Llegamos a ustedes gracias a:



Reportajes y análisis

El eslabón más débil de la seguridad

[27/10/2009] A inicios de mes, la sensación de inseguridad se apoderó de los internautas. Un aparentemente exitoso ataque de hacking había vulnerado la seguridad de uno de los servicios de correo electrónico más usados del mundo, Hotmail; lo cual levantó temores acerca de lo que realmente podían hacer los hackers, incluso con un servicio perteneciente a la corporación tecnológica más grande del mundo.

Con el pasar de las horas el panorama se aclaró. Ciertamente, no se trataba de un ataque de hacking a las máquinas de Hotmail. Las listas con contraseñas robadas a los usuarios y publicadas luego en Internet no se obtuvieron rompiendo la seguridad de los servidores de la empresa. Esta información se obtuvo mediante técnicas de phishing que apuntan a engañar al usuario para que sea él mismo o ella misma la que proporcione su información. Nuevamente, la cadena de seguridad se había quebrado en el eslabón más débil: el usuario.
Alarma inicial
Todo se inició cuando los responsables del ataque -que aún no han podido ser identificados- publicaron una lista con las contraseñas para el ingreso a las cuentas de correo electrónico de Hotmail. Las cuentas listadas eran miles -se llegó a decir que hasta 10 mil- y Microsoft hizo público el reconocimiento de este incidente, pero aclarando que se trataba de un phishing a los propietarios de las cuentas, no de un ataque de hacking a sus servidores.
El panorama se aclaró más cuando aparecieron otras listas con cuentas de otros servicios de correo electrónico como Gmail y Yahoo. Era entonces evidente que la falla de seguridad no era responsabilidad de Hotmail, como en un inicio se pensó, sino que se trataba de la prueba más contundente de que el usuario sigue siendo el eslabón más débil de la cadena de seguridad.
Lo de Hotmail ha despertado bastante preguntas. Es un tema relevante porque afecta al usuario final, pero algo que es importante explicar es que lo que sucedió no fue un hackeo a Hotmail, sino un fenómeno de phishing. Es importante hacer esta salvedad porque el engaño conocido como phishing está creciendo cada vez más, sostuvo Christian Linacre, gerente regional de seguridad y audiencia técnica de Microsoft América Latina, durante un webcast con medios de la región, entre los que se encontraba CIO Perú.
Aumenta el peligro
Linacre sostuvo que la cantidad de sitios web de suplantación que se crean en América Latina para realizar ataques de phishing está creciendo a ritmo acelerado. Por industria, los sitios más suplantados son los de las entidades financieras, seguidos de los sitios de redes sociales, y muy por debajo las acompañan los sitios de comercio y servicios web.
Linacre señala que si los delincuentes quieren engañar a los usuarios es porque quieren la valiosa información que ellos tienen, y es ese el mismo motivo por el que los casos de suplantación se producen con mayor frecuencia en sitios de entidades financieras y de redes sociales. Los primeros están directamente relacionados con el acceso al patrimonio financiero de un usuario; los segundos son verdaderas minas de datos que se pueden utilizar para múltiples propósitos, más allá del acceso a las cuentas financieras.
La recomendación, aunque suene trillada, es que el usuario tome conciencia de que debe protegerse de los delincuentes de la misma forma en que lo hace en el mundo real: teniendo cuidado con lo que hace.
Y esto es particularmente importante porque el más reciente ataque de phishing ha demostrado que los delincuentes se han dado cuenta que es más sencillo engañar a un usuario, que romper la seguridad de uno de los sitios web para llegar a la información que necesita. Si el usuario es el eslabón más débil, entonces hay que reforzarlo, con educación.
Por ello Linacre da dos recomendaciones. Primero, piense dos veces antes de hacer clic una vez. Si el usuario recibe un correo electrónico en donde se le pide su contraseña bancaria o de algún otro servicio es bastante sencillo razonar que es un correo falso. Prácticamente ninguna entidad financiera o de servicios web envía correos electrónicos a sus usuarios solicitando este tipo de información.
Segundo, descargue archivos solo de sitios web conocidos y confiables. No visitar sitios web a los que uno llega mediante una invitación de correo electrónico con un enlace, y mucho menos si estos son parte de las famosas cadenas. Si uno desea descargar un programa, lo recomendable es hacerlo desde el sitio web de la empresa; así si uno va a descargar un programa de Adobe, por ejemplo, se debe ir al sitio web de la compañía, y no hacerlo desde el sitio de un tercero, pues no se tiene la seguridad de que el software no haya sido manipulado.
Tercero, use la tecnología a su favor. En ocasiones, es difícil determinar si el redireccionamiento que uno ha seguido en la red es parte de un engaño; las técnicas se pueden llegar a sofisticar tanto que le sea difícil incluso al usuario muy precavido determinar si se está dirigiendo a una trampa o no. En estos casos hay que confiar en la protección que nos brindan los nuevos navegadores. Éstos advierten al usuario mediante ciertas señales que el sitio web que se desea visitar es riesgoso o falso. Igualmente, los modernos antivirus poseen en la actualidad filtros antiphishing que avisan al usuario en el caso de hallarse un correo electrónico fraudulento.
Aquí la recomendación general es poseer tanto un antivirus como un navegador actualizados. Ellos se encargarán también de la seguridad del usuario.
Seguridad, por favor
Ninguna tecnología es suficientemente buena si los usuarios no la usan, la ignoran -hay navegantes que a pesar de las advertencias del navegador ingresan a sitios peligrosos- o simplemente son descuidados.
El descuido del usuario quedó pasmosamente claro al revisar la lista de contraseñas que pusieron al descubierto los atacantes del incidente de phishing de inicios de mes.
Como señala Roberto Arbelaez, CSS Security Program Manager for LATAM de Microsoft, en el blog de seguridad de la compañía, las listas de contraseñas mostraban passwords inseguros, algunos incluso demasiado evidentes:
1. 123456 – 64 ocurrencias
2. 123456789 – 18 ocurrencias
3. alejandra – 11 ocurrencias
4. 111111 – 10 ocurrencias
5. alberto – 9 ocurrencias
6. tequiero – 9 ocurrencias
7. alejandro – 9 ocurrencias
8. 12345678 – 9 ocurrencias
9. 1234567 – 8 ocurrencias
10. estrella – 7 ocurrencias
¿Qué se puede hacer entonces si son los propios usuarios los que ponen en riesgo su seguridad? Tomar incluso más medidas para combatir el creciente peligro del phishing.
Preguntando sobre qué otras acciones ha tomado la corporación para enfrentar este fenómeno, Linacre respondió que Microsoft tiene una política de coordinación con los Centros de Respuesta ante Incidentes de cada país.
Cuando detectamos una página fraudulenta la reportamos y eventualmente se contacta con el ISP que corresponda. En general, en América Latina los distintos gobiernos tienen centros de respuesta de incidentes con los que tenemos acuerdos de colaboración, sostuvo el ejecutivo.
La tarea no es sencilla ya que, como señala Linacre, los sitios web fraudulentos generalmente están alojados de manera engañosa en servidores web formales que han sido vulnerados. Estos sitios delincuenciales, además, tienen una vida muy corta, en ocasiones de tan solo horas, en la que se dedican a recopilar información de usuarios engañados para luego desaparecer sin dejar rastro.
Dada esta característica es que Linacre considera que el reciente ataque masivo de phishing no fue en realidad un ataque, sino que las listas que se publicaron son en realidad el producto de una serie de varios ataques de phishing a lo largo de un considerable periodo de tiempo.
La educación del usuario es por tanto fundamental y es por ello que la corporación también ha creado programas dirigidos a las personas.
Desde el punto de vista de educación al usuario, tenemos la iniciativa global en América Latina llamada Navega Protegido en la cual entregamos a los usuarios finales recomendaciones de cómo navegar de forma segura, cómo escoger una buena contraseña, y cómo proteger a su computadora, y a su familia. Porque el phishing no esta circunscrito al correo sino a redes sociales, y otros sitios, sostuvo el ejecutivo.
El programa ya se encuentra en once países de América Latina, incluyendo al Perú y es un esfuerzo conjunto con la Fundación Ricky Martin.
Uno de los periodistas preguntó durante el webcast por qué la gente elige contraseñas inseguras, a lo que Linacre respondió que sencillamente las personas no están informadas, es un tema de educación.
José Antonio Trujillo, CIO Perú