Llegamos a ustedes gracias a:



Reportajes y análisis

Todo lo que un CSO debe saber sobre el phishing

[17/09/2009] El phishing es un método para recopilar información personal utilizando e-mails y websites engañosos. El pharming también trata de recoger información privada, pero imitando y suplantando las rutas que usan las computadoras para navegar por la web. Ni uno ni otro método son plato de gusto del CSO, ni de los empleados ni clientes de su empresa. A continuación le contamos lo que debe saber y le explicamos cómo estar en guardia contra phishing y pharming.

¿Qué es el phishing?
El phishing es un método para obtener información personal usando correos electrónicos y sitios web falsos. Generalmente el phisher envía un mensaje con apariencia legítima de petición de datos. Por ejemplo, puede hacerse pasar por un banco que pide a sus clientes que verifiquen los datos financieros (por lo tanto, el phishing es una forma de ingeniería social). La dirección de correo electrónico se disfraza para que parezca proceder de un empleado o departamento legítimo de la empresa señuelo, y generalmente incluye un enlace a un sitio web que tiene el mismo aspecto que el del banco, en este caso. No obstante, se trata de una web fraudulenta, y cuando la víctima teclea su contraseña u otros datos sensibles, la información es captada por el phisher. Estos datos pueden ser utilizados para cometer diversos tipos de fraude y robo de identidad, desde comprometer la seguridad de una única cuenta bancaria, hasta poner en peligro montones de ellas.
Los primeros ataques de phishing eran bastante burdos, con errores tipográficos llamativos y una gramática lamentable. No obstante, han mejorado mucho con el tiempo. Los phishers suelen copiar los textos directamente de la correspondencia oficial de la empresa señuelo, y los sitios web ahora parecen casi réplicas de los sitios legítimos, con el logo de la compañía y otras imágenes. Incluso cuentan con una barra de estado falsa que muestra el candado de seguridad al que están acostumbrados los usuarios. Los delincuentes suelen registrar dominios que parecen plausibles, como micitibank.net o paypa1.com (usando el número uno en lugar de la letra ele). Incluso puede que envíen a las víctimas al sitio real de una compañía bien conocida y recojan los datos personales a través de una ventana emergente falsa.
¿Se pueden evitar los ataques?
Las empresas pueden reducir las posibilidades de convertirse en objetivo de los phishers, y por tanto reducir el posible daño que estos delincuentes pueden hacer, pero realmente no se puede evitar. Una razón por la que son tan convincentes los mensajes de phishing es que la mayoría tienen remitentes falsificados, de modo que parecen proceder de la compañía señuelo. No hay forma de evitar que alguien falsee el remite del correo electrónico y lo haga parecer legítimo.
Sin embargo, una nueva tecnología conocida como autenticación del remitente promete limitar los ataques de phishing en cierta medida. La idea es que los gateways de correo electrónico puedan verificar que los mensajes proceden del remitente legítimo; es decir, que un mensaje del Banco de Crédito se ha originado realmente en un servidor legítimo del Banco de Crédito.
Así, los mensajes de direcciones engañosas podrían ser automáticamente etiquetados como fraudulentos y eliminados. Antes de entregar un mensaje, el proveedor de Internet podría comparar la dirección IP del servidor que envía el mensaje contra una lista de direcciones válidas para el dominio remitente, de la misma forma en que los ISP buscan la dirección IP de un dominio para enviar un mensaje. Sería una especie de versión en línea de la identificación y el bloqueo de llamadas.
Aunque el concepto es claro, la implementación está siendo lenta porque las grandes empresas de Internet tienen diferentes ideas de cómo acabar con el problema. Pueden pasar años hasta que los diferentes grupos limen asperezas y se decidan a implementar un estándar. Incluso entonces no habrá forma de garantizar que los phishers no encontrarán otra forma de saltarse esta protección (igual que se pueden falsear los números de identificación de llamada en la red de telefonía). Por este motivo, mientras tanto, muchas organizaciones -y cada vez más proveedores de servicios- se han puesto manos a la obra de forma independiente.
¿Qué puedo hacer para reducir las posibilidades de que mi empresa sea objeto de un ataque de phishing?
En parte la respuesta tiene que ver con NO hacer cosas que puedan incrementar la vulnerabilidad de su empresa. Ahora que el phishing forma parte de nuestras vidas, muchas empresas deben tener cuidado cuando se comunican con sus clientes por correo electrónico. Por ejemplo, en mayo del 2004 los teléfonos de una entidad financiera llamada Wachovia comenzaron a sonar justo después de enviar a sus clientes un correo electrónico con instrucciones para actualizar sus nombres y contraseñas de banca en línea haciendo clic en un enlace. Aunque el e-mail era legítimo (la compañía tenía que migrar a los clientes a un nuevo sistema) un 25% de los receptores lo dudaron.
Las empresas tienen que diseñar unos protocolos claros de comunicación con sus clientes. Las mejores prácticas incluyen dar a todos los correos electrónicos y páginas web, un diseño consistente y homogéneo, saludar a sus clientes por su nombre y apellido en el e-mail, y nunca pedirles datos personales o bancarios a través de este medio. Si se enviase alguna información personal sensible por correo electrónico, deberá ser encriptada. Los comerciales odiarán no poder enviar a los usuarios enlaces que les llevarían directamente a las ofertas deseadas, pero es mucho más seguro explicar a los clientes cómo añadir a los favoritos de su navegador los enlaces con la página principal del banco. De esta forma les educan para que no sean víctima de engaños.
También tiene sentido revisar qué pueden y qué no pueden hacer los usuarios en su sitio web. No deberían poder abrir una nueva cuenta, solicitar un crédito o cambiar su dirección en línea con solo una contraseña.
Como mínimo, cada transacción debería ser confirmada a través de e-mail y un método adicional elegido por el cliente (como llamar a un número telefónico, por ejemplo) de forma que estén al corriente de toda la actividad en línea de sus cuentas. Y para dificultar a los delincuentes la captura de datos de formularios en línea, las empresas deberían evitar colgar cuestionarios en el sitio web. En lugar de ello, es mejor requerir acceso seguro protegido a los formularios de comercio electrónico.
Al final una mejor autenticación es la mejor forma de reducir la probabilidad de que los phishers pongan la vista en nuestra empresa. Los bancos están empezando a probar tecnologías como testigos o tokens RSA, biometría, contraseñas de un solo uso y tarjetas inteligentes; todas ellas contribuyen a que la información de sus clientes sea menos valiosa para los ciberdelincuentes.
¿Qué debe hacer mi empresa antes de ser objeto de un ataque de phishing?
Antes de que la empresa se pueda convertir en un objetivo de los impostores, debemos establecer un equipo anti-phishing y desarrollar un plan de respuesta para estar preparados en caso de ataque. Lo ideal es que el equipo cuente con representantes de TI, auditoría interna, comunicaciones, relaciones públicas, márketing, web, servicio al cliente y jurídico. Este equipo tendrá que responder a preguntas como estas:
1. ¿Dónde puede enviar la gente los correos electrónicos sospechosos que impliquen nuestra marca? Hay que crear una cuenta de e-mail del tipo  fraude@nombredominio.pe, y vigilarla estrechamente.
2. ¿Qué debe hacer el personal de atención al cliente si se enteran de que hay un ataque phishing? Hay que asegurarse de que los empleados están entrenados para reconocer los signos de un ataque de phishing y saben qué decir y qué preguntar a los clientes que hayan sido víctimas.
3. ¿Cómo y cuándo informaremos a nuestros clientes de que ha habido un ataque? Podemos optar por publicar la noticia en el sitio web, insistiendo en que no proceden de nuestra empresa y en que nunca pediríamos dicha información por correo electrónico a nuestros clientes.
4. ¿Quién desmonta el sitio falso? Las grandes empresas suelen encargarse de ello, pero las pequeñas prefieren contratar a alguien que lo haga.
(a) Si nuestra empresa se va a encargar de ello, un buen plan de respuesta debe incluir a quién contactar en cada uno de los proveedores de Internet para conseguir que cierren la web falsa lo más rápidamente posible. También hay que identificar los contactos correctos en el Grupo de Delitos Telemáticos de la Guardia Civil y la Policía Nacional. Y por supuesto, denunciarlo para conseguir que los culpables respondan ante la justicia.
