|
 |
 |
 |
|
|
| Cómo hacer para protegerse del Phishing
|
|
Protege tu patrimonio aprendiendo cómo reconocer un correo electrónico
fraudulento que solicite tu información financiera. |
 |
VER
VIDEO |
|
|
|
|
|
 |
|
|
|
|
 |
|
 |
|
| Conocida por ser la amenaza con mayor
incremento en los últimos dos años, el Phishing utiliza una combinación de
Ingeniería Social y elementos técnicos para engañar a un usuario y lograr que
entregue involuntariamente su información confidencial a usuarios
malintencionados. En esta sección: |
|
|
|
|
 |
|
 |
|
|
|
|
|
PHISHING, que no te 'pesquen' desprotegido.
En Septiembre del 2003, hablar de Phishing era casi como hablar de Física
Cuántica, solo unos cuantos especialistas en la materia podían disertar sobre
el tema. Doce meses después, se había convertido en la mayor amenaza emergente
de todos los tiempos, con índices de crecimiento y proyección de daños muy
superiores a cualquier virus conocido en la toda la historia.
¿Qué fue lo que llevó a esta forma de Malware (Malicious Software) a crecer en
esta acelerada proporción? El Dinero. Hasta el 2003 era seguro
aseverar que la gran mayoría de los virus y sus variantes, como son gusanos y
troyanos, estaban orientados a causar daños en infraestructura y datos a
personas y organizaciones, y aun cuando indudablemente esto se traducía en
costos en tiempo y dinero, rara vez el programador que originaba el código
malicioso recibía un beneficio económico por su dañina labor.
Con el tiempo, la red de redes ha crecido exponencialmente como escenario de
actividad económica, y con ello ha llamado la atención de una gran cantidad de
personas mal intencionadas (perfectamente denominables como delincuentes), que
han adaptado sus tradicionales formas de fraude a este nuevo modelo
electrónico, desarrollando esquemas tecnológicos que permitan engañar a un
usuario y apoderarse de la información que se requiere para tener acceso a su
dinero y tarjetas de crédito, como son Nombres de Usuario y Contraseñas.
Phishing, definición funcional.
Se conoce como Phishing al conjunto de técnicas empleadas para robar la
Identidad Electrónica de un individuo, logrando con ello tener acceso a áreas o
servicios privados haciendo uso de ellos en beneficio ajeno, constituyendo por
ello el delito de fraude.
La gran mayoría de los esquemas de seguridad establecen que un individuo
requiere cuando menos de un Nombre de Usuario y una Contraseña
para tener acceso a áreas o servicios privados, como son su Correo
electrónico, sus Cuentas de Banco, sus Tarjetas de Crédito o bien, su propia
computadora.
Estos elementos, como son Nombre de Usuario, Contraseñas, Tarjetas de Códigos,
y demás dispositivos de seguridad forman lo que se conoce como ' Identidad
Electrónica ', o en algunos medios se denomina 'Credenciales'
de un individuo, y son las que le permiten acceder a información y sitios
restringidos.
Sobra decir que las personas deben tener especial cuidado de no divulgar su
Identidad Electrónica a nadie. Cualquier persona que llegase a conocer la
contraseña de tu correo electrónico por ejemplo, podría leerlo e incluso
responderlo como si se tratara de ti mismo, haciéndose pasar por ti ante los
ojos del receptor del mensaje.
Pero la realidad es que a pocos delincuentes les puede interesar el contenido
de tus mensajes de correo electrónico ( a menos que revelen información
importante para defraudarte ). A estas personas mal intencionadas les interesa
ganar acceso a una sola cosa: Tu dinero .
Pero, ¿cómo lograrían robar mi dinero?
Los Phishers (delincuentes que llevan a cabo la actividad de Phishing)
utilizan una combinación de Ingeniería Social (ver enlace) y Elementos Técnicos
para robar la Identidad Electrónica de un individuo .
El esquema de Ingeniería Social mas utilizado es el de enviar Correos
electrónicos falsos diseñados para atraer a las víctimas hacia sitios
igualmente falsos pero idénticos a los de las instituciones bancarias y de
tarjetas de crédito, que han sido programados para solicitarle al visitante que
divulgue su información sensible, contraseñas, etc. para después hacer mal uso
de ellas.
