000 clientes guipuzcoanos se habrían registrado en la web, principalmente desde municipios como Donostia, Irun, Eibar y Tolosa. En el Estado, Madrid es la ciudad con más usuarios. En concreto, 135.294, seguida de Barcelona (68.513); Valladolid (9.239) y Salamanca, con 7.844 usuarios.

Estos ataques informáticos no son ninguna excepción en Gipuzkoa, si bien con otros objetivos, porque no existen páginas de contactos cuya sede central radique en el País Vasco. Operan, eso sí, varias empresas muy sólidas que se dedican al alojamiento de páginas web. Y cabe destacar una curiosidad al respecto. El cable principal que une Gipuzkoa con Francia discurre por la AP-8, de ahí que no sea ninguna casualidad que el Parque Empresarial Zuatzu esté ubicado junto a la autopista, accediendo de este modo al mayor ancho de banda posible de la manera más rápida.

Información que va y viene, y que no siempre cae en las mejores manos. El fiscal donostiarra sabe que es poco menos que predicar en el desierto, pero recomienda a los usuarios que lean siempre las normas de empleo antes de ofrecer sus datos a cualquier web. “Es difícil que cale el mensaje en una cultura tan dada a aceptar sin reflexionar un segundo las condiciones”, sostiene. Y si a esa falta de conciencia se unen los constantes ataques de delincuentes, el resultado es el que puede visualizarse en su despacho, donde llegan muchos casos en los que suele quedar patente la vulnerabilidad de los clientes.

Recuerda en ese sentido una empresa guipuzcoana que ofrecía en su servidor un portal de búsqueda de empleo. “Detectaron que desde el exterior alguien había conseguido entrar en el sistema como si fuera el administrador. Mediante una técnica que se llama escalar privilegios, pudo ir trepando hasta alcanzar la categoría de administrador”, detalla el experto.

El hombre controlaba toda la máquina, y no tardó en realizar la descarga de los datos personales de los demandantes de empleo. “Comenzó a llevarse toda la información mientras que el técnico de la empresa se veía impotente. El delincuente tenía más privilegios que él”. Como última opción, recuerda, a la empresa no le quedó más remedio que tirar del cable de la luz y de la conexión para que cesara el robo de datos.

MULAS El caso fue puesto en conocimiento de la Ertzaintza, y acabó llegando a la mesa del fiscal donostiarra. Los agentes pudieron comprobar que las direcciones desde las que se había ejecutado el ataque se localizaban en México. La Ertzaintza pensaba que la pista se perdería ahí, pero los agentes se pusieron en contacto con la Policía federal mexicana, que aseguró que se trataba de una banda de hackers venezolanos. Decían tener una buena pista para darles caza. “Al final el caso se complicó y nunca les pudimos encontrar. Lo que estuvo clarísimo desde un principio fue el objetivo de esos delincuentes. Querían una base de datos de demandantes de empleo para disponer de una lista de posibles mulas en estafas de phishing”, sostiene el fiscal. Con este nombre se conoce la modalidad delictiva en la que se obtiene del usuario sus datos, claves, cuentas bancarias o números de tarjeta de crédito. Se le engaña “suplantando la imagen de una empresa o entidad pública”, haciendo creer a la posible víctima que realmente los datos solicitados proceden de un sitio oficial, cuando no es así. “La gente que está desesperada, que está buscando empleo, es gente que puede prestarse a participar en este tipo de estafas, en las que los datos de la víctima siempre son usados de forma fraudulenta”.

Ocurrió hace unos días en Albacete, con la detención de un hombre de 47 años que ejercía de mulero para una organización criminal de ámbito internacional. Tal y como apunta el fiscal donostiarra, el modus operandi siempre es el mismo. El detenido fue captado a través de una campaña masiva de publicidad en Internet, donde una multinacional, ubicada en el extranjero y dedicada a la logística, ofrecía puestos de trabajo como agente de atención al cliente. La falsa multinacional aseguraba una oportunidad de empleo, contrato indefinido y un salario fijo de 1.500 euros más comisiones. Producido el engaño, la víctima cedió a los estafadores los 20 dígitos de su cuenta bancaria personal donde depositar el dinero sustraído dolosamente. El detenido cobró una comisión de la cantidad estafada (2.990 euros) como intermediario de la operación. El dinero sustraído se depositó en su cuenta, y tras detraer la comisión acordada el resto lo mandó a Ucrania mediante una empresa de envío de dinero. “Una persona que tiene un trabajo y unos ingresos estables sospecha, pero si no tienes dinero ese tipo de dudas las dejas pasar por alto. La desesperación es la que impulsa a participar a la gente en este tipo de estafas”, sostiene el fiscal.

LOS DATOS DE STREET VIEW La Fiscalía de Gipuzkoa también tuvo que abrir diligencias, en coordinación con el Cuerpo Nacional de Policía, para determinar si la empresa Google infringió el Código Penal durante la toma de datos en espacios públicos. Ocurrió hace cinco años, con el uso de coches equipados con cámaras multidireccionales y tecnología wifi para su servicio de Internet Street View. Pronto se levantaron las sospechas. “Tuvimos que abrir una investigación porque esos coches se llevaban datos de todos los lugares por los que pasaban. A modo de ejemplo, la red wifi de La Concha estaba por entonces sin cifrar, y a cualquiera que en estos momentos estuviera conectado le podían sustraer información. Cuando la agencia de protección de datos reclamó a Google el contenido de la información que se habían llevado, había de todo: visitas de particulares a páginas web, contraseñas, correos electrónicos, fotografías a medio descargar... fue un escándalo, y lo peor de todo es que fue también una chapuza. Según nos explicaron, el coche utilizaba un programa gratuito que habían descargado para hacer las funciones de la recogida de datos. Pues bien, ese programa, en vez de identificar los routers y marcarlos, cogía datos de contenido. ¿Qué alegaron? Que se les olvidó desconectar esa función. Resulta sorprendente que cosas así puedan ocurrir con la empresa más grande del mundo. Te llegas a preguntar en qué manos estamos”, se plantea.

El escándalo de Hacking Team también ha suscitado un hondo interés. Bajo este nombre operaba un grupo italiano al que recurrían Gobierno y agencias de todo el mundo para usar herramientas de espionaje contra ciudadanos, empresas y cualquier tiempo de entidad. Según explica el fiscal donostiarra, “vendían programas espías para poder entrar dentro de tu ordenador, del móvil, y estaban en contacto con agentes de espionaje y de seguridad de todo el mundo. Lo más sorprendente es que tenían trato con el CNI en España, e incluso con la Policía Nacional y la Guardia Civil



 

Leer noticia completa