(b) Si preferimos un proveedor externo, hay que decidir quién va a representarnos en estos casos. Puede que queramos autorizar a ciertas personas a enviar correos electrónicos en nuestro nombre, hacer llamadas telefónicas, etc. pero nuestro departamento legal debería gestionar cualquier correspondencia que tenga que ver con medidas legales.
5. ¿Debemos actuar contra el sitio de phishing enviándole información falsa o explotando agujeros en su código? Pensemos primero en los pros y contras de una acción de este calibre. ¿Realmente queremos formar parte de esto, o mejor lo dejamos en manos de las autoridades?
6. ¿Hasta dónde vamos a llegar en la protección a nuestros clientes? Tenemos que decidir cuánta información queremos dar sobre el robo de datos a los clientes que han sido víctimas de la estafa. También deberíamos prever en qué escenarios decidiremos cerrar, monitorizar o reabrir las cuentas afectadas.
7. ¿Estamos provocando que nuestros clientes se conviertan en víctimas sin darnos cuenta? Eduquemos a los equipos de ventas y márketing sobre las características de los correos electrónicos falsos, y asegurémonos de que los correos legítimos no hacen saltar las alarmas.
¿Cuánto tardo en averiguar si mi empresa es objeto de un ataque?
A veces los ataques de phishing se anuncian a bombo y platillo cuando los servidores de correo de nuestra empresa empiezan a recibir miles de mensajes rebotados al remitente aparentemente original. Pero también hay otras formas de averiguar si hay un ataque en marcha y, a veces, antes de que realmente ocurra.
a) Vigile los registros de dominios fraudulentos
Los phishers suelen montar sus falsos sitios web varios días antes de comenzar el envío de correos. Una forma de pararlos es descubrir y cerrar estos sitios, antes de que puedan empezar sus campañas de ataque. Podemos encargar de esta tarea a algún servicio de alerta antifraude, por ejemplo. Estos servicios usan tecnologías que rastrean la web en busca de usos no autorizados de nuestro logo o de nuevos dominios registrados que contengan el nombre de nuestra empresa. Así podremos estar preparados y actuar antes de que ocurra el ataque.
b) Ofrezca un buzón de e-mail centralizado
La manera más fácil y efectiva de averiguar si nuestra empresa es objetivo de los estafadores, es dar al público una dirección para informar de ello. Nuestros clientes, y también los que no lo son, serán los que nos informen de posibles intentos de phishing. Para ello lo mejor es establecer una dirección de correo electrónico única donde se puedan enviar los e-mails sospechosos. Una dirección del tipo fraude@miempresa.com.pe sería suficiente.
Además, lo ideal sería que esta dirección fuera monitorizada 24 horas al día los 7 días de la semana.
c) Vigile su tráfico web
Tras obtener la información de las víctimas, muchos sitios de phishing redirigen a los usuarios a una página de acceso del sitio web legítimo. El Internet Storm Center del Instituto SANS recomienda examinar los logs del tráfico web y buscar picos extraños en el tráfico recibido de dominios o direcciones IP desconocidas. Los CSO que lo hagan podrán reducir así al mínimo los daños provocados por los posibles ataques de phishing.
d) Contrate a expertos
Las mismas empresas que escanean Internet en busca de usos no autorizados de nuestro logo o nuestro nombre, pueden buscar también los sitios de phishing activos. Por ejemplo la firma canadiense Brandimensions tiene una inmensa red interconectada de nombres de dominio y direcciones de correo electrónico para atraer a los estafadores y spammers. Se llaman honeypots o señuelos que publican miles de direcciones de e-mail que atraen la atención de los rastreadores que buscan direcciones para enviar correo basura. Después usa un software para detectar los mails más dañinos para sus clientes.
 
 
¿Cómo puedo evitar que mis clientes sean víctimas de phishing?
Los que saben de phishing siempre dicen que la mejor defensa es que el usuario sepa lo que es el phishing y no responda a los mensajes fraudulentos. Pero para ello debe estar entrenado para pensárselo dos veces antes de contestar a un correo o a una ventana emergente que le pida datos personales.
