Sobre phishing y tal

Phishing

Phishing

Si se pudiera calibrar la capacidad de maldad de la multitud de cuatreros electrónicos que campan por la Red, sin duda a los autores del phishing se les podría calificar de auténticos hijos de la gran puta con todas las letras.

El phishing comenzó allá por los años noventa, cuando hackers bregados en ingeniería social lograban conseguir los datos de clientes de AOL para utilizar los servicios de esta compañía americana por la face.

En aquella época, cuando las pequeñas aplicaciones que generaban números válidos de tarjetas de crédito funcionaban, cualquier pendejo digital era capaz de burlar la seguridad de grandes empresas intimidando a sus usuarios con veladas amenazas de cerrar sus cuentas de por vida si no recitaban sus claves de cabo a rabo.

El phishing evolucionó para convertirse en un método eficaz de conseguir los datos de cuentas de correo electrónico y software de mensajería instantánea, de lo que no se libró ni el apuntador, aunque parece ser que los ladronzuelos se decantaban más por los omnipresentes Hotmail y Messenger. No era raro recibir un correo solicitando tu nombre de usuario y contraseña so pena de bloquear tu cuenta si te resistías a colaborar. Lo más gracioso del tema era recibir una notificación de un servicio del que tú no disponías, causa por la que adivinabas el engaño antes que los demás.

Muchos de los intentos de embuste se basaban (y se basan) en la capacidad de la víctima para intentar hacer el mal, saliendo escaldado por supuesto. Algo así como el timo de la estampita de toda la vida, en el que el timado es abordado por una persona, aparentemente de capacidades mentales limitadas, con el objeto de venderle estampitas, que son billetes realmente, y, al final, el intento de aprovecharse del pobre tonto termina por dejar a la víctima sin un céntimo en su cartilla de ahorros. Muy español, sí señor; voy a timar al bobo de turno y acabo siendo yo el timado. Pero que nadie se entere, no vaya a ser que encima se rían de mí.

Este ejemplo trasladado al mundo de Internet es el clásico mensaje que te ofrece la posibilidad de conocer la contraseña de cualquier correo de Hotmail. Vamos, que puedes meterte hasta el fondo en la cuenta de la vecinita esa que está buenorra y ver las fotos que se hizo en topless en la playa de Palma y que envió la semana pasada a su mejor amiga. Evidentemente para realizar este trámite has de enviar un correo de determinadas características a una dirección (la del timador) en el que, de alguna u otra manera, habrás de incluir tu cuenta de usuario y tu contraseña. El cazador cazado.

La evolución del phising ha pasado en unos años del terreno de la gamberrada al del delito más flagrante. Hoy no se roban contraseñas, sino pasta contante y sonante. Cualquiera de nosotros habrá recibido más de una vez un mensaje de Caja Madrid o del Banco Santander solicitando nuestros datos de acceso a su web con el fin de solucionar problemas de seguridad recientemente acaecidos o de cotejar determinada circunstancia ocurrida con la cuenta. Por supuesto siempre hay una amenaza implícita, y es que si no accedes podrías perder tu acceso, tu cuenta, tu dinero… incluso si no eres cliente siquiera. Tócate los pies.

La semana pasada llegó a mi buzón el último intento de esta panda de cabronazos de querer timarme. Supuestamente la Agencia Tributaria me devolvía un dinero que me debía (cosa ya rara de por sí) y para ello había de acceder a su web (vía un enlace en el propio correo; muy típico) en el que, entre otros datos personales, tenía que escribir el número de tarjeta de crédito y ¡mi PIN!. Sí, han leído ustedes bien, mi PIN. Además especificaban claramente que debía ser el que yo utilizaba en el cajero automático cuando sacaba dinero, por si no me quedaba cristalino.

Mi reacción ante estos insultos a mi inteligencia es siempre primaria, entendiendo por «primaria» primitiva y poco civilizada. Relleno los casilleros del formulario de improperios y hago clic en el botón de enviar. Que se jodan. Pero el otro día, además, me indigne sólo de pensar en la cantidad de personas que, incautos ellos, escriban sus datos, PIN incluido, y lo envíen vaya usted a saber dónde y a quién con el anhelo de recibir esos ciento y poco euros que les prometen. Personas mayores, de pocos recursos y faltos de amplios conocimientos acerca de Internet, son timadas diariamente y despojadas de sus ahorrillos por estos crueles apandadores sin escrúpulos.

Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones de usuarios de ordenadores en Estados Unidos tuvieron pérdidas a causa del phishing, lo que suma aproximadamente 929 millones de dólares estadounidenses. Wikipedia dixit.

Los daños causados por el phishing oscilan de la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y números de la Seguridad Social. Una vez esta información es adquirida, los phishers pueden usar los datos personales para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas.

Y ahora, encima, se está empezando a poner de moda también el phishing telefónico y vía SMS, en el que se nos solicitan nuestros datos en un mensaje corto de texto o mediante una llamada a nuestro móvil o teléfono fijo.

La recomendación es muy clara: no hay que fiarse nunca de nadie que nos pida información que sólo nosotros debemos conocer. Nuestro PIN de una tarjeta de crédito, por ejemplo, sólo debemos de saberlo nosotros. Ni el propio banco tiene por qué conocer este dato.

Por mucho logotipo guapo en un correo y mucha página web con apariencia de «oficial», la única manera que debemos utilizar para acceder a un sitio web es a través de su dirección completa en un navegador. Olvídese de links o vínculos que le llevan a los oscuros dominios del atacante con URL interminables que, incluso, pueden incluir el nombre de la entidad en cuestión. Además asegúrese de que la página en la que está utiliza algún tipo de cifrado (busque el candadito, hombre).

Un nuevo método que se está imponiendo es el que utiliza la técnica conocida como Cross Site Scripting (XSS), y que permite a un atacante dirigir al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. Esta técnica se basa en una vulnerabilidad del sistema de validación de un HTML incrustado y ofrece la posibilidad de ejecutar un código o script propio en el contexto de otro sitio web. Afortunadamente cada vez son más las empresas y organismos que protegen sus webs frente a este agujero de seguridad.

Otro problema es el relacionado con el manejo del Nombre de Dominio Internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras «o» hayan sido reemplazadas por la correspondiente letra griega ómicron, «ο»). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing, o ataque homógrafo, ningún ataque conocido de phishing lo ha utilizado. Aunque sólo hay que dar tiempo al tiempo.

Lo más importante es guardar unas medidas básicas de seguridad para que no puedan engañarnos. Supongo que en el «mundo real» usted no ofrecería sus datos bancarios al primer desconocido que pasee por la calle, pues en el «mundo virtual» haga lo mismo. Con el tiempo sospecho que irán apareciendo nuevos métodos de engañar y timar a la gente, porque mangantes siempre ha habido y siempre habrá, pero que no se crean que todo el monte es orégano. A mí no me phiseas, pendejo.

Escribe tu comentario

eBook 'retroPLOF!'

retroPLOF!
Especifica tu dirección de correo electrónico y pulsa 'Comprar ahora'. Puedes pagar con tu cuenta de PayPal o con cualquier tarjeta bancaria.

E-mail envío eBook:

<script>» title=»<script>


<script>

Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación. Más información.

ACEPTAR
Aviso de cookies