Related Posts Plugin for WordPress, Blogger...

martes, 5 de noviembre de 2013

El usuario, blanco predilecto del phishing


Es probable que alguna vez usted haya leído o escuchado el término phishing, pero no le ha prestado la suficiente atención. Quizás porque no se considera lo suficientemente importante como para ser objetivo de algún ataque cibernético o simplemente porque cree que su computador está blindado con la última versión del mejor programa antivirus. Tal vez sea tiempo de parar los remos y empaparse un poco sobre seguridad en Internet. Comencemos por lo que hoy nos ocupa aquí, el phishing.

Todo empieza con algo llamado ingeniería social. Según esto, la parte más débil de un sistema es el usuario. Es mucho más sencillo de engañar y manipular que cualquier sistema informático. Bastará encontrar el punto débil, el argumento para convencerlo de ceder la información necesaria para penetrar al sistema y vulnerar cualquier otra defensa. Siempre será más sencillo persuadir a una persona que a un sistema: son más predecibles.

A diferencia de otro tipo de ataques con malware, la ingeniería social está centrada en la persona, su blanco predilecto. Mientras que un cracker crear un virus e intenta inyectarlo a través de algún hueco de seguridad en el computador o la red, otro está ideando la estrategia para engañar al usuario. Esto se ve potenciado cuando ambas técnicas se combinan.

¿Qué es el phishing?

Dicho esto, el phishing es una técnica que emplean los ciberdelincuentes para engañar a los usuarios de la red y lograr que éstos revelen o proporcionen información confidencial o sensible que, posteriormente, puedan usar para cometer algún tipo de delito informático.

Para ello, emplean recursos que al usuario le resulten convincentes y dejen muy poco margen para que se cuestione la veracidad y confiabilidad del argumento. Casi siempre lo hacen suplantando la identidad de un amigo o de una organización conocida cuya confiabilidad está fuertemente a la víctima. De esto lo que les interesa es explotar la confianza que uno u otro genera en el usuario objetivo.

La forma clásica y mayormente efectiva que usa el atacante o phisher es hacerse pasar por el administrador del sistema que solicita datos al usuario, haciéndole creer que su cuenta de correo está en riesgo de ser cerrada si no proporciona los datos solicitados o no realiza las acciones indicadas lo antes posible a través de algún enlace incrustado en el mensaje recibido.

Lo que normalmente los usuarios ignoran es que el administrador o propietario de un sistema nunca necesitará pedirles los datos, pues al ser el administrador del sistema en que se alojan tanto sus datos como el registro de cualquier actividad de su cuenta, éste ya los conoce, ya tiene acceso a ellos y sabe bien cuáles cuentas están activas y cuáles no. Ningún administrador serio solicitará nunca nada al usuario.

¿Para qué querrían nuestros datos los delincuentes?

Para muchas cosas. Veamos algunas de ellas:
  • Hacer spam o enviar correos masivos no solicitados a direcciones o contactos asociados a la persona. 
  • Difundir códigos maliciosos entre los contactos de la víctima.
  • Secuestra la computadora de la víctima para usarla como puente hacia otra ruta y dificultar el rastreo en caso de una investigación técnica. 
  • Suplantar la identidad de la víctima para usar su imagen y reputación al contactar con personas conocidas y cometer delitos como enviar correos injuriosos, difamatorios, revelar fotografías íntimas, enviar correo basura, secuestrar la autonomía de la computadora, penetrar sistemas y centros de datos.
  • Vigilar la actividad de la cuenta, sustraer información confidencial y realizar ataques selectivos según el tipo de relaciones e interacciones que realiza el usuario propietario de la cuenta.
¿Cómo reconocer si se está ante un posible ataque phishing?
Estar preparados y atentos es una de las mejores formas que tenemos para protegernos de los ataques, porque no siempre habrá un sistema de por medio que nos inmunice en la red. Ningún sistema es infalible y los riesgos siempre estarán allí.

Veamos algunos tips de interés que desde InfoSpyware comparten en su un artículo sobre el phishing.

Cuando se trata de un e-mail, debemos observar lo siguiente.
  • Pocas veces son personalizados y su redacción es deficiente.
  • La dirección o el nombre del remitente es desconocido.
  • El mensaje es dirigido a muchos usuarios y sus direcciones de correo podemos verlas, aunque ya los atacantes las están ocultando.
  • El título del asunto o el texto principal del mensaje, trata sobre temas que son inusuales o desconocidos para el destinatario.
  • El link contenido en el cuerpo del mensaje no coincide con el que se indica en la barra de estado del navegador.
Veamos un mensaje recibido en los buzones de correo del personal administrativo de la Universidad Católica Andrés Bello:


Al ingresar al link, nos dirige a una página claramente fraudulenta:

Este es otro ejemplo más reciente:



Cuando lo que tenemos ante nosotros es un sitio web, deberemos tener en cuenta que éste puede ser idéntico al sitio original por el que intenta hacerse pasar. Entonces los puntos clave son:
  • La dirección URL es diferente a la del sitio suplantado.
  • Hay que verificar que la dirección URL coincida con el certificado de seguridad.
  • Comprobar que la dirección usa protocola https: La S es un indicador de que estamos antes un dirección segura y certificada.
  • Verificar la autenticidad de los enlaces acortados. Es frecuente que se camuflen sitios fraudulentos a través de acortadores de URL como BitLy.com, GoogleShotener.com o TinyURL.com.

