La técnica criminal que permite entrar a las cuentas bancarias y tarjetas de crédito de otras personas a través de Internet, ya no es un problema de los usuarios finales, sino también de toda la empresa. La instalación de un correcto sistema de seguridad y la creación de políticas internas puede ayudar a combatir a este nuevo enemigo informático.
Phishing es la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio original en lugar del copiado. Normalmente se utiliza con fines delictivos duplicando páginas web de bancos conocidos y enviando indiscriminadamente correos electrónicos pidiendo a los usuarios que ingresen a actualizar sus datos de acceso.
En ocasiones, el término phishing se define como la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas). Pero la verdad es que de forma más general, el nombre phishing también se aplica al acto de adquirir, de forma fraudulenta y a través de engaño, información personal como contraseñas o detalles de una tarjeta de crédito, haciéndose pasar por alguien digno de confianza con una necesidad verdadera de tal información en un e-mail parecido al oficial, un mensaje instantáneo o cualquier otra forma de comunicación. Es una manera de ataque de la ingeniería social.
El término fue creado a mediados de los años '90 por los crackers que procuraban robar las cuentas de AOL. Un atacante se presentaría como empleado de AOL y enviaría un mensaje inmediato a una víctima potencial. El correo pediría que la víctima revelara su contraseña, con variadas excusas, como la verificación de la cuenta o que confirmara la información de facturación. Una vez que el afectado entregara su clave personal, el atacante podría tener acceso a la cuenta de la víctima y utilizarla para cualquier otro propósito, tales como el spamming.
Pero el phishing no sólo es un problema para los usuarios finales de Internet y en especial para cualquier persona que tenga una cuenta corriente, sino que afecta en gran medida a las empresas y sus sistemas informáticos, e incluso a sus departamentos financieros, si es que existen cuentas corporativas, que son utilizadas por uno o más empleados.
Cuando existen además centros de datos o servidores de alta capcidad comprometidos, el problema aumenta en las empresas. Es por esto, que según expertos en seguridad, los principales daños del phishing a nivel corporativo son:
Robo de identidad y datos confidenciales de los usuarios.
Pérdida de productividad.
Consumo de recursos de las redes corporativas (ancho de banda, saturación del correo, etc.).
Y es que además es un negocio bastante lucrativo para los estafadores. Según un estudio reciente realizado por la firma de investigación Gartner, los intentos falsos para obtener contraseñas, información de tarjetas de crédito y otros datos personales ocasionó pérdidas por US$1.200 millones a bancos y empresas emisoras de tarjetas de crédito estadounidenses el año pasado. Gartner sugiere que al menos 57 millones de adultos han sufrido un ataque de estafa electrónica y que 1,78 millones de personas probablemente han sido víctimas de fraudes tras suministrar información confidencial personal.
Cómo Ataca
Para lograr su objetivo, este tipo de malware, además de la ocultación de la URL fraudulenta en un correo electrónico aparentemente real, también utiliza otras técnicas más sofisticadas:
Man-in-the-middle (hombre en el medio): En esta técnica, el atacante se sitúa entre el usuario y el sitio web real, actuando a modo de proxy, especie de servidor intermedio. De esta manera, es capaz de escuchar toda la comunicación entre ambos. Para que tenga éxito, debe ser capaz de redirigir al cliente hacia su proxy en vez de hacia el servidor real. Existen diversas formas para conseguirlo, como por ejemplo los proxies transparentes, el DNS Cache Poisoning (envenenamiento de Caché DNS) y la "ofuscación" del URLs.
Aprovechamiento de vulnerabilidades de tipo Cross-Site Scripting: Este tipo de fraude ocurre en un sitio web que permite simular una página segura de una entidad bancaria, sin que el usuario pueda detectar anomalías en la dirección ni en el certificado de seguridad que aparece en el navegador.
Aprovechamiento de vulnerabilidades de Internet Explorer: El atacante, mediante el uso de exploits, falsea la dirección que aparece en el navegador. De esta manera, se podría redirigir el browser a un sitio fraudulento, mientras que en la barra de direcciones del navegador se mostraría la URL del sitio de confianza. Mediante esta técnica, también es posible falsear las ventanas pop-up abiertas desde una página web auténtica.
Algunos ataques de este tipo también hacen uso de exploits en sitios web fraudulentos que, aprovechando alguna vulnerabilidad de Internet Explorer o del sistema operativo del cliente, permiten descargar troyanos de tipo keylogger que robarán información confidencial del usuario.
