El timo bancario a través de internet no se parece en nada hoy a lo que era hace unos años. El phishing , aquellos correos electrónicos en que los ciberdelincuentes simulaban ser la entidad bancaria del usuario al que pedían los datos y la contraseña para luego quitarle dinero, han pasado a la historia. Conscientes de que ese método ya es conocido por la mayoría de los internautas, que no pican, las cibermafias han dado un salto en la sofisticación de sus estrategias y herramientas. Ahora, sus ingenieros usan virus que, sin que el usuario se dé cuenta, logran introducirse en el ordenador de la víctima, quedarse durmientes y activarse solo cuando el usuario se conecta a la web de su banco. Entonces, le robarán la contraseña y la reenviarán a la mafia, que no solo le vaciará la cuenta, sino que, además, hará que ni siquiera se entere hasta que le avise el banco de que falta saldo.

Un ejemplo de esa mutación es el troyano Gameover Zeus , que una acción coordinada entre la red de policías europeas, Europol, y el FBI estadounidense intenta bloquear con la ayuda de varias empresas de seguridad, que están distribuyendo software para limpiar el casi medio millón de ordenadores infectados en todo el mundo. La Agencia de Seguridad Nacional británica llegó a lanzar un aviso a los ciudadanos en el que advertía de que tenían dos semanas (a contar desde el lunes pasado) para limpiar las máquinas. Con una de las variantes de este troyano se han cometido robos a clientes de un importante banco español por valor de tres millones de euros, según fuentes del Antiphishing Group. Europol habla de 75 millones de euros en todo el mundo.

REDES P2P La novedad del troyano es que se activa como una red P2P, similar a las que se usan para intercambiar música, películas y juegos. Es decir, entre los ordenadores de los usuarios, y no dependiendo de un servidor central, lo que hace que sea mucho más difícil de detectar y de parar. "Gameover Zeus activa varios dominios según el día y el mes, y los delincuentes iban enviando comandos según esa secuencia. Lo que hemos conseguido es controlar los dominios y parar los comandos para poder limpiar las máquinas infectadas", explica David Sacho, analista de Trend Micro, que ha colaborado con la operación policial.

La misma red del Gameover Zeus P2P, que el FBI atribuye al ruso Eugeni Mijailovic Bogachev, que ha pasado a estar en la lista de los delincuentes más buscados del mundo, distribuía también variantes del virus Cryptolocker, que secuestra ordenadores encriptando información para pedir un rescate a cambio de liberarla. Una de sus variantes era el llamado virus de la policía, que ya ha sido encontrado también en móviles. A diferencia de otros grupos de delincuentes, la banda de Bogachev no vendía el código que hacía posible el virus y la variante de P2P solo se le atribuye a ella, según Sacho.

NEGOCIO DIVERSIFICADO "Se puede hablar de un estilo Zeus de hacer virus porque ha habido muchas variantes de este troyano desde hace años. Ahora han parado la red más grande, pero hay muchas otras redes más pequeñas que ganan menos dinero pero que usan muchos menos recursos. Algunas, cuando ya han robado, muestran siempre el saldo anterior e instalan una cookie para no volver", explica Sergio de los Santos, analista de Eleven Paths.

El volumen del negocio de las mafias que roban bancos a través de internet es difícil de evaluar porque las entidades son las primeras que se niegan incluso a denunciar los casos. "Un banco se basa en la credibilidad. Prefiere perder mucho dinero antes que el negocio futuro", añade Sacho.

Y es que la banca on line es el principal objetivo de las redes mafiosas, muy por encima de los pagos por internet, los servicios y las tiendas por internet, según estudios de s21sec, una empresa de seguridad que trabaja con el sector bancario. "En España hemos bajado puntos, ya no es el segundo país en ataques recibidos después de Estados Unidos y ahora nos superan Italia, Alemania y el Reino Unido", resume Miguel López Negrete, analista de fraude de s21sec.

Las mafias estudian y clonan webs de bancos e intentan suplantar dominios y métodos de encriptación. Las tarjetas de crédito y los sistemas tipo Paypal son lo más perseguido, porque no solo se pueden usar sino que se pueden revender en el mercado negro. En cambio, las contraseñas para acceder a las cuentas son más difíciles de lograr porque "los bancos van alterando la parte interna de sus webs con frecuencia, sin que el usuario lo perciba, para hacer más difícil la tarea de los troyanos creados para captar claves", comenta De los Santos. Algunos navegadores, como Chrome, han optado por resaltar la parte clave de los dominios para que el usuario no se confunda de dominio.