| Artículos | 01 MAY 2007

Phishing, combata el fraude on-line

Tags: Histórico
Crecen los ataques con fines económicos
Encarna González.
Aunque la evolución de los ataques ha llevado a que muchos hackers desarrollen su actividad sólo por un motivo de reconocimiento o para ganar prestigio entre la comunidad, lo cierto es que siguen existiendo vulnerabilidades con un claro objetivo económico. El phishing, que intenta hacerse con información confidencial de forma fraudulenta, como una contraseña o datos sobre tarjetas de crédito u otra información bancaria, está proliferando hoy como una de las grandes pesadillas para la seguridad de equipos. Conozca cómo identificarlos y no caer en el engaño.

Hace poco más de diez años que se empezó a escuchar por primera vez la palabra phishing. El término procede del inglés “fishing”, que significa pesca y hace alusión al acto de pescar, en este caso, usuarios mediante señuelos cada vez más sofisticados para obtener información financiera y contraseñas. No obstante, hay quien apunta que el vocablo phishing es el resultado de la contracción “password harvesting fishing”, esto es, cosecha y pesca de contraseñas.
Sin embargo, estos ataques iniciales han ido evolucionando de tal manera que han pasado de tener como propósito hacerse con cuentas para utilizar servicios de compañías y el intercambio de software pirateado, a tener como objetivo a clientes de bancos y servicios de pago en línea. Por ello, los phishers, como se denomina a quienes practican estas modalidades, son capaces de enviar un correo electrónico simulando ser una entidad bancaria que solicita información acerca de la cuenta del cliente con un enlace a la página web del phisher, de manera que pueden llegar a encontrar un cliente de ese banco o servicio y enviar ese mail falseado a la posible víctima para hacerse con sus datos bancarios.
Cada vez son más sofisticadas las técnicas que emplean estos atacantes por lo que, con el paso del tiempo, han ido surgiendo nuevas variantes del phishing. Una de ellas es la denominada spear phishing, es decir, phishing con lanza, y que significa que ese ataque está dirigido a una serie de objetivos específicos. Algunos expertos apuntan que los sitios de internet con fines sociales se han convertido en uno de los principales blancos para los phishers, ya que mucha de la información que se deposita en ellos se utiliza para el robo de identidad de modo que incluso hay quien cifra en una tasa de éxito de un 70 por ciento en los ataques de phishing en redes sociales.

Cómo identificarlos
Por lo general, el modo más tradicional de llevar a cabo un ataque de phishing es a través de engaños en el diseño del correo electrónico enviado a un usuario y en el que se incorpora un enlace a un sitio web similar al de la organización por la que el phisher se hace pasar. Algunos expertos en seguridad señalan que las URL mal escritas o el uso de subdominios son algunos de los trucos que utilizan estos atacantes para “pescar” posibles víctimas.
Otra de las prácticas utilizadas para recabar información financiera de los usuarios y que se puede reconocer fácilmente es con la utilización de direcciones de internet que incorporan el carácter de arroba (@) y que, posteriormente, solicitan un nombre de usuario y una contraseña. Sin embargo, uno de los métodos más utilizados es el que hace que el atacante utilice el propio código de programa del banco o servicio por el que se hace pasar. Conocido como Cross Site Scripting, hace que el usuario inicie la sesión en el sitio web de la entidad bancaria donde, tanto la URL como los certificados de seguridad parecen, en primera instancia, totalmente correctos. Sin embargo, los usuarios reciben un mensaje diciéndoles que tienen que verificar sus cuentas y, en un enlace a un sitio web que simula ser de la entidad bancaria, en realidad, les lleva a un enlace modificado para sustraerle los datos.
De hecho, recientemente saltaba la alarma sobre la existencia de dos páginas web maliciosas que mostraban a las víctimas páginas de internet falseadas para robar sus contraseñas y otros datos sensibles. Uno de estos sitios web simulaba ser el portal de compras Amazon que, al solicitar a los usuarios que realizan adquisiciones su identificación, datos bancarios y lugar de residencia, se hacían con datos lo suficientemente apetecibles para que un phisher los robara y utilizara posteriormente para efectuar compras a cargo de la víctima a la que habían sustraído sus datos bancarios. De hecho, hay expertos que señalan que aquellos correos electrónicos que se dirigen al usuario de manera genérica, como “Querido miembro de eBay”, son susceptibles de ser un posible ataque de phishing para obtener los datos de la persona a la que se lo envían.

¿Cómo combatirlo?
Ante las variantes, evolución y sofisticación de este tipo de vulnerabilidades, los expertos en materia de seguridad identifican varias técnicas para hacer frente a los ataques de phishing. En Estados Unidos, cada vez hay más empresas que optan por entrenar a sus empleados para que puedan reconocer un ataque de phishing. Sin embargo, la proliferación de estos ataques y su posible daño económico hace necesario dotarse de medidas que nos ayuden a estar protegidos.
Los fabricantes, conscientes de ello, ya están introduciendo elementos para combatir el phishing en sus soluciones antivirus. No obstante, también existen soluciones específicas para combatir estos ataques y que trabajan identificando contenidos phishing en sitios web y correos electrónicos. Incluso algunos de estos programas se integran con los navegadores web existentes y clientes de correo electrónico, como una barra de herramientas que muestra el dominio real del sitio visitado. Asimismo, cabe señalar que los filtros de spam también contribuyen a proteger a los usuarios de estos ataques, ya que reducen el número de correos electrónicos relacionados con el phishing que recibe el usuario.
Sin embargo, los expertos en seguridad aconsejan realizar una práctica que está obteniendo buenos resultados en algunas corporaciones en las que ya se utiliza. Se trata de introducir lo que se ha venido a denominar “pregunta secreta”, en la que se pregunta información que sólo conoce el usuario y la organización. Asimismo, las páginas de internet también han añadido elementos de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado y, si éstas no aparecen, eso significa que este sitio web no es legal. VeriSign es uno de los fabricantes que está centrando sus esfuerzos en crear certificados de validación que refuercen la seguridad de los sitios web. Tal y como apunta Manuel Gallo, máximo responsable de la compañía en nuestro país, “el aumento que está experimentando el fraude on-line está siendo un freno para el desarrollo del comercio electrónico en nuestro país, por lo que es necesario establecer medidas que permitan identificar y autentificar a los propietarios de los sitios web, combatiendo con ello los fraudes en la Red”. Así, para este responsable, la disponibilidad en la barra de la UR del nombre de la compañía del sitio web, así como el de la entidad certificadora en el que el usuario puede pinchar y acceder a información más detallada, será una solución para que los profesionales puedan recuperar la confianza a la hora de acceder a los enlaces que se insertan en correos electrónicos. Además, ante el cre

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información