jueves, 4 de febrero de 2010

Un fraude de 5.000 millones de euros por cuotas de CO₂ mediante phishing

El phishing es una amenaza de esas ya cotidianas. Todos los días nos llegan al correo electrónico interesantes ofertas de trabajo de empresas extranjeras buscando empleados, avisos críticos de seguridad para que cambiemos contraseñas, ofertas increíbles de productos carísimos a bajo precio. Muchos chollos a modo de anzuelo en los que puede ser tentador picar.

Sin embargo se empieza a detectar que cada vez los grandes pescadores están afinando sus anzuelos y sobre todo, mejores cebos. Las Webs falsas son casi idénticas a las reales, los mensajes de spam previos con el gancho son muy significativos al receptor y en algún caso, no genera ningún tipo de sospecha, pero lo más preocupante de todo, ya no están suplantando a empresas con las que no tenemos relación y a Bancos de los que no somos clientes. Están haciéndose pasar por los servicios Webs que más utilizamos y están enviando mensajes muy creíbles logrando así que un usuario medio algo concienciado también caiga en sus redes. Valga como ejemplo el phishing sufrido en la Universidad Politécnica de Valencia para engañar a los usuarios de Webmail.

La historia de inseguridad de hoy es de las gordas. Una estafa en toda regla de esas que pueden protagonizar una próxima versión de Ocean Eleven pero en versión tecnológica. Quizás porque el trabajo de estos dos últimos años está centrado en aplicar seguridad de la información en Administraciones Públicas atendiendo a requisitos europeos vinculados a los sistemas de información que gestionan ayudas de la Unión Europea, entiendo mejor el riesgo que ahora surge con la tramitación automatizada. Europa también lo sabe y es por ello que exige el cumplimiento de unas estrictas medidas de seguridad, aunque ya sabemos que cada país entiende "estricto" de una manera diferente.

Por centrar al lector antes del caso, voy a explicar mi experiencia en el análisis del proceso de gestión de ayudas. Creo que en general, podemos distinguir cuatro fases bien diferenciadas:

  • Solicitud del beneficiario: el solicitante proporciona una información que sirve para justificar la petición de la ayuda en base a la normativa y reglamentos establecidos que arbitran el proceso de concesión de la misma. Estos datos, pueden ser ciertos o no y deben revisarse durante el proceso de tramitación para poder saber si la ayuda debe o no otorgarse. Esta fase está fuera de control del Organismo y simplemente se procede a recoger y registrar la entrada de solicitudes al mismo.

  • Tramitación administrativa: una vez los datos entran a la Entidad, empieza el duro trabajo de verificar que dicho solicitante satisface los requisitos establecidos en reglamentos y normativas para otorgar esa ayuda. Estas ayudas están muy reglamentadas y los protocolos de verificación e inspección son muy detallados y en algún caso complejos. Es la parte más tediosa y extensa del trámite y en ella se realizan todas las verificaciones, inspecciones y actividades necesarias para garantizar la veracidad de los datos aportados. Es también en donde el Organismo puede desplazarse a auditar o inspeccionar al solicitante. En muchos casos, la ayuda se otorga en base a lo que se denominan "derechos de la ayuda" que son un criterio para repartir una cuantía en base a cuotas que se intentan establecer de la manera más adecuada posible. Ademas, estos derechos otorgados se pueden comercializar. Ocurre por ejemplo con las cuotas lácteas. A un productor se le asigna una cantidad de producción y ese puede decidir si obtenerla o ceder los derechos a otro. Es una manera de establecer una cuantía de subvención en base a unos derechos definidos que luego los beneficiarios pueden gestionar entre ellos. Esta fase de tramitación normalmente acaba o bien con la denegación de la ayuda, o bien con el archivo por no poder completar el trámite administrativo o bien con la propuesta de pago, el importe que corresponde al beneficiario.

  • Proceso de pago: Esta es la fase propiamente de gestión económica para hacer que los fondos lleguen al beneficiario.
    Una vez que el trámite administrativo termina y ya se conoce la cuantía a pagar, toca hacer llegar el dinero al beneficiario. Esta fase, antes de proceder al pago real, pasa a la siguiente de fiscalización que hace de control interno independiente del organismo para velar que no hay irregularidades. Una vez que acaba la fiscalización, es también en esta fase donde la Organización proporciona a las entidades bancarias las correspondientes ordenes de pago a las cuentas de los diferentes beneficiarios.Es quizás una de las partes más delicadas porque es donde se mueve la pasta.

  • Fiscalización de cuentas: Una vez que los pagos se han autorizado, toca hacer las operaciones contables de fiscalizar el dinero para poder justificar convenientemente la gestión y cuadrar las cuentas. Esta fase es muy auditada por los propios órganos de control internos y externos dado que es donde las cosas podrían no cuadrar y el primer indicio del fraude.


Con esta breve (y espero que acertada) introducción al proceso de gestión de ayudas, voy ahora a contar la noticia que no es reciente pero ahora se comenta en los foros de seguridad y que ya la había enlazado vía Twitter. Las fuentes que he consultado son Mcafee y www.thegwpf.org y todo queda confirmado por la propia Web de Europol.

A continuación extracto lo que se cuenta en ambas webs:
En las últimas semanas, varios ataques de la delincuencia informática han alterado los sistemas informáticos que permiten a los países gestionar sus cuotas nacionales en relación a la emisión de gases de CO₂ de acuerdo a convenios internacionales (el Protocolo de Kioto y el sistema europeo). Se basa en la gestión de derechos y su adquisición permite poder emitir el equivalente de una tonelada de dióxido de carbono durante un período determinado.