Igual que los empleados de la empresa deben saber reconocer un correo fraudulento, podemos avisar a nuestros clientes sobre los peligros del phishing y dejarles muy claro que nunca les pediremos su número de cuenta, contraseña, DNI o cualquier otra información personal a través de correo electrónico. Debemos insistir en que no deben hacer clic en los enlaces que incluyen los correos, y que siempre deben escribir en una nueva ventana del navegador el URL de la página a la que quieren ir.
PayPal, por ejemplo, dispone de un Centro de Seguridad en su sitio web donde incluye una guía de consejos de seguridad de comercio electrónico y protección anti-fraude con información clara y fácil de comprender. También hay empresas que envían una carta por correo convencional a sus usuarios informándoles de este peligro y proporcionándoles consejos para usar sus servicios con seguridad.
¿Cómo debemos responder si sufrimos un ataque?
Una vez detectado el ataque, nuestro objetivo debe ser que el sitio web fraudulento sea cerrado lo más rápidamente posible. Esto reduce el tiempo del que dispone el estafador para recopilar información personal. Estos son los tres pasos que se deben dar cuando detectemos que estamos siendo víctimas de un ataque de phishing:
Paso 1: Recopilar información básica sobre el ataque. Debemos incluir capturas de pantalla del sitio web fraudulento, así como su URL.
Paso 2: Contactar con el proveedor de Internet o con el responsable del hosting de dicha web. Le explicaremos la situación y le pediremos que cierre el sitio. No obstante, muchos sitios de phishing se montan en computadoras hackeados, así que lo más rápido suele ser contactar con el propietario del site, decirle cuál es el URL en cuestión y pedirle que retire el contenido (y que parchee su servidor). Normalmente no tienen conocimiento de que su web ha sido hackeada, así que estarán agradecidos y se mostrarán muy colaboradores.
En cuanto a la respuesta del ISP, dependerá tanto del propio proveedor como de la relación que tengamos con él. Si es fluida, su colaboración será máxima para conseguir el cierre del sitio.
El peor escenario es aquél en el que la dirección IP del sitio fraudulento cambia continuamente, pasando de una computadora hackeado a otra en un complicado juego del gato y el ratón por todo el mundo.
Paso 3: Contactar con la Policía y la Guardia Civil. Aunque es un paso importante, tenga claro que no suele ser el más rápido, aunque sí necesario. Deberá facilitar toda la información posible.
¿Todo esto le parece demasiado para su empresa? Contrate a alguien que lo haga por usted. El mercado está lleno de compañías deseosas de ayudarle, como Hispasec Sistemas, la propia Telefónica, S21Sec o Verisign.
¿Qué puedo hacer contra los phishers directamente?
Deshabilitar los sitios fraudulentos es posiblemente la forma más directa de defenderse de los phishers. Su persecución legal es complicada, debido a la dificultad de evaluar cuánta información personal ha sido capturada, vendida y explotada.
No obstante, cuando se encuentran dificultades para cerrar un sitio web se puede optar por utilizar una controvertida práctica que se conoce como disolución: implica alimentar el sitio con información falsa de manera que el valor de los datos capturados por el delincuente se diluya y acabe abandonando.
La disolución es delicada por muchas razones, y no está claro cuál es la mejor forma de generar datos falsos. Además, los delincuentes pueden darse cuenta de que se les están enviando datos falsos si analizan de dónde les viene el tráfico o con qué frecuencia, y eso podría empujarles a mover el sitio falso a otro lugar o -peor aún- vengarse de nosotros. También hay otras consideraciones legales a tener en cuenta. Si alimentamos el sitio con mucha información falsa podemos provocar un ataque de denegación de servicio.
¿Cómo evolucionará el phishing en el futuro?
Los sitios web y correos electrónicos de phishing son cada vez más sofisticados, y los ciberdelincuentes han cambiado el tipo de compañías objetivo de sus ataques. Al principio se centraban en los grandes bancos, tarjetas de crédito y servicios de pago en línea, pero estas compañías han ido poniéndoles trabas para evitar daños, así que los phishers se están dedicando ahora a robar a pequeñas compañías que están menos preparadas para defenderse.