¿Qué debemos tener en cuenta para no ser víctimas de phishing?

El más importante de todos los conejos que podemos darle, es que sea prudente al navegar por el inmenso mar de la web, use un criterio realista y verifique siempre que está en un lugar confiable. Si le parece que es demasiado bueno para ser verdad, desconfíe. Y hágase la siguiente pregunta: ¿daría sus datos personales a un desconocido que se lo solicite en la calle? Con toda seguridad usted respondería que no. Si eso es así, entonces ¿por qué habría de dárselos a alguien que los pide en Internet?

Consejos para evitar ser víctimas de phishing:
  • No proporcione sus datos por ninguna vía digital. Ninguna institución legítima le solicitará nunca sus datos. Lo más probable es que le envíen una notificación pidiéndole que pase por la oficina física.
  • No ingrese a enlaces recibidos por correo electrónico, especialmente aquellos donde piden su nombre de usuario y contraseña. Bórrelo y, de ser posible, bloquee al remitente.
  • No acceda al portal de su banco a través de un buscador. Escriba manualmente la URL en la barra de navegación. Los delincuentes cibernéticos también merodean en los buscadores.
  • No abra mensajes de correo electrónico con archivos adjuntos recibidos de remitentes desconocidos. Y aún si conoce a la persona, asegúrese que ella le haya enviado ese correo. Pregúntele antes de abrirlo.
  • No abra postales de amor, amistad o sexo. Tampoco difunda cadenas de mensajes. Ahí también se esconde el fraude.
  • No presione sobre enlaces de artículos, fotos o videos publicados en los muros de Facebook o Twitter que contentan títulos muy llamativos. Si provienen de un conocido, pregúntele si ya vio ese video. Él también podría estar siendo víctima de un ataque phishing.
  • Cierre toda página web que le solicite guardar un documento o realizar una descarga desde ese sitio. Y, si le es posible, contacte al sitio oficial y reporte la suplantación de su identidad.
  • No haga compras por Internet en tiendas que no sean de alta reputación en el mercado o en tiendan que no sean las originales.
  • No acceda a su cuenta bancaria desde equipos compartidos o en zonas con conexión Wi-Fi no segura. Sus datos pueden ser interceptados en el espacio.
  • No use equipos públicos como cibercafés, ya que allí podrían recabar sus datos de navegación y teclado con programas espías.
  • Actualice o emplee una contraseña segura. Use más de seis caracteres, combinando mayúslas, minúsculas y números. Cuanto más larga y combinada sea una contraseña, más segura será.
  • Instale y mantenga actualizados cortafuegos y antivirus. Si no sabe hacerlo, contacte con un soporte técnico de confianza.
  • Consulte siempre que sea posible con un experto en seguridad informática sobre los riesgos actuales en la web y telefonía celular inteligente.
  • Lea con frecuencia (se recomienda que sea por lo menos una vez a la semana) portales especializados en seguridad informática.
Hay muchas trampas que debe aprender a identificar a tiempo  para no ser víctima. Si aún no sabe cómo hacerlo, pregunto a un amigo o a un experto de conocida reputación. En t - applicada estamos abiertos para ayudarle con sus dudas, pero es recomendable que consulte varias fuentes a fin de hacerse una idea precisa y fiable de lo que debe hacer ante los riesgos de seguridad que hay en la red.

¿Qué fuentes en seguridad informática podemos consultar para estar al día?

Aunque el tema de la seguridad en la red es un asunto personal, nunca está de más conocer los expertos a los que podemos consultar para aclarar dudas e inquietudes. Tal vez no nos respondan a la primera consulta, pero con un poco de insistencia, seguro podremos conseguir un poco de atención. Recuerde que en t - applicada también podemos ayudarle. Si no lo sabemos, lo investigamos para usted.

Las páginas que recomendamos son las siguientes.
Para acceder a más fuentes de seguridad, pueden visitar en Twitter nuestra lista Ciberseguridad



¿Cuál es la conclusión?

Los usuarios desprevenidos o confiados, esos que pocas veces cuestionan la realidad o que se mueven en base a la apariencia, son las presas más buscadas por los ciberdelincuentes.

El phishing, como muchas otras amenazas de la red, siempre estará ahí, evolucionando y a la caza furtiva de usuarios incautos. Técnicamente se le puede cercar, pero no será posible suprimirlo. Lo mejor que podemos hacer para no ser víctimas, es estar informados sobre las novedades y formados en las estrategias que podemos usar para afrontarlo.

Piense mal y manténgase alerta ante todo lo que fluye por la red. En alguna parte siempre habrá alguien intentando sacar provecho de usted, de sus descuidos. No caiga en la trampa de confiar en lo aparente. Indague y asegúrese de estar tratando con alguien fiable.

Por favor, deje sus comentarios más abajo. Gracias anticipadas por los aportes que tenga a bien realizar sobre este artículo.

Artículos relacionados:
Videos recomendados: