El Phishing

Este punto también es posible falsearlo ya sea mediante un certificado falso o, bien, aprovechando vulnerabilidades en los navegadores en los que sería posible, por ejemplo, poner la imagen del candado.

Para verificarlo es necesario dar doble clic en el candado y observar los datos que se muestran en las propiedades del certificado.

Si los datos del certificado no corresponden con los de la institución bancaria o si la fecha de vigencia no es válida, deberá desconfiar de este sitio.

Ahora bien, ¿realmente en qué consiste este tipo de ataques? Cuando el usuario recibe este correo y, ya sea por temor o curiosidad, da clic en la liga que se indica, se muestra una página falsa, réplica de la página real de la institución bancaria en la que se solicita el número de cuenta o de cliente, así como la clave de acceso.

Una vez que se introducen dichos datos, al dar clic se muestra una página de error (como las verdaderas) indicando que el usuario y/o clave son erróneos y una liga para intentarlo de nuevo. Al dar clic en esa liga el sistema es redirigido al sitio verdadero, así la víctima cree que realmente se equivocó y vuelve a intentarlo, ahora en el sitio real, con lo que al lograr el acceso deseado no llega a darse cuenta del acto.

En el punto en que el usuario por primera vez teclea sus datos y recibe el mensaje de error es donde se realiza el robo de claves. El atacante entonces realiza el traspaso de dinero a cuentas externas; para cuando el usuario se da cuenta de ello es demasiado tarde.

Como se podrá dar cuenta, no se necesita tener grandes conocimientos técnicos para hacer estos ataques (aunque hay casos en los que los atacantes invierten gran cantidad de recursos para garantizar el éxito de sus robos).

Ya se habla de que la seguridad de un sistema es tan fuerte como el eslabón más débil y en este caso el eslabón más débil es el ser humano, por lo que invitamos a nuestros lectores a informarse de las políticas y procedimientos que tienen sus bancos al momento de reportar movimientos fuera de lo normal, notificaciones, etc. En caso de recibir un correo de este tipo comuníquese con su banco antes de actuar.

Si alguien piensa que esto se da entre usuarios “caseros” y que las instituciones bancarias ofrecen a las empresas mecanismos más robustos (ya sea mediante dispositivos de hardware, uso de claves adicionales que sean dinámicas, etc), está equivocado. Es cierto que se “dificulta” explotar esta vulnerabilidad humana, pero no la elimina.

Visite la siguiente dirección para enterarse de un caso en el que lograron burlar este tipo de mecanismos: http://blog.washingtonpost.com/securityfix/2006/07/citibank_phish_spoofs_2factor_1.html.

El phishing no debe de “limitarse” a fraudes electrónicos, debe entenderse como un engaño para el usuario de información confidencial, pudiendo hacer cuentas bancarias como lo tratado en este artículo o, bien, cuentas de acceso a correos electrónicos personales o de trabajo, mediante los cuales podría realizarse un sinnúmero de acciones mal intencionadas (suplantación de identidad).

Para combatir el phishing no hay nada mejor que:

• Instruir a los usuarios

• Apoyarse con herramientas de filtrado de contenido

• “Nunca” hacer caso de este tipo de correos

• No dar clic en las ligas que se indiquen

• Siempre teclear la URL del banco en el navegador o tenerla guardada en la libreta de direcciones

• No introducir los datos si la conexión no es segura (https)

• No realizar movimientos bancarios en sitios públicos como cafés Internet