Llegamos a ustedes gracias a:



Reportajes y análisis

Phishing: la amenaza continúa

[23/03/2010] Octubre del año pasado representó un nuevo récord en el número de sitios golpeados por el phishing. De acuerdo al Anti-Phishing Working Group (APWG), 356 sitios de marcas fueron atacados con esta técnica criminal, un incremento de 4,4% con respecto al anterior máximo histórico que se observó en agosto de ese mismo año.

El phishing parece no retroceder sino hacerse más sofisticado. Ya no solo se trata del clásico correo electrónico, aparentemente enviado por un banco, en el que de alguna forma se nos pide que ingresemos nuestros datos. Ahora uno puede recibir pedidos de ayuda para alguna persona perdida, solicitudes de actualización de datos de nuestra propia empresa, e incluso algún fax muy bien elaborado.
Foy Shiver es uno de los hombres del APWG que se encarga de combatir esta actividad criminal. Como secretario general de esta organización visitó Lima para el evento Seguridad de la Información para Banca y Finanzas organizado por Telefónica y esbozó los aspectos más notables e importantes de la guerra contra este crimen.
La estafa
El phishing es básicamente ingeniería social. Obviamente, se basa en un nivel de tecnología que ha dado grandes saltos en tiempos recientes pero todo el mecanismo tecnológico de la estafa se dispara cuando la víctima muerde el anzuelo y se traga la mentira que le están contando.
La clásica carnada utilizada por los criminales es un aparentemente inofensivo correo electrónico enviado por una institución bancaria, en el que solicita a la futura víctima que ingrese a un sitio web similar al del banco para que entregue sus datos de log in. Una vez captada esta información, el criminal podrá llegar hasta el dinero de la víctima y robarle.
Como señala Shiver, no se trata ya de un sujeto de mala apariencia con una pistola en la mano sino de una estafa bien elaborada y, por tanto, más difícil de detectar para muchas personas.
Si antes la estafa era detectable debido a la pobreza en la elaboración del correo o del sitio fraudulento al que se llegaba, ahora la sofisticación que alcanzan los criminales es increíble. De acuerdo a Shiver en el último trimestre del año pasado se detectaron al menos unas 300 marcas que estaban siendo objeto de targetting por parte de los cibercriminales. Esto significa que los malhechores estudiaron los sitios de estas instituciones y aprendieron como simular sus procedimientos.
Los criminales saben todo acerca de ellas. Saben, por ejemplo, cómo son los procedimientos de log in, saben cómo simular todos los procesos, y por tanto uno ni siquiera podría notar que no se encuentra en el sitio del banco, sostuvo el investigador.
¿Y por qué se ha producido toda esta sofisticación? Gracias a la tecnología, hay que decir.
A medida que las instituciones financieras y los consumidores mudaron sus operaciones a la banca electrónica, Internet se convirtió en un campo propicio para los timadores. El lenguaje HTML, en el cual se basa la Red, ayudó en este campo. Gracias a él, es sencilla la redirección de una persona hacia un sitio fraudulento, sin importar que el usuario utilice un correo web o incluso un Outlook ya que estos tipos de aplicaciones también leen el HTML.
Sin embargo, los bancos y los usuarios se dieron cuenta de las estafas y tomaron precauciones. Desafortunadamente, los criminales también tomaron las suyas.
Evolución
El correo electrónico con el enlace poco a poco fue cambiado por otras técnicas. Shiver indica que entre las técnicas utilizadas se detectó una en la que un correo electrónico era enviado a varios alumnos de una universidad, indicándoles que un compañero suyo se había extraviado y necesitaban encontrarlo. El mail les pedía que hicieran clic en el enlace para acceder a la foto de la persona. Al hacerlo, los alumnos no solo accedían a la foto sino que un malware era descargado en la PC del usuario.
Ese malware podría luego capturar información del alumno y transmitirla al delincuente que los había enviado. Un ejemplo típico de malware son los key loggers, programas que registran lo que el usuario de una computadora ha tecleado en su máquina. La ingeniería social avanzó así hacia un nuevo campo. Ya no apelaba a los procedimientos necesarios para mantener una cuenta bancaria, sino que tocaba la sensibilidad de las personas. El espectro de posibles víctimas era más amplio -ya no solo aquellos con cuentas en un determinado banco- pero también más amplio era el tipo de información al que se podía acceder.
De acuerdo a Shiver, el otro extremo del espectro de víctimas también es bastante lucrativo. La APWG también ha detectado una nueva actividad a la que se denomina whaling y que apunta solo a personajes de peso de una organización.
Con el whaling (de whale = ballena, en inglés; es decir, el pez gordo) se trata de capturar la información que pueda manejar un CIO, un CEO o un jefe de sistemas. Por su puesto, un CIO debería encontrarse al tanto de todo este tipo de estafas y engaños, y debería ser casi imposible de engañar, pero la experiencia dice que esto no es necesariamente cierto.
Las técnicas de ingeniería social son más sofisticadas cuando se trata de pescar a estos peces gordos. Un ejemplo: al CIO o CEO de una gran empresa puede llegarle un correo electrónico aparentemente enviado por su área de recursos humanos señalándole que actualice sus datos. La prisa, la confianza o diversos factores pueden hacer que la persona solo se deje guiar por la apariencia del correo y la información que tiene a la vista, y envíe los datos solicitados.
Otro ejemplo: al fax -sí, también hay phishing mediante fax y se denomina offline phishing- de un gerente llega un mensaje pidiendo que se llene el formulario adjunto y se devuelva por la misma vía para una reunión de la compañía. Dado que no parece phishing ya que no es un correo electrónico, algunos podrían caer en la trampa y enviar la información solicitada.
Finalmente, un gerente puede ser también víctima de un VoIP attack. El gerente recibe una llamada telefónica aparentemente de la compañía de teléfonos, seguros o cualquier otra y le solicita cierta información. Dado que incluso se puede falsificar el número que aparece en el identificador de llamadas es probable que una convincente voz del otro lado de la línea pueda acceder a cierta información clave de parte del gerente.
Por su puesto, estos ataques no son sencillos. Ellos implican un alto grado de conocimiento de la futura víctima y de la empresa en la que trabajan, pero hay que recordar que esa es la labor de los delincuentes, a ello dedican sus esfuerzos.
¿Qué hacer? Ser más cuidadoso. También hay responsabilidad de parte del usuario. Cuando salimos a la calle tomamos medidas de seguridad, somos cuidadosos cuando conducimos un auto. Lo mismo tenemos que hacer en Internet: tener cuidado, de la misma forma que en el mundo real, señala Shiver.
Por su puesto, ayuda también revisar los sitios dedicados al combate del phishing y de las otras formas de crimen en línea. El sitio de la APWG tiene información útil al respecto.
Y, por supuesto, no piense que nunca le va a pasar a usted.
Jose Antonio Trujillo, CIO Perú