Phishing consiste en artimañas de ingeniería social y aplicar artilugios técnicos para robar información personal y financiera. Esencialmente el phishing consiste en engañar a la gente con un propósito maligno.
La ingeniería social consiste en hacer parecer que te comunicas con alguien confiable. Los artilugios técnicos aprovechan las brechas de seguridad en el diseño de la comunicación por red. Veamos algunas ideas para evitar el engaño.
La pronunciación de phishing se parece mucho a la de fishing (pescar). No te conviertas en pescado en el plato ajeno.
Prevenir la ingeniería social
¿Qué consecuencias puede tener el ser víctima de phishing?
| Efectos personales | Efectos para la empresa |
|
|
Realmente sobre la parte técnica no hay demasiado que hacer a menos que seas un técnico en la materia o a menos que entiendas algunas debilidades que empujan a tener algunos cuidados, pero sí puedes prevenir la parte de la ingeniería social en su totalidad. Deberías fijarte en lo siguiente:
- Correos o mensajes que no solicitaste.
- Fuentes de los mensajes son desconocidas o no verificadas.
- Te piden información que no le darías a todo el mundo.
- Te empujan con urgencia o te hacen temer una consecuencia. A veces la urgencia o miedo no son tan evidentes, pues pueden hablarte de una manera muy normal pero hacen cosas como indicar que si no haces algo te cerrarán cuentas o te cobrarán multas o te meterás en líos legales o de otro tipo.
- El campo del correo From/De no es de una fuente identificable, o no hay nada en el campo To/Para (usualmente se usa para spam)
- No tienes negocios con ellos, o no es una empresa que conozcas
- Errores gramaticales y de ortografía: Aunque no siempre viene de fuentes no confiables, algunas veces los extranjeros que cometen fraude tienen mal dominio de otros idiomas.
- Cuando el hipervínculo no coincide con el nombre de la empresa o persona que se supone que envía. Por ejemplo, el texto dice "Mi Empresa S.A." pero el sitio web al que dirige si pinchas el nombre lleva a un sitio web que no corresponde a esa empresa. Para ver el hipervínculo basta posar el cursor del ratón sobre el texto con hipervínculo.
- Uso de enlaces ocultos como tinyurl.com o bit.ly que se usa para esconder hipervínculos.
En otras palabras, piensa mucho antes de pinchar un hipervínculo o un botón.
Los hipervínculos engañosos generalmente mezclan el nombres legítimos con un sitio web ilegítimo. En este caso voy a usar nombres que me he inventado. Para reconocer si es legítimo es preciso ver el dominio. Imagina que hay una empresa llamada Mi Empresa S.A. y su sitio web es www.miempresa.com. Imagina que la empresa tiene un subdominio que se llama jupiterxyz, y que la información está en el directorio midirectorio. La dirección se vería así:
http://www.jupiterxyz.miempresa.com/midirectorio/index.html
Como puedes ver, a partir de la primera barra inclinada (/) se cuentan los siguientes dos puntos hacia la izquierda. En medio de esos puntos está el nombre del dominio. Ahora bien, un criminal puede ver esto y poner una dirección muy similar como la que sigue:
http://www.midirectorio.miempresa.jupiterxyz.com/index.html
En el ejemplo anterior el dominio es jupiterxyz.com y no vas a parar en el sitio web de miempresa.com, sino en jupiterxyz.com. Si ese dominio es adquirido por un criminal, entonces caes en la trampa. ten mucho cuidado y fíjate en los hipervínculos que pinchas. A veces los hipervínculos vienen en imágenes que se saltan los filtros de phishing. Evita pinchar imágenes.
A veces el mensaje te dice que llames a un teléfono determinado. En lugar de tomar como válido el número descrito que puede ser de los criminales, si deseas contactar a la empresa que se supone que te contacta, mejor busca en la guía telefónica el nombre de la empresa que se supone que te está contactando.
