Aussie

Hablamos de phishing (el desarrollo último de los virus, sección programas maliciosos_: timos por suplantación [P-5OCT]), en cristiano, el robo de datos personales usando emails falsos pero imitando los verdaderos (spoof: en adelante, emails maliciosos), y las consecuencias de pinchar un link que viene en ese email que tu crees que viene… de donde no dice que viene y pones tus datos completos en una página de confirmación de cuenta. Como cada vez más peña administra sus vidas en la web (compras online, páginas de subastas, redes sociales, bancos online), cada vez hay más víctimas del nuevo timo favorito en internet. Es un tipo de fraude online que engaña a la peña para que acabe soltando información confidencial, a alguien que no debería, a través de páginas webs. Emails falsificados o maliciosos, a menudo ofreciendo (el anzuelo de) ofertas lucrativas. La mayoría viene a través de email y dicen ser de esos sitios que visitas frecuentemente en la red, fuentes de confianza, como un banco, eBay o la compañía de pagos online PayPal.

David Jevans, presidente del Grupo AntiPhishing (APWG), un consorcio de compañías internacionales que luchan juntas contra estas prácticas, “los defectos de seguridad en los sistemas informáticos pueden ser solucionados o parcheados con actualizaciones pero, el phishing depende, más bien, del comportamiento de riesgo del usuario online o de su ingenuidad (gullibility), metiéndole miedo a la peña para que actúe, con emails que amenazan de serias consecuencias de seguridad, a menos que hagan rápidamente lo que se les dice. Te piden la contraseña, las cuentas del banco y demás información sobre ti, para que , poco menos, no te caiga el apocalipsis encima. Y además el phishing se está sofisticando. Cada vez más hackers se intercambian código malicioso e información robada”.

Las empresas más “fiseadas“, eBay, PayPal y los bancos más importantes lanzan grandes campañas de educación sobre los peligros de los emails phishing pero la peña sigue ignorando las advertencias hasta que es demasiado tarde. Aunque las cifras son todavía pequeñas (para los estándares de la red mundial) son lo suficientemente lucrativos como para que los timadores sigan dándole al tema, según el siguiente estudio de Richard Clayton y Tyler Moore, de la Universidad de Cambridge (aquí). Conclusiones del informe: una página web de phishing atrae hasta 30 usuarios al día antes de ser desmantelada. Y una vez que son eliminadas -desde que se descubre, unas 48 horas- los restos pueden ser difícil de erradicar (hasta 6 semanas). “Son 20-30 víctimas pero si te pones que les sacas a cada uno del orden de un par de cientos (de dólares), el chico malo, por un poco de trabajo, se saca al día 4 de los grandes (4.000 $)”, dice una fuente de PayPal.

Rachna Dhamija, autor de una tesis doctoral sobre el tema para el Centro de Investigaciones en Informática y Sociedad (CRCS) de Harvard: “Una de las técnicas antiphishing más extendidas es la tecnología del navegador (con sensores online), que bien configurada, alerta al internauta usando una lista negra de bien conocidos sitios phishing, de cualquier cosa sospechosa. Sin embargo su efectividad es casi nula, pero por la parte humana (la inocencia del internauta, que decíamos más arriba). Los usuarios sistemáticamente ignoran dichos indicadores de seguridad y aunque quieran hacerles caso, la mayoría desisten, porque no entienden lo que significan”. Un estudio de 2006 en el que participó Dhamija (aquí) descubrió que uno de cada 4 usuarios ignoraba esos avisos basados en navegador. Otro estudio posterior (aquí) demostraba que la peña ignoraba todo tipo de pistas de que una página no era de su banco, incluido el candadito que aparecía en la barra de menús o las adevertencias (en formato imágenes) de seguridad del propio banco e, incluso, aunque viera esas imágenes (que pueden ser fácilmente copiadas o repetidas), a menudo, pasaban de las advertencias directas de que no usasen esa página.

