online prescription solutions
online discount medstore
pills online
get generic viagra online
get generic viagra online
order viagra online
order generic viagra
buy generic viagra online
order generic viagra
get viagra
order generic viagra
order generic viagra online
buy viagra online
buy generic viagra online
get viagra
order viagra
get viagra online
get viagra online
order generic viagra online
get generic viagra online
buy generic viagra
get viagra online
get generic viagra
order viagra
get generic viagra
get generic viagra
buy viagra online
order viagra online
order viagra
buy viagra
buy viagra
buy viagra
order generic viagra online
buy generic viagra online
buy generic viagra
buy viagra online
buy generic viagra
get viagra
order viagra online

Seguridad: “Mala pesca”


LoguitoCon Internet cada vez más metido en nuestras vidas resulta común realizar consultas y depósitos bancarios, compras on-line, pagos y mucho más. Lamentablemente siempre aparece el “MALO DE LA PELÍCULA” así que ¡a protegerse!.

Phishing es una palabra inventada haciendo un juego de palabras con su pronunciación. Su pronunciación es “fishing”, y en inglés, pez, se escribe fish, con lo que se pronuncia más o menos igual. Resumiendo, Phishing viene a significar “pescar, pescando a desprevenidos”.

En informática phishing es un término utilizado para definir el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial mediante engaños, como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria.

El phishing ocurre cuando el estafador, mejor conocido como phisher, se hace pasar por una persona o organización legítima a fin de obtener información personal o financiera de parte de un individuo y utilizarla para fines maliciosos.

El gran diferenciador entre el phishing y otras amenazas como los virus está en la intención detrás del ataque. Muchos escritores de virus, gusanos y otros tipos de código malicioso buscan inflingir daño en las computadoras o los archivos del usuario, mientras que otros sólo buscan la notoriedad que puede obtenerse de un ataque exitoso, que se extienda ampliamente en el mundo.

Los phishers, por su parte, están menos preocupados en causar daños en el hardware o el software, y tienen muy poco interés en aparecer en las primeras planas. Por el contrario, las estafas a través de phishing están diseñadas específicamente para funcionar fuera del radar y sus autores han optado por la fortuna, en lugar de la fama.

En vez de competir con otros autores de malware por la notoriedad, la gente que está detrás de los ataques que buscan ganancias en línea gastan su tiempo en desarrollar y mejorar técnicas que aumenten su oportunidad de robar información valiosa, anónima y eficientemente. El phishing representa, en realidad, dos formas de robo de identidad usadas simultáneamente. Primero se roba la identidad del sitio Web de la empresa afectada, y a partir de ahí, se llega al robo de la identidad de todos aquellos clientes confiados de esa empresa.

Un ataque de phishing típico se compone de dos elementos: un mensaje de correo electrónico con aspecto legítimo (sin serlo), y una página Web fraudulenta. El contenido del correo electrónico es comúnmente redactado para confundir, contrariar o incluso preocupar al receptor. Los temas más comunes de estos mensajes son problemas en sus cuentas, verificaciones de datos personales en sus cuentas, actualizaciones de seguridad y la oferta de nuevos servicios y productos.

Dichos mensajes impulsan a los receptores a reaccionar rápidamente. El usuario, entonces, hace clic en una link que se proporciona en el mensaje, y que los conduce directamente a la página Web de phishing.
Al igual que el mensaje de phishing, el sitio Web hace propia la imagen y aspecto del sitio original, mostrando los mismos logotipos, gráficos, letreros, estilo, fuentes y diseño. Este sitio Web engañoso puede incluir incluso una interfase gráfica de usuario (GUI, por sus siglas en inglés) que burla al usuario y lo conduce a ingresar la información de su cuenta, los números de tarjeta de crédito, contraseñas, número de seguridad social, o cualquier otra información sensible. Toda esta información puede ser usada por el propio phisher, o enviada a otros usuarios remotos y desconocidos.

Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación de medidas técnicas a los programas.

Puntos a tener en cuenta para no ser pescados:

1. NUNCA haga clic en forma directa sobre NINGUN enlace en mensajes no solicitados. Mucho menos ingrese información de ningún tipo en formularios presentados en el mismo mensaje.

Si considera realmente necesario acceder a un sitio aludido en el mensaje, utilice enlaces conocidos (la página principal de dicho sitio, por ejemplo), o en último caso utilice cortar y pegar para “cortar” el enlace del texto y “pegarlo” en la barra de direcciones del navegador.

2. Desconfíe siempre de un mensaje como el indicado. Asegúrese antes en los sitios principales, aún cuando el mensaje parezca “real”. Toda vez que se requiera el ingreso de información confidencial, no lo haga sin estar absolutamente seguro.

Una buena práctica es ingresar datos totalmente incorrectos en el primer intento, si se trata de una página de phishing aceptará cualquier usuario y contraseña ingresado. De esta forma sabremos que estamos ante un ataque.

Candado3. Preste atención al hecho de que cualquier compañía responsable, le llevará a un servidor seguro para que ingrese allí sus datos, cuando estos involucran su privacidad. Una forma de corroborar esto, es observar si la dirección comienza con https: en lugar de solo http: (note la “s” al final). Un sitio con una URL https: es un sitio seguro. Pero recuerde que eso solo significa que las transferencias entre su computadora y el sitio serán encriptadas y protegidas, de ningún modo le asegura que el sitio es real.candado

Note que el servidor seguro, no necesariamente es al que usted ingresa cuando entra a un sitio como el de un banco. Pero si debe serlo en el momento en que ese sitio lo lleve a algún formulario para ingresar datos confidenciales.

Compruebe SIEMPRE, si al colocar el puntero del ratón sobre cualquier dirección indicada en un mensaje (sin hacer clic), el navegador le muestra abajo la misma dirección.

4. Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo encandadoel rincón inferior a su derecha. Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido.candado

5. Si aún cumpliéndose las dos condiciones mencionadas, duda de la veracidad del formulario, no ingrese ninguna información, y consulte de inmediato con la institución de referencia, bien vía correo electrónico (si es una dirección que siempre usó), o mejor aún en forma telefónica.

De todos modos, recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente.

Para que tengamos una idea acá va un ejemplo de un ataque ocurrido al Home Banking (Banco de la Nación Argentina):

El domingo 8 y lunes 10 de octubre (2006), fue reportado el envío masivo de correos electrónicos como el siguiente. El remitente es falso, y la intención es hacer que un usuario ingrese información confidencial en una página también falsa, que simula ser la del banco.

banco nacion 1

Si el usuario visualiza el mensaje en el formato original (HTML), y hace clic en el enlace mostrado, es redirigido a una página falsa, que no pertenece a la institución involucrada en el mensaje.

El mensaje, en formato HTML, muestra una dirección mientras el código HTML apunta a otra. Observe que al colocar el puntero del ratón sobre el enlace, se muestra una dirección diferente.

En el caso de seguir ese enlace, se accede a un sitio controlado por un pirata informático, que pretende robar la identidad del usuario, obteniendo información crítica que eventualmente le permite acceder a la cuenta bancaria de la víctima.

banco nacion ataque

Al momento de publicarse esta alerta [10/10/06], la pagina continuaba activa.

Los delitos informáticos, cualquiera sea su especie, tienen un gran aliado: es muy difícil saber de dónde provienen. En ese sentido, el tiempo que se tarda en pedir ayuda es vital para poder atrapar a los responsables y llevarlos ante la Justicia. Además, nuestro país no cuenta con una legislación acorde a la situación. Y no existe consenso absoluto sobre la necesidad de contar una ley específica sobre el tema.

Por suerte en mi caso nunca caí en este tipo de ataques pero es muy importante estar atento y mantenerse informado.

