Desde cierto punto de vista, somos nosotros mismos quienes le damos la oportunidad a los creadores de malware de usar las tarjetas navideñas como una forma de engaño. ¿Por qué digo esto? Las tarjetas navideñas que he recibido dan muestra de ello y ahora les paso a detallar…
Tarjeta con archivo adjunto
La responsable de comunicación de un asociado de negocios mío me hizo llegar, seguramente a través de algún envio masivo, una “muy linda” tarjeta virtual en forma de archivo adjunto a un mensaje de correo electrónico.
Puse comillas en “muy linda” debido a que nunca sabré cómo es, ya que no hay forma alguna de convencerme de que habrá el archivo adjunto en cuestión. Tranquilamente puede ser malicioso, dañino, un malware, etc, enviado en forma selectiva (si, paranoico, pero es así…)
Si ejecuto el archivo adjunto (una animación flash compilada con extensión .swf), el navegador la ejecutará, pero con los privilegios del usuario local, por lo que es altamente inseguro. Es igual que ejecutar un archivo .exe en muchos aspectos.
Tarjeta en formato HTML
Otros varios contactos de negocios y amigos me han enviado tarjetas en formato HTML, algunos simplemente con una imagen, otros con una imagen y un enlace para ver una tarjeta virtual en un sitio web.
La tarjeta con la imagen embebida no me genera ningún problema. Si tuviera mi sistema desactualizado, un email en formato HTML podría aprovechar algún agujero de seguridad para ejecutar código en forma arbitraria, pero como mantengo mi sistema al día, no hay tanto problema, además de que, en realidad, tengo desactivada la recepción de mensajes en formato HTML.
En cambio, la tarjeta en formato HTML que además contiene un enlace a un sitio externo, no me brinda tanta seguridad, dado que en realidad, utilizando esto es como funcionan muchos de los ataques de phishing, dado que el enlace que muestran no es conocido por quien recibe la tarjeta, y por lo tanto, puede llevar a un sitio peligroso.
Por lo anterior, si recibo una tarjeta en formato HTML, con un enlace a un sitio externo que no conozco, y que no puedo comprobar el destino del mismo, dudo que vea la tarjeta completa
¿Qué me gustaría recibir?
Esto no es un pedido a uds., mis fieles amigos, para que me envíen tarjetas navideñas. Soy un acérrimo enemigo de las cadenas y demás, por lo que el solo hecho de que sigan leyendo este blog es suficiente.
Como profesional de seguridad informática que soy, la paranoia forma parte de mi día a día. Esto genera, por ejemplo, que mis emails siempre, pero siempre salgan en texto plano, y así me gusta recibirlos además.
La única forma en que realmente vería una tarjeta virtual es:
- Recibir un mensaje en texto plano
- Que el remitente sea conocido por mí
- Que haya un enlace a una página HTML en un sitio que me dé confianza y que esté relacionado con el remitente (p.e., si el remitente trabaja en la empresa Ficticia, que el sitio web sea www.ficticia.com)
- Que cuando habrá la página HTML no me invite a instalar absolutamente nada; si la tarjeta virtual no se ve a la primera, mala suerte, no la veré
Incluso teniendo en cuenta lo anterior, puedo llegar a caer en algún riesgo, y ahí tendré que confiar en mi antivirus, y para asegurarme que el antivirus detecte lo que me encuentre, no abriría la tarjeta virtual ni bien la reciba, sino al día siguiente, tras alguna que otra actualización de mi antivirus.
Conclusión
Todo esto lo he comentado no solamente en base a mis gustos personales, sino en realidad como una guía que creo llevaría a que todo lo que no caiga en nuestras bandejas de entrada en un formato confiable, no sea abierto, de manera que no caigamos en la trampa del “malware navideño”.
“is”
No hay comentarios:
Publicar un comentario