Y si no puedes educar a la peña, porque pasa total, (hasta que se la meten doblada), ¿puedes construir algo (build intelligence) en internet para hacerle frente? Esto es lo que intenta hacer OpenDNS, que proporciona ayuda gratuita a los servidores de nombres de dominio (DNS). Una DNS mira un nombre de dominio de una página web (como www.icinco.net) y le remite al internauta a la dirección IP sobre la que el servidor web está alojado. OpenDNS bloquea automáticamente aquellos servidores web que sabe que alojan páginas maliciosas, entre ellas, los sitios phishing. Peto los 750.000 clientes de OpenDNS son una gotita en el océano de internet. Pero la protección basada en redes debe llegar al mayor número posible de usuarios para que tenga algún éxito. Esto es por lo que PayPal, por ejemplo, trabaja con grandes proveedores de email como Yahoo, AOL y MS.

Para solucionar el problema del phishing, los internautas inexpertos son atraídos a estos servicios gratuitos que se espera puedan eliminar los emails falsos que dicen ser de donde no son, bloqueándolos, a menos que estén firmados con certificados electrónicos. A finales de año, PayPal -elegido por muchos usuarios de eBay en todo el mundo [P-9SEP]- va a sacar su certificado electrónico y, si funciona, como esperan, expandirán el sistema para crear un centro coordinador para que otras compañías lo usen. “Esto podría lograr lo que otros sistemas de seguridad de email no han hecho. S-MIME, un sistema que autentifica emails al firmarlos digitalmente lleva funcionando 20 años”, dice Jevans, el de la APWG. PayPal también está trabajando en la autentificación dual (de 2 factores- 2FA), que usa 2 cosas para autentificar a los usuarios: algo que sepan (una contraseña o un PIN) y algo que tengan (un periférico). La compañía ya ha probado fichas de  hardware en algunas partes e introducirá la tecnología en UK para finales de año.

Mientras tanto, la Asociación Británica de la Industria de Pagos (APACS), ha estado trabajando con las compañías de tarjetas de crédito para crear sistemas similares. Sean Gilchrist, director de banca electrónica del banco Barclays dice que en los próximos meses empezará a enviar a un 25% de sus clientes online, lectores de tarjetas. El lector está concebido para sostener transferencias a los destinatarios que no figuren en la lista de preautorizaciones de Barclays. Utiliza el chip de la tarjeta de tu banco para calcular un código  antiguo para transacciones, usando una combinación de tu PIN (nº de información personal), la cantidad a pagar y el numero de cuenta del destinatario.

Ross Andeson, catedrático de seguridad informática del Laboratorio de Informática de la Universidad de Cambridge, teme, son embargo, que hay un gran espacio para ataques múltiples, desde chicos malos que leen los links que has usado para adivinar tu PIN  hasta vendedores sin escrúpulos que recopilan la información de tu tarjeta (junto con tu PIN) usando terminales de punto de venta hackeados. E incluso ataques desde los “intermediarios”, donde los códigos son reenviados al banco vía sitios web falsos. Dice Anderson que el paso al 2FA “responde más a ingeniería de responsabilidad que de seguridad. Todo el mundo intenta quitarse el riesgo de encima, con lo que la responsabilidad final tecae en el cliente”, a pesar de que hoy en día, la mayoría de los bancos, cuando contratas una visa dicen que te reembolsan lo perdido en cualquiera de estos fraudes de tarjetas.

Así, tanto Anderson como Dhamija, ponen el acento en otra área descuidada: el software diseñado para estas páginas de e-comercio y cómo las muestran los navegadores. Dhamija: “Creo que estamos discriminando al elemento humano. No estamos entrenados para pensar sobre sus capacidades y habilidades y cuánto llegan a entender”. Por ejemplo, a los internautas se les ha condicionado a ignorar las alarmas (se les ha hecho creer que no pasa nada ignorándolas) al enviarles avisos por cosas chorras (lo del cuento del lobo, vamos), como el Windows cuando te pone un aviso con una gran admiración sobre una operación que te va a sobreescribir un archivo existente o que un cable “se ha desenchufado”. El hecho de tener que mirar a ver si aparece un candadito en la ventana del navegador como señal de alarma hace que los timadores lo imiten fácilmente (simplemente posteando la imagen del candadito o un logo de seguridad) para darle a la página un aire de legitimidad. Y a pesar de la sofisticada ingeniería de redes , iniciativas de la industria y demás medidas antifraude online, el número de peña que simplemente no aprende o no lee el manual, sigue siendo altísimo: del cerca del billón de dólares (USA) perdido por los bancos ingleses en 2006, en fraude de tarjetas de crédito, 80 millones fueron por ataques phishing.