miércoles, 11 de julio de 2007

Avancemos, ¿qué es el phishing? (Lección 8)

Aquí empezamos con algunos conceptos algo más complicados, que requieren una longitud mayor de texto, pero como no queremos aburrir, vamos a intentar hacerlo lo más sencillo posible.

El phishing es un método utilizado desde hace algún tiempo cuyo objetivo es robar contraseñas (y datos de acceso a servicios) de los usuarios de Internet. El nombre proviene del termino en inglés (cuando no) Password Harvesting, aunque en algunas fuentes le asignan otro origen.

Como mucha terminología en seguridad, ha mutado a lo largo del tiempo, y ahora se aplica solamente a un tipo de forma de robo de contraseñas (cuando hay varias decenas, o centenas de métodos).

En el caso del phishing, entran en acción varios componentes (y ninguno de ellos es un malware), tales como el correo electrónico y algún sitio web.

En primer lugar, el usuario recibe un mensaje de correo electrónico que parece provenir de una fuente de confianza (banco, entidad financiera, sitio de subastas, hoteles, etc.). El atacante confecciona estos mensajes de correo para que tengan un estilo y gráfica similar a la fuente suplantada, y para que el texto alarme al destinatario y lo lleve a hacer click en un enlace.

El enlace en cuestión, normalmente, también parece real, pero está especialmente preparado para que el usuario piense eso. Cuando se hace click en el mismo, se accede a un sitio web que, ¡oh, sorpresa!, también parece real (por ejemplo, el de nuestra entidad bancaria). En dicho sitio se nos solicitan nuestros datos de acceso (usuario, contraseña) y/o información de nuestra tarjeta bancaria.

Obviamente, si ingresamos esos datos, terminarán en la base de datos de quien armó el ataque de phishing, y estaremos entregando la lleve de acceso a nuestra cuenta bancaria, por ejemplo.

La solución: primero, no tenemos que hacer click en enlaces que nos llegan por correo electrónico y provienen de entidades financieras sin que los hayamos solicitado. Segundo, no ingresar los datos de acceso a un sitio web si accedimos al mismo desde un sitio de Internet; abrir primero nuestro navegador de internet, acceder manualmente al sitio y solo en ese caso ingresar nuestros datos. Tercero... No hay demasiadas más cosas que podamos hacer, además de las otras que se aplican a muchas cosas (asegurarnos que entramos a sitios seguros https, borrar emails sospechosos, usar herramientas anti-phishing, etc), pero muchas de estas cosas no son 100 % confiables.

La pregunta de muchos es obvia: ¿Cómo diferenciamos un mensaje de correo válido de uno que no lo es?

Primero hay que comprender algo básico: "por más que luzca como un gato, no tiene por qué ser un gato". O sea, por más que venga por email, parezca ser un email de una fuente confiable, no tiene por qué serlo. Tenemos que aprender a desconfiar un poco de aquello que llega por email, y no hacer click en cuanto enlace aparece.

En segundo lugar, los bancos y entidades financieras no deben (y por suerte, casi nunca lo hacen, si tienen políticas de seguridad adecuadas) enviar mensajes de correo electrónico que contengan enlaces. Un banco debe cuidar de sus clientes y sus fondos, y por ende, la mejor forma de evitar el phishing es no permitir confusiones, es decir, el banco nunca debe enviar mensajes de correo electrónico que contengan enlaces, y debe informar al cliente que nunca lo hará. Si su banco le sigue enviando mensajes con enlaces, cambíese a otro banco, no tienen una política de seguridad adecuada.

La mejor defensa contra el phishing somos nosotros mismos; si evitamos mensajes no solicitados, y no hacemos click en los enlaces de aquellos cuyo único objetivo es solicitarnos nuestros datos, estaremos más seguros contra el phishing.

"is"

NOTA AL MARGEN: El phishing es un tema complejo, que confunde hasta a los experimentados. Por ello, es complejo explicarlo claramente, y más allá, dar recomendaciones que cualquiera pueda seguir. Lo que siempre recomiendo en estos casos es: mantenerse informado sobre seguridad, intentar aprender, y así, podemos cada vez estar más seguros. Si ud. nunca le daría sus datos de acceso a su cuenta bancaria a un extraño que le habla en la calle, ¿por qué se los daría a un mensaje de correo electrónico que le llega a su casilla? Reflexionemos... y encontraremos soluciones :)

No hay comentarios: