El número de ataques de phishing se duplica en Estados Unidos
El número de adultos en Estados Unidos que han recibido e-mails con propósitos de phishing se ha casi duplicado desde 2004, según un estudio realizado por Gartner. Las pérdidas financieras derivadas de este tipo de ataques ascendieron a más de 2.800 millones de dólares en 2006.
Las buenas noticias son que este año, menos personas creen haber perdido dinero por ello, pero cuando lo hicieron, la cuantía fue mayor, asegura Avivah Litan, vicepresidente y analista de Gartner. La pérdida media por víctima se ha prácticamente quintuplicado de 2005 a 2006, y los ladrones parecen ceñir sus ataques a personas con ingresos más elevados, entre las que es más frecuente la realización de transacciones sobre Internet.
Según la encuesta, aproximadamente 109 millones de adultos en Estados Unidos han recibido e-mails de phishers, frente a los 57 millones que lo hicieron en 2004. La pérdida media por víctima ha aumentado de 257 dólares a 1.244 dólares, mientras que la cantidad media de dinero que los consumidores pudieron recuperar fue de un 80% en 2005, pero en 2006 se redujo a un 54%.
Los objetivos más preciados son los adultos con ingresos superiores a los 100.000 dólares anuales. Este grupo recibió una media de 112 e-mails de phishing el año pasado, frente a los 74 de media entre los usuarios con ingresos menores. En cuanto al promedio de pérdidas, en el grupo de mayor poder adquisitivo se elevaron a 4.362 dólares de media, casi cuatro veces las del resto de las víctimas.
Los atacantes que toman como objetivo a los consumidores se hacen pasar por bancos menos a menudo que en años anteriores, pero por otras marcas, como PayPal y eBay, más frecuentemente. El peso de los bancos y las compañías de tarjetas de crédito que reembosan a los clientes el dinero perdido han disminuido como porcentaje dentro del total de reembolsos, mientras que el porcentaje de los reembolsos realizados desde compañías de servicios no financieros y minoristas ha aumentado.
Los cibercriminales están empezando a cambiar su táctica de atacar directamente bancos online, para enfocarse más en marcas menos convencionales, y a utilizar métodos de ingeniería social difíciles de detectar, ha explicado Litan.
Medios de protección insuficientes
Las medidas de protección, como los sistemas de detección de phishing o los servicios para desmantelarlo puestos en marcha por bancos, proveedores de servicios Internet y suministradores de seguridad están, obviamente, insuficientemente desplegados y no resultan todo lo efectivos que sería deseable, según Litan.
De la encuesta, realizada por Gartner en agosto de 2006 entre 5.000 adultos usuarios de sistemas online, puede deducirse que aproximadamente 24,4 millones de americanos han pinchado sobre un e-mail con phishing a lo largo de 2006, frente a los aproximadamente 11,9 millones que lo hicieron en 2005. Unos 3,5 millones facilitaron además información sensible a los phishers, mientras que en 2005 esta cantidad se redujo a 1,9 millones.
Las más recientes actualizaciones de los navegadores incluidas las de Internet Explorer de Microsoft y Firefox de Mozilla- incluyen tecnologías que intentan alertar a los usuarios sobre los sitios de ataques de phishing conocidos, pero Gartner considera que todavía son muchos los ataques que continuarán pasando inadvertidos. Las actualizaciones de los navegadores están todavía incompletas e inmaduras en términos de protección antiphishing, indica Litan. Durante al menos dos años, los ataques de este tipo continuarán aumentando, dado que siguen siendo un lucrativo negocio para sus autores.