Ojo con los mails que te piden datos

El término phishing se generó a partir de la palabra fishing, entendida como pescar datos personales. En concreto, abarca un rango de actividades mayor que los conocidos e-mails falsos de los bancos o las falsificaciones de sus sites

Juan Luis Chulilla

Ojo con los mails que te piden datos

18 octubre 2008

Por fortuna, las contramedidas han ido evolucionando a la par que estas técnicas, por lo que unas sencillas precauciones nos permitirán seguir usando los servicios bancarios a través de Internet sin peligro. Vamos a ello.

Paso 1

Phishing por e-mail

La forma más conocida de esta práctica es el correo falsificado y es una de las que permite una protección más obvia. Hay pistas que pueden llamar nuestra atención, como, por ejemplo, no disponer de nuestro nombre completo y dirigirse a nosotros de forma impersonal. Aun así, hay técnicas de mail spoofing (falsificación de dirección de e-mail) que funcionan y hacen creer que el correo proviene de una entidad; por tanto, lo más sencillo es obviar por defecto cualquier e-mail que provenga de ellos, sobre todo si nos insta a llevar a cabo alguna acción con la cuenta.

Hay que pensar que los responsables de seguridad de los bancos son muy conscientes de las fallas no resueltas del correo electrónico y privilegian el acceso web a la cuenta bancaria con medidas de seguridad redundantes: introducción de claves sin teclado, conexión segura, comprobación por SMS.

Lo más sencillo, en consecuencia, es atenerse a las vías de acceso que nos brinda el banco. De ellas, hay que destacar la que permite entrar en sus servicios tecleando la dirección y con la clave que nos proporcionaron. La forma más fácil que tienen los crackers de apoderarse de nuestros datos es lanzando lo que creemos que es la entrada a sus servicios bancarios a través de un enlace.

Paso 2

Suplantación de identidad

Hay otras modalidades de phishing menos llamativas y peligrosas, pero muy molestas. Si participamos en foros o web sociales, podemos encontrarnos con que el administrador no lo ha protegido adecuadamente de ataques, como, por ejemplo, de una inyección de JavaScript. Esta técnica consiste en que el usuario que ataca incrusta en su firma un pequeño tag HTML con la llamada al código JavaScript malicioso, algo así como: .

Cuando se accede al hilo en el que ha participado el interfecto, la simple descarga en nuestro navegador, llamaría a ScriptMalefico.js y capturaría nuestros datos de usuario del foro, pudiendo suplantarnos en todos los sentidos. Éste es un ejemplo de XSS (Cross Site Scripting), es decir, aprovechar que se puede introducir HTML para hacer una llamada al código malicioso.

Paso 3

Protégete con NoScript

Los navegadores más populares ofrecen protección contra esta técnica. Sin embargo, existen medidas específicas contra ella como la gratuita NoScript (http://noscript.net), una extensión de Firefox. Ésta nos protegerá no sólo de los XSS sino de otros muchos tipos de código malicioso embebido en web. Cuando se activa, impide la ejecución del código JavaScript que no autoricemos expresamente.

Esto es un poco pesado al principio, pues la primera vez que entremos en un sitio web con NoScript activado, muchas de sus funciones quedarán desactivadas hasta que autoricemos temporal o definitivamente su ejecución. Sabremos el estado porque el icono de NoScript presenta un signo de prohibición.

Cuando termine de renderizarse la página, veremos una banda en la parte inferior que indicará que hay JavaScripts no aceptados. Si pulsamos en Opciones, emergerá una lista de los autorizados y no autorizados. En muchos casos, se tratará de contadores, analizadores de tráfico y otras utilidades de gestión web inofensivas para el internauta.

La extensión ofrece tres acciones que ejecutaremos pulsando en el ítem correspondiente: Permitir..., Permitir temporalmente... (sólo mientras sigas en el sitio, la próxima vez que entres, volverá a bloquearse) y Bloquear....

Paso 4

Seguridad adicional

Es posible aumentar la protección que te ofrece NoScript usando la extensión Petname, que se descarga desde el sitio web https://addons.mozilla.org/es-ES/firefox/addon/957. Lo que proporciona es una medida de seguridad adicional para páginas sensibles protegidas con SSL.

Esta extensión se activa como un pequeño recuadro de texto en la esquina superior derecha de Firefox. Usándolo, permite registrar una nota personal cuando accedemos a un sitio seguro (vía SSL). Mientras no almacenes ningún recordatorio, en el recuadro de Petname se mostrará la cadena untrusted. La próxima vez que acudamos a ese sitio, la utilidad lanzará esa nota si es ese el sitio, de lo contrario, lo señalará con untrusted.

Paso 5

Protección de los navegadores

De todas formas, los navegadores más populares ofrecen armas contra el phishing bastante razonables. Internet Explorer incorpora un filtro antiphishing. Para activarlo, pulsamos en el menú Herramientas/Filtro de suplantación de identidad (phishing). Una vez hecho, el filtro distinguirá entre sitios donde hacen phishing y los sospechosos de hacerlo. Se trata de un sistema menos selectivo que NoScript, que se basa en listas negras y lanza una ventana emergente amarilla para avisar. Si la web está registrada como fuente de phishing, impedirá el acceso y lanzará una página de aviso.

Para mayor seguridad, comprobaremos manualmente las páginas, pulsando en Herramientas/Filtro de suplantación de identidad (phishing)/Comprobar este sitio web, y Explorer lanzará su filtro. Si no hay ningún problema, emergerá una ventana avisando de que el sitio no ha sido notificado como fuente de phishing. Si por algún motivo queremos entrar en uno reportado como tal, tendremos que desactivar el filtro.

Firefox funciona de forma semejante, chequeando los sitios a partir de una lista negra que, en este caso, mantiene Google. Puedes hacer una prueba de cómo funciona entrando en un sitio de phishing falso e inofensivo www.mozilla.com/firefox/its-a-trap.html. Cuando lo hagas, verás que la pantalla se ennegrece y Firefox lanza un llamativo aviso. Como en el caso anterior, puedes hacerle caso o no.

Opera funciona igual que los dos navegadores anteriores y mantiene su blacklist con dos empresas especialistas que la complementa con una whitelist.

Paso 6

Otras formas de protegerse

A partir de este punto, si todavía no te acabas de sentir seguro, te va a tocar rascarte el bolsillo. Las suites de seguridad más importantes ofrecen funcionalidades adicionales que amplían el margen de seguridad. Ten en cuenta que éstas van a controlar el tráfico entrante y saliente de tu PC.

La seguridad adicional que aportan es chequear si nuestros datos personales salen del PC hacia sitios no autorizados o comprobar si el phishing es uno de los elementos de un ataque más sofisticado. En cualquier caso, hemos de tener presente que no hay un software perfecto, que ninguno va a garantizar una invulnerabilidad total y que, a veces, dan falsos positivos.

Paso 7

Qué hacer si se cae en la trampa

Una mala tarde la tiene cualquiera. Un intento de phishing puede ser sofisticado y lograr engañarnos. Si hemos caído, lo más recomendables es ponerse lo antes posible en contacto con los servicios de atención al cliente del banco, así como chequear diariamente los movimientos de nuestra cuenta durante los días posteriores al ataque, incluso, antes de realizar una transacción, verificar el saldo y comprobar las fechas de las últimas operaciones.

Por último, hemos de mantener actualizado el antivirus y vigilar los registros de seguridad de nuestro firewall. Y, si procede, ponte en contacto con la unidad de delitos informáticos de la Guardia Civil.