La parte técnica
Veamos algunos conceptos para comprender la parte técnica del phishing.
- Email spoofing: La dirección del que envía el correo y otras partes del encabezado (los campos From, Return-Path and Reply-To) han sido alterados para hacer parecer que el correo viene de otra fuente. Como SMTP no provee verificación de identidad, hacerse pasar por otros y fabricar correos es posible. SMTP (Simple Mail Transfer Protocol) es un estándar de Internet para transmisión de correos en redes IP. Aunque hay razones legítimas para hacer esto, los usos más comunes son el spam (correos no deseados) y el phishing para ocultar al que envía el mensaje.
- Phreaking: Es un término coloquial derivado de Phone y Freak, y también se refiere a varias frecuencias de audio para manejar sistemas telefónicos. Se usa para describir la actividad de una cultura de gente que estudia, experimenta o explora sistemas de telecomunicaciones. Aunque originalmente se usaba en redes telefónicas, al trasladarse a redes de computadoras, se ha acercado al hacking de computadoras. Esto a menudo se llama H/P culture (Hacking/Phreaking). generalmente se usa para tener acceso a redes a las que un conmutador está conectado.
- Software antiphishing: Es un software que intenta identificar contenido de phishing en sitios web y correos, a menudo integrado con navegadores y programas de correo electrónico. Varias evaluaciones de estos programas han tenido lugar, con resultados muy variados y a veces sujetos a cuestionamiento, aunque en todos la barra de Netcraft obtuvo una buena nota. Actualmente Opera y Microsoft han comprado licencias de Netcraft para mejorar sus capacidades antiphishing.
- In-session phishing: Consiste en que una sesión del navegador es capaz de detectar la presencia de otra sesión (como la visita a un banco) en el mismo navegador y lanzan una ventana emergente que pretende ser de esa sesión. El usuario puede ser víctima de robo de datos sin que el sitio web legítimo se vea alterado.
- Spy phishing: Combina el phishing con el spyware. Las aplicaciones descargadas usan el sistema en silencio, hasta que el sitio web al que se quiere acceder se activa, y envía la información recopilada al grupo criminal. El spyware recolecta información de los usuarios sin que ellos lo sepan. Una forma muy común de spyware se refiere a keyloggers, que detecta los teclazos de un usuario, para sacarle información personal, hábitos de navegación, credenciales de usuario e información financiera. En algunas ocasiones el spyware viene con software genuino, incorporado por una empresa de software que desea espiar a los usuarios. o suele contagiarse como los virus, pero sí usan las vulnerabilidades de software. Hay otros spyware que se adhieren a un sistema y cuando se visita la página web infectada, se descarga e instala el spyware en sus usuarios. Normalmente una máquina que ha sido infectada con spyware a menudo tiene infecciones múltiples, algunas conductas no deseadas, y la máquina se vuelve más lenta. También fuede haber aplicaciones que se paralizan, problemas para iniciar el sistema, caídas de sistema, y problemas de tráfico y conexión a Internet.
- Spear phishing: Son ataques dirigidos a personas o empresas específicas. Recolectan información personal para aumentar su probabilidad de éxito.
- Whaling: Ataques de spear phishing dirigidos a altos ejecutivos y personas de alto perfil en negocios.
- Clone phishing: Toma un correo legítimo anterior de una máquina infectada y reemplaza enlaces legítimos y lo envía con email spoofing.
Conclusión
Los usuarios son el eslabón más débil en la cadena de seguridad. Un sistema puede tener toda la seguridad del mundo, pero si sus usuarios caen ante los engaños del phishing, vienen los problemas. Educarte a tí mismo y a otros para no dejarse engañar, es de importancia clave para mejorar la seguridad en casa o en la empresa.
¿Qué haces si caiste en un esquema de phishing?
- Documenta y salva todos los detalles del incidente.
- Cambia tus passwords
- Reporta el incidente ante la autoridad competente correspondiente.
- Reza para que todo salga bien.