Por otro lado, por medio de elementos técnicos pueden lograr 'sembrar' en el
equipo de la víctima un tipo de software (keyloggers y troyanos) capaz de
captar todo lo que el usuario escribe en su teclado para después reportarlo a
sitios manejados por los mismos delincuentes, logrando así hacerse de las
credenciales de ese usuario. Esto claro, requiere que se visite el sitio
fraudulento o que se acepte ejecutar un archivo adjunto al correo electrónico
de engaño , por eso repetimos la misma recomendación de siempre:
No sigas ligas que vengan en correos o páginas que no sean seguras, ni ejecutes
archivos adjuntos en mensajes de correo electrónico a menos que sepas
perfectamente quien te lo envío.
Este tipo de software que se 'siembra' en el equipo del usuario sin su
consentimiento para lograr robar su identidad electrónica se conoce con el
nombre de CRIMEWARE ya que se utiliza en una actividad
criminal que daña a las víctimas en sus patrimonios.
Al final, el delincuente dispone de tu Identidad Electrónica, y puede con
ello entrar a tus cuentas, ver tus saldos, ordenar traspasos, comprar
productos, y hacer todo lo que tu mismo harías sin que la institución
financiera tenga forma de saber que no eres precisamente tu el que las esta
haciendo.
Los ataques de Phishing causan mayores estragos entre los usuarios
principiantes de servicios de comercio y banca electrónica, quienes podrían
considerar 'normal' el recibir un correo electrónico solicitándoles ir a un
sitio para ingresar su información.
Pero no te alarmes, en la sección ' Recomendaciones ' te damos
sencillos consejos que ayudan a hacer prácticamente imposible que esto te pueda
suceder, es solo que resulta muy importante que estés al tanto que esto si
puede suceder si no se toman las precauciones adecuadas. Mientras mejor
informado te encuentres, mas difícil será que te puedan sorprender, aun si eres
usuario principiante.
Cabe resaltar que aun cuando mas del 90% de las campañas de Phishing están
orientadas hacia el sector financiero, también se han registrado ataques a
sistemas de comercio electrónico como eBay y PayPal, a servicios de
reservaciones como Expedia.com, y a varios almacenes comerciales entre otros.
Escenarios para el engaño.
En prácticamente todos los casos, tú recibes un correo electrónico para buscar
engañarte en dos formas conocidas:
Escenario No. 1, El archivo adjunto.
Recibes un correo en donde te 'informan' que tu servicio de banca en línea ha
sido suspendido por diversas causas, y que debes seguir las instrucciones
contenidas en el archivo adjunto para restablecerlo.
Al momento de que ejecutas (haces doble clic) el archivo adjunto, un código
troyano (keylogger) es instalado en tu computadora sin que lo notes. A partir
de ese momento, ese código malicioso se encargará de almacenar todo lo que
hagas en tu equipo, lo que escribas en el teclado, los programas que ejecutes,
los movimientos del mouse, etc., para continuamente enviarlo en forma invisible
hacia sitios especiales en donde toda esta información es revisada por los
delincuentes, quienes pueden fácilmente distinguir cuales son Nombres de
Usuario, Contraseñas y demás datos necesarios para cometer sus fraudes.
Escenario No. 2, El Sitio falso.
En este caso el correo explica que por diferentes causas (todas falsas), tu
institución financiera requiere que confirmes toda tu información confidencial,
pidiéndote para ello que visites un sitio en donde se te mostrará un formato
para que puedas fácilmente escribir tus datos como Número de Cuenta, Nombre de
Usuario, Contraseñas, etc.
Casi siempre incluyen una liga para 'facilitarte' las cosas, con hacer clic
sobre ella serás llevado al sitio falso donde te pedirán toda tu información.
Algunos esquemas mas avanzados logran llevar a la víctima a estos sitios con
solo hacer clic sobre cualquier parte del texto del correo, no necesariamente
sobre la liga en cuestión. (Esto se logra ya que el texto completo del correo
es en realidad una sola imagen)
Una variante de este escenario sucede cuando al visitar el sitio fraudulento,
un código troyano (keylogger) es automáticamente instalado en tu equipo sin tu
consentimiento, creando entonces el mismo riesgo a tu privacidad presentado en
el escenario No. 1
Vale la pena mencionar que estos correos y sitios falsos son diseñados con
mucha atención en el detalle, es muy difícil distinguirlos de los reales y en
efecto, se requiere de mucha creatividad y conocimientos técnicos para
desarrollarlos.
Si tienes interés en conocer distintos modelos que han sido realmente
utilizados por criminales para engañar a los usuarios, la Anti-Phishing Working
Group, organización no lucrativa que se dedica a combatir este cáncer
informático, publica en su sitio un archivo histórico que puede consultarse
aquí.
