El Grupo de Delitos Telemáticos de la Guardia Civil (GDT) lo componen 18 personas y la Brigada de Investigación Tecnológica de la Policía Nacional, 23. En ambos casos, su equipo informático es convencional y, pese a lo que pueda pensarse, pasan más tiempo en la calle que frente al ordenador.
Tanto la Guardia Civil como la Policía Nacional coinciden en que el delito más denunciado es el de la pornografía infantil. Reciben unos 500 avisos semanales, aunque sólo el 10% tiene una base real. En el caso de los recientemente detenidos, la operación fue sencilla. Ellos mismos se pusieron la soga al cuello al pagar el acceso a páginas web de Florida y Bielorrusia con sus tarjetas de crédito. La policía estadounidense logró la base de datos de clientes y envió los nombres a la española.
"Pero ahora, la forma más habitual de conseguir pornografía infantil es mediante programas P2P como el Emule", dice el Comandante Juan Salom, del GDT. Aunque la Guardia Civil cuenta con un buscador diseñado específicamente para hallar archivos en estas redes, la denuncia ciudadana les permite seguir buenas pistas.
En una ocasión, les llamó un joven que creía haberse bajado del emule la última versión del programa Windows XP. Al abrirlo, comprobó que se trataba de una película pornográfica protagonizada por niños. "Tras avisarnos nos pusimos a trabajar", añade Salom.
Una de las claves del funcionamiento de programas como Emule es el hash, un código que identifica de forma inequívoca cada foto, canción o película. Gracias al hash, de nada sirve cambiarle el nombre o la extensión a un filme de pornografía infantil.
Con ese identificador, la Guardia Civil analiza quién está difundiendo el material. Conseguida la IP hay que obtener la dirección física del ordenador y, por último, saber quién lo usa. En este punto es donde interviene el juez para autorizar un registro. "El trabajo ante el PC es la parte más pequeña de nuestro trabajo. Salimos a la calle continuamente, hacemos seguimientos, pinchazos telefónicos, interceptación de correos...", explica el comandante Salom.
ESTAFADOS. Aunque la pederastia crea mayor alarma social, el delito que más trabajo da a las fuerzas de seguridad son las estafas, en especial en la banca electrónica, conocidas como phising. No hay cifras oficiales, sólo los bancos las tienen y no quieren hacerlas públicas, pero según José Vicente Rubio, inspector jefe de la BIT, las denuncias se multiplicaron por 10 en 2005. Un directivo de una entidad financiera reconoce que en cada oleada de phising, "al menos una o dos personas pican". Sin poder decir sus nombres ni revelar de qué banco eran clientes, Ariadna ha conocido tres casos de personas estafadas que ejemplifican el modus operandi de los estafadores.
Un joven levantino que estudia en el extranjero, un madrileño de mediana edad y un señor mallorquín a punto de jubilarse, clientes de diferentes entidades, perdieron en conjunto 36.000 euros. En los tres casos, recibieron un correo enviado supuestamente por su banco. En realidad, era una trampa. Al pinchar en el enlace que se le pedía en la misiva, no iban hasta la web de su entidad sino a una idéntica. Al introducir sus datos, estaban franqueando el paso de los estafadores hasta sus cuentas.
"Unas veces denuncia el banco, otras el propio cliente", comenta el inspector Rubio. Lo primero que hace la policía es pedir los datos de las operaciones bancarias del engañado. "Hay que llegar hasta el receptor del dinero". En un caso, se perdió la pista en Rusia. En los otros dos, se llegó a dos intermediaros españoles. Es lo que se conoce en el argot como mulas o muleros. "Aunque algunos phiser tienen cuentas propias, la tendencia es usar a los muleros", añade el inspector. Los hay españoles e inmigrantes que, a cambio de un porcentaje —generalmente el 10%— reciben el dinero del estafado y lo reenvían a través de empresas como Western Union fuera de España. La mayoría de las veces un segundo mulero saca el dinero y lo entrega al mafioso. "Aquí se pierde la pista. Rara vez cae la cúpula", lamenta el inspector.