El ataque inicial fue dirigido contra el registro danés de derechos de CO₂ que se cerró el 12 de enero. Las autoridades danesas tomaron esta decisión después de los usuarios del registro hubieran recibido un correo electrónico falso (spam previo y primera fase del ataque) que supuestamente procedía de la Agencia Danesa de Energía y que tras pulsar eran redirigidos hacia un sitio Web fraudulento(phishing) pero idéntico donde poder robarles sus credenciales.

Al parecer, los delincuentes informáticos, tras su éxito inicial, lo volvieron a intentar la semana pasada mediante el envío de mensajes de correo electrónico similares a los registros de CO₂ en otros 13 países europeos. Aquí, también, el objetivo era el robo de nombres de usuario y contraseñas para tener acceso a los derechos de CO ₂ sistemas de gestión. Esto causó de forma generalizada el cierre de los registros de derechos.

Utilizando estas credenciales, los delincuentes informáticos han podido durante meses comercializar estos derechos. Durante los últimos 18 meses, el fraude en el mercado de emisiones de CO ₂ ha causado una pérdida fiscal de 5 mil millones de euros. Dicho acceso también sería útil para los mayores emisores de dióxido de carbono, los países podían manipular los contingentes internacionales para reducir sus penas. El siguiente diagrama de Europol (European Law Enforcement Agency), explica cómo se diseño el fraude.



Una cosa es segura, la gente detrás de estos ataques no son simples piratas. Es una mafia bien organizada, de carácter internacional que opera como los más potentes cárteles de la droga pero de una manera mas silenciosa aunque con un impacto económico similar o mayor incluso.


Estos hechos y otros similares que no transcienden son un aviso a todos aquellos organismos y Administraciones Públicas que gestionan grandes cantidades de dinero en subvenciones y ayudas que pueden ser un objetivo de los amigos del fraude. Y más cuando nos encontramos en un proceso de digitalización de la Administración para pasar a la gestión electrónica del expediente. El recién aprobado Esquema Nacional de Seguridad puede ser un potente mecanismo para evitar este tipo de incidentes pero también soy consciente que un reglamento sin sanción y sin un órgano auditor o inspector que motive de alguna forma a implantar el Esquema, no va a ser algo prioritario en muchas de las Administraciones que deberían empezar a aplicarlo.

En la tramitación en soporte papel, el fraude requiere de falsificación de documentos, expedientes y no puede hacerse de forma fácil y pasar desapercibida de forma muy prolongada en el tiempo. Sin embargo, modificar entradas en una base de datos puede ser algo mucho más indetectable y suculento para los amigos de lo ajeno. Además, por desgracia, una vez que el trámite administrativo finalizada ya nadie desconfía de la información que se encuentra en el sistema de información. En realidad, no debería de hacerlo pero es necesario que existan controles para garantizar exactamente eso, que no hay alteraciones o modificaciones sobre la integridad de la información. Es por tanto necesario tomar conciencia de la importancia de esos datos, calificarlos como activos porque una base de datos no es simplemente información, son datos que significan cosas y en base a los que se van a tomar decisiones y realizar procesos. Por tanto, debemos tener las medidas suficientes para tener la certeza de que no ocurre ni ocurrirá nada raro. Este caso de fraude en base a la alteración de bases de datos de derechos no ha sido el único y posiblemente no será el último. Pero si muestra cómo los amigos del fraude han encontrado un punto vulnerable que explotar y por tanto, debe servir de aviso para los responsables de estos sistemas de información. El enemigo ya avisa sobre qué frentes quiere atacar. Sólo hay que tomar buena nota y robustecer las defensas.

El otro hecho significativo es la importancia de medidas que lleven a detectar anomalías. La propia noticia informa que han tardado 18 meses en percibir el asunto, y a mayor tiempo en detectar un incidente, mayor impacto. La cuantía del fraude tiene unas proporciones demasiado elevadas y deberían existir medidas de seguridad proporcionales al valor del bien a proteger. La ausencia de medidas de detección ha permitido a esta gente campar a sus anchas durante demasiado tiempo.

Debemos ser conscientes de cómo el mundo está cambiando y todo el que se conecta a Internet, no sólo se conecta con los ciudadano que quiere atender, se conecta a un abismo de usuarios, de los buenos, y de los malos. Todo organismo puede ser objetivo de atacantes, cualquiera que gestione grandes cantidades de dinero es un buen botín y si encima no toma las medidas de protección adecuadas, es la víctima más vulnerable, la víctima más facil, la que un depredador seguro que seleccionará. La piratería informática no afecta solamente a empresas. Los hechos empiezan a demostrarlo aunque no es habitual que estas noticias salgan a la luz. Sólo hay un objetivo y es ganar dinero de la manera más fácil, indetectable y rápida que sea posible. ¿Imaginas algo más cómodo que el sofá de tu habitación delante de tu ordenador?

2 comentarios:

Daryl dijo...

Hay una cosa que se me escapa. Imagino que tendria que debia haber habido una filtración o un fallo previo ya que el phising estaba muy bien dirigido. ¿Como identificaron a los usuarios del registro danes? ¿son datos públicos? ¿hubo filtración?.
Otra cosa, 5 billones en el titulo, 5 millones en el texto...Mejor lo dejamos en 5.000 millones de euros ya que los "billion" de los que habla Europol serán 1.000 millones y no los billones españoles.

Javier Cao Avellaneda dijo...

Me parecen bien tus correcciones y he procedido a actualizar el texto. Vamos a dejarlo en 5.000 millones que no son tampoco ninguna broma.

 
;