Finalmente, te reiteramos
la importancia de educarte en
este tema para mantenerte
alerta y protegido. No dejes
de revisar la sección mas adelante
donde se explica qué
es el Pharming, otro modelo
tecnológico pensado para engañar
al usuario y obtener su Identidad
Electrónica. La sección ' Tecnología
Explicada ' te ayuda a entender
el concepto de Crimeware.
No te dejes sorprender, ¡Actualiza
tus conocimientos!
Como protegerte de ataques de Phishing.
En la siguiente tabla encontrarás importantes recomendaciones de seguridad que
ayudarán a evitar que llegues a ser víctima de un fraude. Como podrás notar
algunas son relativas a seguridad en general, por eso te explicamos en la
columna de observaciones en qué te ayudan en relación directa con el Phishing.
| Recomendación |
Porqué |
Observaciones |
| Mantén actualizado tu Sistema
operativo y todos sus componentes.Visita el
Centro de Actualización de Microsoft.
|
Una gran cantidad de ataques a PCs
en los que se 'siembran' códigos maliciosos para robar su identidad, se logran
a través de vulnerabilidades del Sistema Operativo o alguno de sus componentes |
Un estudio de
CompTIA demostró que los ataques basados en fallas del Internet
Explorer crecieron por tercer año consecutivo. En este ultimo estudio se
demuestra que el 56.6% de las 500 organizaciones participantes reportaron haber
sufrido ataques de este tipo.
|
|
Utiliza un software Antivirus y manténlo actualizado
|
Casi la totalidad de los códigos
maliciosos enviados en archivos adjuntos de correos electrónicos son detenidos
por los programas antivirus comerciales.
|
De esta manera evitarás que un usuario mal intencionado pueda 'sembrar'
software (keyloggers) que registre tu actividad y la envíe a sitios
fraudulentos.
|
|
Instala un Firewall personal
|
Si acaso el Antivirus no detectara un código malicioso, ten la seguridad que
éste intentará comunicarse con un sitio fraudulento mediante ' Puertas
Traseras' de tu equipo. Un Firewall mantiene cerradas estas
'puertas' para evitar dicha comunicación.
|
Si tu sistema operativo es Windows
XP, el Service Pack 2 incluye un Firewall que se configura automáticamente para
protegerlo.
Visita el
Centro de Actualización de Microsoft para asegurase de que cuentas con
el.
|
|
Instala un software Anti-Spyware y manténlo actualizado.
|
Desgraciadamente solo se requiere visitar ciertas páginas Web para que tu
equipo quede automáticamente contaminado con software que espía tus
actividades, y que en muchos casos no es detectado por el antivirus.
|
Microsoft ofrece una versión
gratuita de su software Anti-spyware a usuarios de copias legítimas de Windows,
que además se mantiene actualizado automáticamente.
Descárgalo aquí.
|
|
Configura los niveles de Seguridad y Privacidad del Internet Explorer en un
nivel no menor a Medio.
|
De esta forma el Internet Explorer
no permitirá que te depositen en tu equipo archivos de identificación
potencialmente peligrosos, y te avisará cuando un control activo intente
ejecutarse en tu equipo.
|
Ve a Herramientas | Opciones de Internet y revisa los niveles en las pestañas
'Seguridad' y 'Privacidad' para asegurarte que no estén debajo del nivel
'Medio'
|
No hagas clic sobre una liga en un
correo electrónico si no puedes verificar la autenticidad del remitente.
No dejes de revisar la sección sobre el tema de ' Pharming '.
|
Una de las cosas mas sencillas para un Phisher es disfrazar la dirección a la
que realmente te llevara si haces clic sobre alguna liga. Aun si la liga se
puede leer en el correo, y dice algo como
http://www.unsitio.com
/registro.asp puede en realidad llevarte a otro lado.
|
Siempre es preferible escribir la
dirección URL completa cuando desees visitar un sitio Web, sobre todo si se
trata de uno con actividad delicada, como sería el de tu banco. Mejor abre tu
explorador y en la Dirección escribe la del sitio que deseas visitar, por
ejemplo http://www.Bancomer.com.
|
Asegúrate de encontrarte en un
sitio Web seguro si vas a llevar a cabo operaciones de comercio o banca
electrónica.
NOTA: Debemos mencionar que desgraciadamente, aun cuando la
dirección del sitio empiece con https:// y aparezca el icono del candado,
existe una pequeña posibilidad de que ambos sean falsos, Una vulnerabilidad
llamada Cross-Site Scripting ( XSS ) por
ejemplo permite suplantar estos elementos y dar la falsa sensación de seguridad
a un usuario.
Sin embargo, debemos también decir que prácticamente todos los sitios de
Instituciones Financieras están actualizados para no permitir un ataque por
este medio.
