De cada 245 correos electrónicos enviados el año pasado, uno formaba parte de una estafa o phishing (del inglés, pescar). Aunque se desconoce el número de los internautas que pican, el 2,1% de los usuarios españoles reconoce haber sido estafado, según el Instituto Nacional de Tecnologías de la Comunicación . Sin embargo, un estudio reciente sostiene que, en realidad, los que pierden dinero son los estafadores.
Dos investigadores de Microsoft Research , Cormac Herley y Dinei Florêncio, han revisado informes de consultoras, empresas de seguridad y organismos oficiales de EEUU sobre el phishing. Su conclusión es que el impacto real de esta estafa en Internet es mucho menor de lo que se dice. Los investigadores rebajan al 0,37% el número de internautas que recibe un correo que simula ser de su banco, responde o pincha en el enlace y da la clave de acceso de su cuenta bancaria.
Cifras infladas
La cifra está lejos del 0,7% de estadounidenses timados, calculada por la Comisión Federal del Comercio de EEUU, y aún más del 2,18% que, según la consultora Gartner, son estafados en el mismo país. Además, los autores del estudio matizan su propio cálculo. "Del hecho de desvelar su clave no se puede deducir que al final acaben perdiendo dinero", dice el informe. Antes de que el delincuente lo consiga, ha tenido que usar las claves sin que el banco o el usuario se percaten del engaño. También ha debido mover el dinero a una cuenta propia y tener una infraestructura para lavar el dinero o, al menos, que impida a la policía seguirle la pista.
Como explica Herley, "el hecho de que recibamos muchos correos con phishing no significa que tengan éxito". De hecho, según su memoria de 2007, el Banco de España recibió apenas 116 reclamaciones por fraude en Internet. La cifra, además, no diferencia entre los varios tipos de estafas que pueden producirse en la Red. No es lo mismo una compra fraudulenta que un timo al estilo de las 'cartas nigerianas '.
Para Herley y Florêncio, los estafadores viven una tragedia de los comunes . En este modelo económico, una comunidad (los estafadores) comparte un recurso finito (el dinero a estafar) que tiene escasa capacidad de regenerarse (es difícil volver a liar al timado y, gracias a las noticias, no es fácil engañar a nuevos incautos). Así, el comportamiento racional de cada individuo provoca una irracionalidad colectiva: la depredación del recurso.
Estafar cuesta dinero
De hecho, la progresión del modelo lleva al absurdo de que, en conjunto, los estafadores pierden dinero con el phishing. El tiempo dedicado a esta actividad podrían destinarlo a otras de igual beneficio y menor coste.
Pero, si es tan ruinoso, ¿por qué sigue habiendo phishing? La clave es el carácter dinámico de este modelo económico. Los que abandonan sin robar nada son reemplazados por nuevos aspirantes. "Los recién llegados al negocio tienen la misma información que cualquiera. No dejan de leer artículos sobre dinero fácil y estudios con cifras infladas", explica Herley. Los datos le dan la razón: una búsqueda en Google News muestra más de 3.000 noticias sobre phising en la prensa española en enero.
Para los autores, la exageración en las pérdidas propagada por los medios "alimenta a la bestia, perpetuando el mito del atacante capaz de todo y atrayendo a nuevos timadores mal informados". Otro motivos para proseguiren el empeño es el tan irracional azar. Como ocurre con los pescadores, muchos continúan en la esperanza de que un día sea su suerte y hagan saltar la banca. Más racional es, como cuenta el informe, el hecho de que algunos desengañados siguen en el negocio revendiendo sus programas y experiencia a los nuevos.
A pesar de todo, no animan a bajar la guardia. Aunque la dinámica del phishing lleva a una reducción paulatina del dinero estafado, no deja por ello de ensuciar el ecosistema con más correo basura. "El spam es real, la erosión de la confianza es real y la exigencia a los usuarios de que estén en alerta es real", aclara Herley.