| Artículos | 01 JUL 2006

Phishing

Tags: Histórico
La economía sumergida del phishing
Gonzalo Alvarez.
¿Ha recibido recientemente mensajes de correo de un banco del que no es cliente, o de sitios de subastas en los que nunca ha entrado, o de servicios de pago electrónico que jamás ha contratado? Millones de otros internautas también los reciben a diario. Se trata del phishing, la práctica fraudulenta de envío masivo de mensajes haciéndose pasar por organizaciones respetables con el fin de inducir a los destinatarios a revelar información personal, como contraseñas o números de tarjeta de crédito. En este artículo se explica qué es el phishing, cómo opera su economía sumergida y cómo defenderse.

Las nuevas tecnologías no han hecho sino ampliar el campo de actividad de la picaresca, por mal nombre ingeniería social. Hoy como ayer, al más puro estilo del castizo maestro de pícaros Lazarillo de Tormes, los delincuentes se devanan los sesos en busca de nuevas formas de aligerar al vecino del peso de su bolsa. Lo que caracteriza y distingue al phishing de otros fraudes es su automatización a través de un canal de comunicaciones electrónico como Internet para perpetrar el fraude a escala industrial. El número, complejidad y sofisticación de los ataques de phishing no para de crecer. Su impacto se ha dejado sentir con fuerza: se habla de pérdidas directas millonarias en el sector financiero, de pérdidas indirectas aún mayores en inversiones en seguridad, gastos de atención al cliente y campañas informativas, y de erosión de la confianza en el propio canal digital. En definitiva, Internet se enfrenta a una seria amenaza a las relaciones electrónicas entre las instituciones financieras y sus clientes. Si hoy mismo usted recibiera un mensaje legítimo de correo de su banco, ¿confiaría en él?

De pesca en Internet: Qué es el phishing
Como en todo fraude, el objetivo del phishing consiste en el robo de identidad digital para obtener un lucro indebido. Para mayor concreción, se trata de un ciberataque en el cual un atacante (el phisher) se hace pasar por una compañía o institución financiera de reconocido prestigio, enviando mensajes de forma masiva (el primer cebo), habitualmente a través del correo electrónico, aunque podrían utilizarse otros canales, como mensajes instantáneos, mensajes en foros o en salas de chat, o incluso documentos en Word o en PDF. Sirve cualquier soporte donde pueda aparecer un hiperenlace sobre el que se pueda hacer clic. Los mensajes están dirigidos a potenciales clientes de la organización suplantada (phish, el pescado), con la esperanza de que muerdan el anzuelo y sean redirigidos a un sito web idéntico al original (el segundo cebo) encargado de recolectar la información personal que constituye su identidad digital, típicamente un nombre de usuario y contraseña o los datos de la tarjeta de crédito. Las estadísticas señalan que alrededor del 5 por ciento de los clientes alcanzados muerden el anzuelo, cantidad nada desdeñable si se tiene en cuenta que un phisher puede enviar millones de correos al día. Una vez robada la identidad de la víctima, el atacante podrá suplantarla ante el servicio legítimo y abusar de sus servicios.
Como puede observarse, el quid del phishing radica en la suplantación de identidad. En concreto, en un ataque de phishing existen tres suplantaciones. El primer cebo, esto es, el mensaje que llega a la víctima, debe simular convincentemente la procedencia de la entidad legítima, imitando su aspecto, lenguaje y tono. Su requisito más importante es que incite al usuario a hacer clic confiadamente en un hiperenlace. Aquí es donde el phisher debe desplegar sus habilidades picarescas para camelar al usuario, disponiendo de muchas y muy variadas posibilidades: anunciar un problema en su cuenta, tarjeta de crédito, servicio de pago, o lo que sea, presentar evidencia del mismo, obviamente falsificada, amenazar con terribles consecuencias si no se emprenden medidas correctoras inmediatamente, y presentar un URL donde la salvación tendrá lugar si se siguen las instrucciones; anunciar algún maravilloso nuevo servicio o producto financiero que reportará inimaginables beneficios si se hace clic en el hiperenlace; anunciar la necesidad de renovar un servicio, cuenta o tarjeta a punto de expirar, para lo cual es necesario entregar tal o cual información personal; incluir algunos datos personales reales de la víctima potencial, como por ejemplo su nombre o número de cuenta, volviéndose el mensaje tan verosímil que resulta difícil resistirse a su reclamo, en lo que se conoce como spear phishing (pesca con arpón), por aquello de que apunta a peces individuales; anunciarle a la víctima como ganadora de un concurso o de una promoción u ofrecer algún tipo de regalo por ser un buen cliente, el cual podrá ser reclamado siguiendo un hiperenlace y rellenando un formulario; apelar a sus sentimientos humanitarios para que envíe ayuda económica a las víctimas del tsunami o del terremoto en Pakistán o de la desgracia de turno, pretendiendo proceder de conocidas organizaciones humanitarias como UNICEF o Greenpeace.
Existen kits de phishing (véase recuadro Kits de Phishing) que automatizan el proceso de creación de estos mensajes, aunque suelen incurrir en espantosas faltas de ortografía, redacción cuando menos chocante y aspecto general chapucero, como en el ejemplo de la figura 2. No obstante, algunas falsificaciones son tan perfectas que resultan absolutamente indistinguibles de un correo oficial, levantando sospechas exclusivamente por el hecho de solicitar información personal, petición que la entidad real jamás realizará.
El segundo cebo, es decir, el sitio web al que se le redirige a la víctima, debe igualmente parecerse al sitio real. Cualquier aplicación de descarga de webs permite realizar una copia idéntica de un sitio web, por lo que no supone mayor dificultad imitar el aspecto. El mayor problema radica en la URL observable por el usuario y otros posibles signos mostrados por el navegador, como el candadito en caso de uso de HTTPS. En la sección de taxonomía se explica cómo superan los phishers este escollo.
La tercera suplantación tiene lugar ante la entidad por parte del phisher, quien se hace pasar por la víctima utilizando la información personal robada. Esquemas típicos de autenticación como nombre de usuario y contraseña son extremadamente sencillos de explotar. Por supuesto, algunos mecanismos de protección introducidos recientemente por algunos bancos, como por ejemplo los teclados virtuales en Javascript, no sirven en absoluto para combatir el phishing. Los esquemas más sofisticados tampoco sirven de mucho contra los troyanos especializados en espiar transacciones bancarias, ya que incluyen keyloggers, screen grabbers, pueden guardar las páginas visitadas por el navegador o incluso actuar de hombre en el medio (ataque Man-In-The-Middle, MITM).

Lección de biología: Ciclo de vida del phishing
El fraude del phishing se ha convertido en una floreciente actividad económica, cuya moneda de cambio son las credenciales de usuario, orquestada en el seno de complejas redes criminales autoorganizadas y descentralizadas, con sus propios mercados de venta y distribución, gobernadas por la ley de la oferta y la demanda. También poseen sus propios canales de control y comunicación, siendo el más frecuente el constituido por las salas de chat en servidores IRC. En el ciclo de vida del phishing existen numerosos actores implicados, cada uno de

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información