Saludos y contanos si recibiste algúna vez un ataque de este tipo.

9 respuestas para

  1. Gravatar lis says:

    Me parecio muy interesante la nota ya que son situaciones en las que no vemos inmersos muy recientemente y por esa razón es dificil encontrar personas que provean este tipo de informaciones. Me pregunto, ¿no existe alguna pagina web en la que se advierta a usuarios de internet sobre estos ‘peligros’?… Este blog esta de 10!

  2. Gravatar Esteban says:

    Muy bueno y util el articulo.

    Si bien nunca proveía esas informaciones, y menos a raiz de un correo electrónico de origen desconocido o en un intercambio no iniciado por mí, es bueno enterarse, por ejemplo, de qué significa el https, o el consejo de ingresar primero datos falsos, para chequear ante alguna duda.

  3. Gravatar Daro says:

    Lis, te cuento que hay muchas páginas que adviertan, por ejemplo, Trend (una empresa que desarrolla antivirus) tiene un listado de ataques, pero como te imaginarás los phishers se encuentran continuamente buscando nuevas formas de ataque y es prácticamente imposible advertir sobre estos sitios al instante. Igualmente una vez encontrado un sitio empleado para phishing rápidamente se lo denuncia para que lo den de baja lo antes posible.

    Muchas gracias por la consulta y saludos.

  4. Gravatar Pete61 says:

    La verdad que está muy bien orientada la Nota, es útil para quienes están comenzando a utilizar el acceso a Home Banking. La mayoría de los bancos le informan a sus clientes que Nunca le solicitarán información por e-mail, pero con la vida alterada que llevamos podemos cometer el descuido de olvidarnos, lo mas aconsejable es que inmediatamente de recibido el mensaje, se pongan en contacto con su banco para corroborar, todos tienen un 0800 o 0810, y de paso le damos el aviso a quienes deben proteger nuestros datos. Nuevamente gracias.

  5. Gravatar Daro says:

    Lo último, un kit para realizar phishing. En Datafull nos cuentan de que se trata. ¡Que locura!

  6. Gravatar kuinok says:

    Que bien que esta este informe… bien explicadito y detallado… a mi me llego exactamente ese e-mail con el que ejemplificaron.
    Hay una frase que habria que divulgar y que creo que ayudaría a evitar el phishing en un 80%
    “La entidad que supuestamente manda el mail, sea banco o lo que fuere, tiene acceso a tus cuentas, a poner, a sacar dinero, a congelarte la cuenta, a darla de baja o alta… entonces para que querria tu contraseña?”
    Si alguien te pide tus datos evidentemente no pertenece a la entidad.
    Saludos

  7. Gravatar Peter61 says:

    Hola muy buen post, y la verdad que habría que repetirlo cada 6 meses, ya que la mayoría de la gente es muy desprevenida con estos temas y más aún con lo que las entidades bancarias impulsan el uso del Home Banking (una ventaja, si es bien usada)les comento que en uno de los bancos que opero, me recomendaron el uso de un software de seguridad que se llama Trusteer Rapport (http://www.trusteer.com/support/) un ayudante ya que verifica las identidades de los certificados de seguridad en servidores Https, les sugiero que lo prueben, funciona bien y te coloca una “flecha Verde” si el sitio es correcto. Perdonen pero es solo una sugerencia, como decian los Les Luthiers: Un Aporte Más a la Confusión General! Gracias

  8. Gravatar daro says:

    Gracias Peter, lo seguiremos republicando, de hecho este es un post del 2007 reciclado.
    Gracias por el aporte.

  9. Gravatar Increible video para que veas los cuidados a tener en Internet y Redes Sociales « Elpidio te informa via Pingback:

    [...] Y como dijo uno de nuestros lectores, este post para recordar todos los meses sobre seguridad en Internet: Seguridad, “mala pesca” [...]

Dejar una respuesta »