Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 3, Número 32, Septiembre de 2004

Phishing Scam. Atrapando incautos


Juan Carlos Guel López

 

Desde hace aproximadamente año y medio ha proliferado una nueva forma de estafa y engaño por Internet, mediante el correo electrónico, dirigida al usuario final la cual proviene, por lo general, de una supuesta dirección de correo electrónico conocida y solicita actualización de datos de un banco, una tienda en línea, una institución reconocida (universidad, empresa de empleos, etcétera), además de datos confidenciales.

Esta técnica, conocida como Phishing Scam, está basada en la ingeniería social y usa métodos tradicionales para generar confianza en el usuario final y mediante una institución de prestigio, obtener datos críticos y confidenciales.

A través de páginas Web que cumplen con reproducciones de los sitios reconocidos existentes (desde el logo de la corporación y toda la interfaz, pasando por ligas válidas a los portales de las empresas a estafar), Phishing genera mensajes de correo electrónico (e-mail) con la finalidad de engañar a los usuarios, obtener datos personales, datos financieros, o una simple contraseña.

Un poco de historia

La palabra Phishing se basa en una analogía: los estafadores de Internet usan pequeños anzuelos por conducto del correo electrónico para "pescar" las contraseñas y los datos financieros de los usuarios del Internet. Este término fue acuñado alrededor de 1996 por los hackers que robaban las cuentas de acceso a usuarios de la compañía America Online® (AOL).

La primera mención de Phishing en el Internet se da en el sitio de noticias underground alt.2600 en enero de 1996, no obstante, el término pudo haberse utilizado anteriormente en la edición impresa del boletín de noticias "2600".
De igual forma, el término Phishing se encuentra relacionado con el denominado Phreaking, acuñado en la década de los 60, para hacer referencia a los intrusos y espías telefónicos.

Cómo funciona

Por lo general, los estafadores crean este tipo de engaños con la finalidad de utilizar los datos recolectados y ejecutar transferencias de alto valor o, inclusive, montar esquemas sofisticados de suplantación de identidad, engaños y fraudes haciendo uso de la tarjeta de crédito.

De forma típica, un correo electrónico Phishing llega con la dirección y logo original de la compañía a través de una dirección de correo electrónico (también falsa, valiéndose de la suplantación de identidad del emisor), y solicita al destinatario del correo enlazarse a una página que simula y parece ser de una institución genuina, sin embargo, mediante ésta se redireccionará a un tercer sitio con el número y contraseña de cuenta del usuario, que son los datos que les interesan a los estafadores.

Si el correo electrónico es exitoso, los estafadores tendrán datos, desde el nombre del usuario estafado pasando por la huella del equipo que actualizó la información (dirección IP, dirección de correo electrónico, etcétera), hasta el número de sus contraseñas y de tarjetas de crédito. Hasta este momento, se ha proporcionado simple y sencillamente información, datos que podrán ser utilizados para suplantar la identidad (crédito, identidad de persona, número de seguro social, número telefónico privado, dirección postal, etcétera), inclusive, para venderlos a través de bases de datos especializadas para el envío de correo masivo (spam).

Esta situación no termina con el engaño, debido a que se suman problemas de los principales fabricantes, primordialmente en aplicaciones utilizadas por los usuarios para navegar en Internet como lo es el caso de Fallas críticas en el Internet Explorer (Boletín de Seguridad UNAM-CERT 2004-015 "Vulnerabilidades críticas en MS Windows" - 30 julio 2004), donde la navegación le permite al intruso incrustar código malicioso en todos los clientes, haciendo más fácil este tipo de ataques. Este hecho fue dado a conocer el 10 de diciembre del 2003 y fue solucionado por el fabricante ocho meses después.

Los ataques de Phishing Scam crecen a ritmo acelerado, recientemente, Citigroup®, Ebay®, Paypal®, Yahoo® y Bank of America® han sido víctimas de esta situación donde se engaña a usuarios con cuentas válidas en sus sistemas y día con día el número de reportes y compañías involucradas aumenta, conforme los usuarios reportan movimientos y saldos no válidos en sus cuentas.

Es importante señalar que aunque las firmas de servicios financieros han sido blancos iniciales de este tipo de engaños, hoy en día este fenómeno ha proliferado hasta en tareas tan comunes como la obtención de una simple cuenta de Internet, simulando ampliación de espacio en la cuenta de correo, hasta las famosas cuentas de 1 GB de espacio de información que actualmente todos buscan y se subastan en los sitios tradicionales de trueque y negociación por Internet y desean el espacio "gratis", sin considerar las consecuencias implícitas que trae el adquirirlas.

Posibles soluciones

Es difícil precisar una receta para la prevención de este tipo de ataques tan elaborados y sofisticados que suceden día con día, sin embargo, entre las constantes que se deben promover se encuentran: la información y capacitación de los usuarios de las distintas organizaciones.

Desafortunadamente, son pocas las organizaciones que dedican parte de sus esfuerzos a las campañas internas y cursos de actualización, lo que trae consigo el no estar preparados frente a este tipo de eventos, ni establecer normas y procedimientos que les ayuden a reaccionar y responder de forma apropiada ante incidentes de seguridad de este tipo.

Otras posibles soluciones incluyen el fortalecimiento de las bases de la seguridad informática que incluyen la detección, prevención y educación.

En nuestro país son pocas las organizaciones que realmente cuentan con un análisis de riesgos elaborado que les ayude a medir y cuantificar los riesgos ante este tipo de problemas, el panorama luce aun peor cuando observamos que grandes empresas y corporativos no cuentan con un verdadero plan de contingencias donde se indique qué hacer ante este tipo de situaciones.

Para fomentar la cultura de la prevención y detección en el área de informática se creó el AntiPhishing Working Group (APWG), organismo que conglomera esfuerzos de diversas compañías, con la finalidad de documentar, informar y catalogar las distintas formas que emplean los intrusos mediante la técnica del Phishing Scam.

El APWG realizó una lista con las entidades bancarias online y los sitios de compras en donde se detectan más fraudes de este tipo, Citibank® figura en primer lugar como el banco donde más víctimas se han registrado o cuyo nombre es utilizado con mayor frecuencia para hacer estafas.

En lo que va de este año se han registrado cerca de cuatro mil 500 ataques de Phishing Scam, y realmente resulta preocupante que semana tras semana el número de estafas aumenta. En junio de este año, se registraron mil 422 casos y se calcula que para finales de 2004 la cifra se duplicará. Hay que señalar que la mayoría de estos ataques ocurren en Estados Unidos en donde, según la compañía consultora especializada Gartner, se han generado pérdidas totales por dos mil 400 millones de dólares de los cuales, en promedio, se estafan mil 200 dólares a cada víctima.

En México se han detectado este tipo de estafas y engaños a diversas instituciones bancarias y de negocios por Internet. El número de reportes en los últimos meses ha crecido por lo que resulta importante que las empresas consideren un apropiado análisis de riesgos, así como una implementación de un plan de contingencias que a la larga les reditúe en estrategias para responder a este tipo de eventos ya que con seguridad les ahorrará dolores de cabeza y pérdidas financieras.

Para mayor información:

http://www.antiphishing.org

http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-015.html

http://www.antiphishing.org/FSTC_Phishing_Prospectus_Final.pdf

Inicio | Contacto |