Información detallada.
|
Las instituciones serias protegen la seguridad de sus clientes utilizando los
llamados ' Certificados de Seguridad ' en sus sitios Web, que
entre otras cosas permiten encriptar la información que envías para que viaje
segura por Internet. Así puedes tener confianza en que datos sensibles como
contraseñas, números de cuenta o tarjeta de crédito, etc. No serán vistos por
delincuentes.
|
Revisa que la dirección del sitio
Web en que te encuentras empiece con https:// en lugar del
tradicional http://.
La 's' adicional significa 'Seguro'.
Además, nota el símbolo de candado que aparece en la barra inferior de tu
explorador, lo que indica que el sitio cuenta con un certificado de seguridad.
Puedes hacer doble clic sobre este icono para saber los detalles del mismo, que
empresa lo expidió, cuando vence, etc.
|
|
Nunca reveles a nadie tu información confidencial.
|
Recuerda que tu Identidad
Electrónica es todo lo que un delincuente necesita para entrar a tus cuentas y
llevar a cabo todas las operaciones que tú mismo podrías realizar.
|
Evita incluso entregar tu información a gente de tu confianza, pues incluso
ellos podrían accidentalmente ponerla disponible a terceros.
|
|
Cambia tus nombres de usuario y contraseñas con alguna frecuencia.
|
De esta manera limitas aun mas la posibilidad de un fraude, mas aun si utilizas
contraseñas complejas pero fáciles de recordar.
|
Si sospechas que tu Identidad
Electrónica ha sido robada, cambia tu contraseña de inmediato y repórtalo a tu
institución financiera.
|
|
Aprende a distinguir las señales de advertencia.
|
Tu puedes evitar los peligros si aprendes a distinguir métodos fraudulentos
para apoderarse de tu identidad electrónica.
|
Sospecha siempre de:
a) Solicitudes de información personal a través del email.
b) Mensajes con ofertas demasiado atractivas para ser verdad, o bien, demasiado
alarmistas.
c) Errores de redacción, muchos de estos mensajes provienen de Asia y otros
países del Este, por lo que pueden presentar errores evidentes de lenguaje.
d) Mensajes que no vengan personalizados.
|
|
Considere instalar una barra de herramientas en tu explorador que te proteja de
sitios fraudulentos.
|
Estas barras están asociadas a bases de datos con el registro de todos los
sitios que han sido reportados como fraudulentos. Cuando intentas visitarlos
recibes una alarma.
|
Revisa los enlaces de esta sección con información sobre la barra gratuita que
ofrece NetCraft y que ha sido evaluada por nuestra empresa.
|
|
Evita realizar operaciones financieras desde lugares públicos.
|
Los ciber-cafés, clubes de Internet,
aeropuertos y demás sitios con accesos públicos y abiertos presentan un muy
alto riesgo de que tu información pueda ser robada,
|
Incluso si utilizas tu propia Laptop
en un sitio con acceso inalámbrico abierto (aun cuando no sea gratuito), puede
implicar un riesgo realizar operaciones con tus cuentas. En la medida de lo
posible, realízalas desde tu oficina u hogar en una PC que sea de tu confianza.
|
|
Revisa periódicamente todas las cuentas en las que tengas acceso electrónico.
|
A veces se abren cuentas en lugares que se utilizan solo una vez, por ejemplo
el sistema PayPal para pagar algún servicio, o en eBay para poder hacer alguna
compra, y después pasa mucho tiempo para volverlos a usar.
|
En estas cuentas se podrían estar llevando a cabo operaciones a tu nombre sin
que te enteres . No dejes pasar mas de 30 días sin revisarlas.
|
|
Ante cualquier irregularidad, contacta a tu institución financiera.
|
Ellos son el mejor medio para verificar si un correo es auténtico.
|
Si vas a llamar a tu institución financiera, no hagas caso de números
telefónicos que vengan incluidos en los mensajes, porque pueden ser igualmente
falsos. Llama al número que conozcas o que venga listado en la sección
amarilla.
|
|
Reporta los correos fraudulentos.
|
De esta manera ayuda a proteger al resto de la comunidad de Internet.
|
Re-dirige el mensaje intacto a la
dirección:
reportphishing@
antiphishing.org
|
|
Mantente al tanto de las alertas y recomendaciones de tu institución
financiera y/o de Comercio Electrónico..
|
En sus sitios Web es común encontrar ahora secciones especialmente dedicadas a
la seguridad con información siempre al día de las amenazas a las que debes
poner mayor atención.
|
No olvides también revisar las recomendaciones de Condusef, Revísalas aquí.
|
|
Y Finalmente, ¡Se Precavido!
|
Es mejor partir de no creer nada y después averiguar, que viceversa
|
A todo el arsenal de sistemas de
defensa que utilices, como son Antivirus, Firewalls, etc., añade uno muy simple
pero eficaz:
La Precaución
|
© e-Zine de Seguridad y Privacidad Web.
 |
¿Qué es el Pharming?
