Tecnologia

Arnaldo Coro Antich

Ciberataques: de la teoría a la práctica diaria

Hay que proteger mucho mas la información almacenada en los sitios accesibles a través de Internet

15-02-2011

Durante cuatro meses los cibercriminales extrajeron datos del sitio Web mediante el cual una firma de cosméticos realizaba ventas por Internet. La noticia no tomó de sorpresa a los expertos que vienen pronosticando desde hace ya bastante tiempo lo que iba a pasar.

No se trata de disquisiciones teóricas acerca de la vulnerabilidad de las redes informáticas, sino de toda una serie de muy bien fundamentadas advertencias acerca de la imperiosa necesidad de reforzar las medidas de seguridad , y mantener un constante monitoreo sobre las técnicas de ciberataques más recientes.

Titulares que surcan la Internet a fines de Enero, ejemplifican el más reciente caso, documentando en detalles lo ocurrido al sitio de ventas
en línea propiedad de la empresa de cosméticos Lush.

Debido a la presencia de los llamados agujeros de seguridad, los delincuentes, dotados de alta tecnología y profundos conocimientos acerca de la operación de las denominadas ¨Tiendas en Línea¨, fueron obteniendo a lo largo de cuatro meses los códigos correspondientes a tarjetas de crédito y cuentas bancarias de los clientes que acudían al sitio de Lush,  ignorantes del altísimo riesgo que estaban corriendo al realizar transacciones inseguras.

Ahora, en las red social Facebook, asi como en los breves mensajes
de Twitter, los perjudicados ventilan a todo vapor su discomformidad con lo sucedido, asi como amenazan con demandar a la firma Lush por haberse guardado para sí la información  de las fallas de seguridad durante varios meses.

El dia 21 de Enero, la tienda virtual de Lush fue cerrada, apareciendo en la dirección URL de la misma un lacónico mensaje en el que se
revelaba que el sitio había sufrido toda una serie de ataques por parte de cibercriminales, ¨hackers¨, que fraudulentamente lograron obtener los datos de tarjetas de crédito y cuentas bancarias de clientes de Lush, quienes ignorantes de esa vulnerabilidad enviaron via Internet los códigos de sus instrumentos de crédito.

La firma Lush sustituyó la página inicial de la tienda virtual víctima del ataque cibernético por una de tipo estático, en la cual no se pueden ejecutar transacciones.

Una declaración emitida por Lush Cosmetics indicaba lo siguiente:
¨ Para poder tener una completa paz mental, nosotros quisiéramos que todos los clientes que formularon órdenes de compra en línea con nosotros entre los dias 4 de Octubre, y hoy 20 de Enero de 2011, contactaran con sus bancos para que les aconsejasen ya que los detalles de sus tarjetas de crédito han quedado comprometidos .

Correspondió al periódico The Guardian y a la BBC el dar a conocer la noticia sobre los exitosos ciberataques, que han proporcionado ya a sus perpetradores con la posibilidad de realizar cuantiosas compran, paradógicamente , tambien via Internet en línea , utilizando los datos de las tarjetas de crédito y cuentas bancarias obtenidos mediante el muy bien ejecutado conjunto de ataques.

Para los expertos en seguridad informática, el tema de las tiendas en línea sigue siendo un objeto primario de estudio, pues la competencia entre la implementación de medidas de aseguramiento de la seguridad de las transacciones se enfrenta a diario con el reto lanzado por cibercriminales cada vez mejor preparados desde el punto de vista del manejo de herramientas informáticas.

Algunos especialistas que han seguido el caso se preguntan desde cuando fue que la compañia de cosméticos Lush detectó que su sitio estaba siendo penetrado para copiar los datos bancarios y de tarjetas de crédito de los clientes.

Y por supuesto que nadie hasta ahora ha podido explicarse el por qué estos datos, residentes en los servidores de ficheros de LUSH, no estaban codificados, ni siquiera de la forma mas elemental.

De haberse codificado esa información utilizando herramientas informáticas mas que conocidas, la firma Lush no se vería, como se esta viendo hoy, recibiendo demanda tras demanda por daños y perjuicios formuladas por clientes víctimas del gigantesco fraude.

Un mensaje puesto en la red Twitter dice : ¿Si Lush sabía que existía la acción criminal desde la Navidad, por qué no compartió la información ?

Hasta ahora los ¨hackers¨ autores del exitoso ciberataque no han salido a la luz, pero si hay evidencias del empleo fraudulento de gran número de tarjetas de crédito cuyos códigos se obtuvieron en el sitio WWW de Lush Cosmetics.

Epilogo

Aunque el impacto ecónomico del caso Lush no es de grandes proporiciones, si ha servido para poner nuevamente en la palestra pública los serios problemas de vulnerabilidad que presentan un gran número de sitios en la red de redes Internet, asi como en Intranets de gobiernos y empresas de las cuales se pueden extraer con asombrosa facilidad datos e informaciones cuyo impacto al divulgarse es muchísimo mayor.

Fuente: ()