Pharming: Otra técnica más sofisticada es la denominada pharming. Se trata de una táctica fraudulenta que consiste en cambiar los contenidos del DNS (Domain Name Server, Servidor de Nombres de Dominio) ya sea a través de la configuración del protocolo TCP/IP o del archivo lmhost (que actúa como una caché local de nombres de servidores), para redirigir los navegadores a páginas falsas en lugar de las auténticas cuando el usuario accede a las mismas a través de su navegador.
Además, en caso de que el usuario afectado por el pharming navegue a través de un proxy para garantizar su anonimato, la resolución de nombres del DNS del proxy puede verse afectada de forma que todos los usuarios que lo utilicen sean conducidos al servidor falso en lugar del legítimo.
Cómo Defenderse
¿Qué pueden hacer las compañías para evitar ser engañados por estos ataques cada vez más sofisticados? Para los novatos, los expertos en seguridad dicen que las compañías deben continuar "explorando Internet" en busca de sitios Web falsos y agregan que simplemente se trata de hacer búsquedas extensas en la Web.
Algunas compañías que han sido afectadas por los fraudes mediante estafa electrónica están aprovechando para mejorar la comunicación con los clientes. Han publicado mensajes en los sitios Web donde establecen cómo se comunican habitualmente con ellos. Los sitios también explican la forma en que los representantes de la empresa contactan a los clientes para verificar el estado de cuenta.
Por su parte, el Grupo de Trabajo Anti-Phishing, una organización mundial preocupada por el tema, invita a las empresas particulares y a las que manejan centros de datos que, de alguna u otra forma, adopten las denominadas "tres clases de soluciones preventivas de tecnología".
Autenticar fuertemente a los usuarios que visiten un sitio Web comercial mediante la verificación de dos factores. Este método requiere que todos los usuarios legítimos de comercio y banca electrónica se autentifiquen en la página por medio de un sistema físico, como una tarjeta inteligente.
Utilizar funcionalidades mejoradas de DNS para verificar la dirección IP del servidor de correo electrónico de un remitente. Para que este método sea efectivo, todos los ISP, proveedores de correo electrónico y compañías deben publicar información sobre la autenticación del servidor de e-mail, así como instalar el software de autenticación del servidor de correo como parte de sus filtros.
Emplear firmas digitales S/MIME para firmar el correo saliente y suministrar verificación de las firmas en el Gateway o estación de trabajo de correo electrónico. De esta forma, si un e-mail llega a la bandeja de entrada del usuario y no está firmado o no se puede verificar, la persona sabrá que no es genuino.
En el ámbito empresarial, además es importante contar con soluciones que se preocupen de los servidores y centros de datos, así como de la salida y entrada de información. En primer lugar, los expertos en seguridad informática recomiendan tener una solución antivirus y antiphishing en los gateway del servidor de correo, o sea, en la puerta de comunicación hacia el exterior.
Basado en una arquitectura escalable, este software debe incluir una serie de técnicas de detección que proporcionen una protección proactiva y continua, independiente de las plataformas y sistemas operativos que se utilicen (Unix, Microsoft, Linux, SAP u otros). Además, debe proporcionar un sistema de "escaneado" de contenido y control de políticas internas para cubrir requisitos de seguridad y legales.
Incluso, algunas soluciones actualmente disponibles en el mercado, revisan y "escanean" mensajes internos, entrantes y salientes (que pasan por el gateway) y el área de almacenamiento de Exchange, además de incluir tecnología de reducción de amenazas para evitar la entrada de elementos potencialmente peligrosos.
Políticas de Seguridad
Pueden haber muchas tecnologías y técnicas informáticas para atacar o evitar el phishing en las empresas, sin embargo, lo mejor para no sufrir sus inconvenientes, especialmente en un ambiente corporativo, dice relación con las políticas de seguridad. Dentro de este contexto es recomendable seguir los siguientes pasos:
Paso 1: No responder a solicitudes de información personal a través del correo electrónico. Por lo general, las empresas serias nunca solicitan contraseñas, números de tarjeta de crédito u otro tipo de información personal por correo electrónico. Si recibe un mensaje que le solicita este tipo de información, no responda. Si piensa que el mensaje es legítimo, comuníquese con la compañía por teléfono o a través de su sitio web para confirmar la información recibida.