(Artículo
con nivel técnico)
Para entender qué es el Pharming, es necesaria una explicación previa sobre la
manera en que funciona Internet, y cómo es que una dirección Web es actualmente
accesada por tu Internet Explorer.
Cada computadora conectada a Internet tiene un número que la diferencia. Este
número se llama Dirección IP (Internet Protocol ). No importa si la computadora
es de un usuario individual, o es el servidor de una gran corporación, en todos
los casos tendrá una Dirección IP que la identifique. (Hacemos la aclaración de
que en muchos casos, redes completas de computadoras están conectadas a
Internet por medio de una sola Dirección IP, lo que requiere una conversión
interna de direcciones, o NAT, pero eso seria tema de otro artículo)
Las direcciones IP se forman de cuatro grupos de números separados por un
punto. Cada grupo puede contener rangos entre 0 y 255 y que se sujetan a
ciertas convenciones de la industria. Ejemplos de direcciones IP validas son:
192.168.1.80, 201.118.52.26, etc.
Como se puede ver, estos no son números fáciles de recordar. Hay direcciones IP
estáticas (nunca cambian, la computadora siempre utiliza las misma), y
Dinámicas (cada vez que la computadora se conecta a Internet recibe una
dirección distinta). El tipo de dirección IP a utilizar dependerá del uso que
se le dará al equipo, las grandes corporaciones, Bancos, etc... las requieren
estáticas, mientras que los usuarios domésticos y de PyMEs no tienen ningún
inconveniente en que su IP sea diferente cada vez que se conectan.
Supón que tu banco instala su servicio Web en una de estas computadoras, a la
que se le asigna la dirección IP estática 148.133.85.117 por ejemplo. Para
poder visitar este sitio, tendrías que usar tu Internet Explorer y navegar a la
dirección: http://148.133.85.117.
Si trabajas con dos o mas bancos, servicios de tarjeta de crédito,
reservaciones, sitios de entretenimiento, etc., tendrías que saber, o tener
forma de recordar la dirección IP de cada uno de ellos, lo cual evidentemente
parece algo muy difícil. Si a veces no podemos recordar mas de 9 o 10 números
de teléfono de nuestros conocidos, imaginemos lo que sería tener que recordar
las direcciones IP de todos los sitios Web que visitamos.
Para facilitar las cosas se crearon los llamados 'Nombres de dominio' (Domain
names), que son mucho mas fáciles de recordar y asociar con el sitio que
queremos visitar. Ejemplos de nombres de dominio son:
www.bancomer.com,
www.esmas.com,
www.todito.com06:41 p.m. 02/03/2006, etc.
No te confundas, aun cuando existen los Nombres de Dominio, los equipos
conectados a Internet siguen siendo identificados por su Dirección IP. Cuando
utilizas tu Internet Explorer para ir a la dirección
www.bancomer.com por ejemplo, un Servidor de Nombres de Dominio (Domain
Name Server o DNS) se encarga de convertirlo en la dirección IP
correspondiente.
Existen gran cantidad de DNS en Internet, tu Proveedor de Acceso a Internet
(Prodigy, AOL, etc.) cuenta cuando menos con uno Primario y otro Secundario.
Puedes pensar en estos servidores como unas grandes tablas que contienen todas
las direcciones Web activas en el mundo, y la correspondiente dirección IP de
cada uno. (NOTA: es necesario aclarar que técnicamente no es
así precisamente, pero así puede ser perfectamente ilustrado).
Cuando tu computadora establece una conexión a Internet, se ejecuta un
mecanismo automático que le indica a tu PC cual es el DNS que va a utilizar
para convertir Nombres de Dominio en direcciones IP cuando tu navegues.
El Pharming consiste en alterar los valores IP de las tablas DNS
para dirigir a un usuario a una Dirección que no es realmente la que le
corresponde al nombre de dominio que deseaba visitar. Esto puede crear un gran
desconcierto, ya que el usuario confiadamente escribe en su explorador la
dirección de su banco, digamos
www.mibanco.com, y la página que se le presenta podría ser la que se
aloja en el equipo de un defraudador (eso si, idéntica a la del portal que
pretendía visitar, de manera que el usuario pueda ser exitosamente engañado).
|
| |
|
| |
|