--------------------------------------------------------
GUERRA TECNOLÓGICA CONTRA EL PHISINGM. Á. C.
Los ataques contra la banca son cada vez más sofisticados. Al phising se le une la proliferación de troyanos específicos para lograr datos bancarios
No se puede garantizar la seguridad al 100%”, confiesa un directivo de una entidad financiera. “Ésta es una carrera de fondo entre ellos y nosotros”.
A día de hoy, todos los estafados por phising han recuperado su dinero. Aunque en el caso de la banca en línea no hay seguros como en caso de robo de la tarjeta de crédito, los bancos prefieren hacerse cargo de las pérdidas más por cuestión de imagen que por la cantidad de lo robado. Sin embargo, las entidades han convertido la lucha contra el phising en una de sus prioridades. No les queda otra.
“Los ataques son ahora más sofisticados”. Junto al phising tradicional con una web falsa, empiezan a destacar los troyanos especializados en banca. Estos virus se instalan en el PC y sólo recogen datos bancarios. Si en 2003 había una veintena, a finales de 2005 eran más de 2.000. PWSteal.Bancos.T, uno de los más dañinos, contiene una lista con las web de 2.764 bancos.
Monitorizar la Red para evitar los ataques antes de que se produzcan es una de las medidas preventivas que usan las entidades. Controlan los servidores de correo para detectar envíos masivos de spam que contengan palabras clave como nombres de bancos. También ponen cebos: responden a correos dando alguna clave válida para coger al phiser.
En el frente tecnológico, aunque todos los bancos están empeñados en mejorar su seguridad, lo más novedoso son las claves por coordenadas de Bankinter o la geolocalización. Caja Madrid, por ejemplo, quiere asociar 10 máquinas a la cuenta. De esta manera, si alguien intenta acceder desde un equipo no habitual, el sistema bloquea la operación y pide datos adicionales. Pero su apuesta es combinar lo físico con lo virtual. Estudian un sistema de doble clave. La que sabes con la que tienes que bien podría ser una tarjeta o el e-DNI.
--------------------------------------------------------
SEGURIDAD.
CONSEJOS (IMPERFECTOS) PARA EVITAR SER ESTAFADO.
Quédese con esta frase, “comparativamente, hay más fraude con las tarjetas de crédito que en Internet”. No la dice un banquero, la dice el jefe de la policía tecnológica. Con todo, las estafas existen. Aquí tiene una lista de consejos para aprovechar las ventajas que tiene operar con su banco desde casa. Si las cumple todas, estará protegido al 99%. Si no, usted puede ser la siguiente víctima.
1. CLAVES, A NADIE. Nunca revele sus claves. Los bancos jamás piden estos datos por correo electrónico. También es recomendable no recurrir a claves sencillas y cambiarlas de forma periódica.
2. HTTPS Y CANDADO. Al entrar en la web de su banco, compruebe que la dirección empieza por HTTPS y observe que aparece un candado en la parte inferior de la ventana. Esta letra S le dice que las comunicaciones con su banco serán cifradas. Si pincha en el candado podrá comprobar el certificado de seguridad. Desgraciadamente ya hay troyanos y sistemas para burlar ambas medidas.
3. ANTIVIRUS AL DÍA. No siempre el engaño se inicia con un correo sospechoso. A veces, el mal ya está dentro del PC en forma de troyano. Algunos roban sus datos bancarios. Un buen antivirus actualizado se hace imprescindible.
4. DIRECCIÓN A MANO. Es una de las medidas en la que más insisten los bancos. Nunca pinche en un enlace para ir a su banco, escriba la dirección en el navegador. Aunque en casi todos los casos funciona, algunos de los troyanos más recientes alteran el sistema de host. Esto significa que al escribir la dirección, el troyano la enlaza con una dirección IP falsa y nos llevará a una página idéntica a la de nuestro banco pero igual de falsa.
5. DESDE CASA. Aunque marginal, también existe el riesgo de que le roben sus datos al usar un ordenador de uso público. En cibercafés y bibliotecas, limítese a chatear, nada de comprar o consultar el saldo de su cuenta bancaria.