Paso 2: Cuando quiera visitar sitios web, introduzca la dirección en la barra de direcciones. Si sospecha de la legitimidad de un mensaje de correo electrónico de la empresa de su tarjeta de crédito, banco o servicio de pagos electrónicos, no siga los enlaces que lo llevarán al sitio web desde el que se envió el mensaje. Estos enlaces pueden conducirlo a un sitio falso que enviará toda la información ingresada al estafador que lo ha creado. En este caso, lo mejor es abrir una página nueva del software de navegación y digitar la dirección URL. Aunque la barra de direcciones muestre la dirección correcta, no se arriesgue a que lo engañen. Los piratas conocen muchas formas para mostrar una dirección URL falsa en la barra de direcciones del navegador.
Paso 3: Asegúrese de que el sitio Web utiliza cifrado. Si no se puede confiar en un sitio Web por su barra de direcciones, ¿cómo se sabe que será seguro? Existen varias formas: en primer lugar, antes de ingresar cualquier tipo de información personal, compruebe si el sitio Web utiliza cifrado para transmitir la información personal. En Internet Explorer, por ejemplo, puede comprobarlo con el icono de color amarillo situado en la barra de estado. En Firefox, se puede ver en un candado que aparece en la barra de direcciones.
En ambos casos, al hacer doble click sobre el icono del candado, se puede ver el certificado de seguridad del sitio. El nombre que aparece a continuación de "Enviado a" debe coincidir con el del sitio en el que se encuentra. Si el nombre es diferente, puede que se encuentre en un sitio falso. Si no está seguro de la legitimidad de un certificado, no introduzca ninguna información personal. Sea prudente y abandone el sitio Web.
Paso 4: Consulte frecuentemente los saldos bancarios y de la tarjeta de crédito personal o la de la empresa: Incluso si sigue los tres pasos anteriores, puede convertirse en víctima de las usurpaciones de identidad. Si consulta sus saldos bancarios y de sus tarjetas de crédito al menos una vez al mes, podrá sorprender al estafador y detenerlo antes de que provoque daños significativos.
Paso 5: No caiga en las trampas de la denominada "ingeniería social": Los delincuentes usan variaciones de direcciones reales, como www.secureamazon.com (ya no está activa) para estafar usuarios de www.amazon.com.
Por eso, siempre ingrese al sitio web de su banco o tienda en línea a través de una dirección reconocida. Además, nunca conteste mensajes provenientes de buzones de servicios de correo gratuitos, como bancocentral@yahoo.com. Los correos electrónicos oficiales deben estar basados en servidores de la entidad, como serivicioalcliente@bancocentral.com.
Paso 6: Comunique los posibles delitos relacionados con su información personal a las autoridades competentes. Si cree que ha sido víctima de phishing, informe inmediatamente del fraude a la empresa afectada. Si no está seguro de cómo comunicarse con la compañía, visite su sitio Web para obtener la información de contacto adecuada. Algunas organizaciones tienen una dirección de correo electrónico especial para informar de este tipo de delitos.
También se recomienda proporcionar los detalles del estafador, como los mensajes recibidos, a la autoridad competente a través del centro de denuncias de fraude en Internet a nivel internacional; o bien, a la Brigada de Delitos Informáticos, de la Policía de Investigaciones, en Chile.
Actualmente, la mayoría de las compañías que se preocupan de invertir en tecnología o bien tienen contratados servicios de Data Centers de terceras empresas, poseen una gran cantidad de sistemas de seguridad informática, como firewalls, antivirus, sistemas de encriptación, programas de detección de intrusos y otros. Sin embargo, lo más importante para combatir el phishing es no "bajar la guardia" ante cualquier actividad o información sospechosa, para así no lamentar daños mayores en el futuro.
Otras Modalidades de Fraude
Spoofing (engaño): Es una técnica que permite al delincuente tomar control del navegador de un usuario para llevarlo a una página web ficticia. Esta modalidad solamente funciona si el atacante sabe a qué página suele entrar su víctima y diseña una copia de ella.
Software espía: Funciona mediante un tipo de software que se instala en el PC de la víctima de manera clandestina; luego puede monitorear sus actividades (páginas que visita y tipo de información que busca, entre otras) o grabar la información que escribe en el teclado.
Key Logger (captura de teclado): Programas o dispositivos que se instalan en un computador para grabar todo lo que el usuario de dicho equipo escribe. La información es consultada posteriormente por el delincuente y utilizada para efectuar el robo.