Al mismo tiempo, los estafadores utilizan listas de direcciones de correo cada vez más complejas. Por ejemplo, un phisher que dirige sus armas contra un banco regional puede elegir solo a aquellos clientes que utilizan un proveedor de Internet local de esa área. El denominado spear phishing personaliza incluso los correos para cada cliente. Otro ejemplo puede ser una estafa orientada a ejecutivos de determinados tipos de empresas. El analista de seguridad Steve Hunt informa de otra estafa de spear phishing mediante un correo con un mensaje de texto de un banco que le indicaba un número de teléfono. Al llamar, una voz grabada le solicitaba el número de la tarjeta de crédito y el PIN.
Mientras los usuarios se convierten cada vez más en expertos sobre los riesgos de divulgar información personal, los delincuentes buscan nuevas formas de recabar información sin que la víctima se dé cuenta. Esto se suele hacer con un método conocido como pharming. Igual que el phishing, su objetivo es recopilar información personal. La diferencia reside en que el pharming no se apoya en una petición por correo para engañar a sus víctimas, sino que altera el esquema normal de navegación de una web. De este modo, cientos de miles de usuarios pueden estar enviando sus datos personales a un delincuente cuando rellenan información en una página aparentemente legítima a la que han llegado tecleando personalmente el URL en su navegador.
El pharming combina una serie de amenazas como los virus y el software espía con otras técnicas más sofisticadas, como el uso de dominios engañosos o el DNS poisoning, consistente en alterar la relación entre un nombre de dominio y su IP, de modo que se remita a una IP falsa introduciendo un URL verdadero. Un ejemplo de esto puede ser un malware (virus, gusano, troyano o spyware) que reescribe los archivos local host, que convierten los URL en los números que usan las computadoras para encontrar y acceder a los sitios web. Entonces cuando el usuario teclea el URL de su banco, en realidad se le está dirigiendo a un sitio web que parece auténtico pero en realidad es falso. Otro ejemplo sería alterar la caché de un directorio DNS público (por ejemplo, un hacker en un proveedor de Internet) llevando así a todos sus usuarios a sitios web falsos.
En ambos casos, grandes cantidades de usuarios pueden ser enviados a sitios fraudulentos donde los delincuentes pueden monitorizar sus actividades y conseguir sus números de tarjetas de crédito y otra información sensible. No obstante, el pharming es técnicamente más complicado que el phishing. Para llevar a cabo un ataque de phishing solo hay que saber crear un URL plausible, una página web decente y un mensaje de correo. No es tan difícil, ¿verdad? Pero el pharming requiere conocimiento para manipular las caché de los DNS o conseguir acceso a los archivos de computadoras o servidores, y cambiar la configuración. Además, resulta mucho más dañino, porque es difícil que los usuarios se den cuenta de lo que está ocurriendo.
¿Cómo podemos protegernos de los ataques de pharming?
Como el pharming es más difícil que el phishing, también es más complicado protegerse contra él. Estos son algunos consejos para conseguirlo:
a) Desplegar software antivirus y de prevensión de intrusiones, firewall de escritorio con filtros para spyware y software de log que busque eventos específicos como picos en el tráfico DNS o picos en el tráfico de correo procedente de cada usuario.
b) Formar equipos de respuesta ante incidentes que sean conocedores de la amenaza, y enseñar a empleados y clientes cómo evitar incidentes de tipo pharming. También debemos extender la actividad formativa a nuestros socios de negocio, especialmente a pequeñas empresas que pueden necesitar cierta ayuda para enfrentarse a una amenaza de pharming.
c) Instalar controles en los servidores DNS, como sistemas de detección de intrusiones basados en host, para evitar que los visitantes o clientes acaben en sitios web falsos y se conviertan en víctimas de un ataque de pharming. También hay algunos fabricantes que se especializan en seguridad de DNS, como UltraDNS.
d) Conseguir que los proveedores de Internet cierren rápidamente cualquier sitio malicioso según lo detectemos. Sería necesario reforzar la tecnología de acceso a nuestros sistemas y servidores para evitar que sean objetivo de los pharmers.
e) Mantenerse al día en estándares como DNSSEC, y asegurarnos de que nuestro proveedor de Internet tiene los controles adecuados en sus directorios DNS y en sus servidores.
CSO, España