El phishing es un tipo de fraude en Internet que busca adquirir credenciales de un usuario mediante el engaño. Este tipo de fraudes incluye el robo de contraseñas, números de tarjetas de crédito, datos bancarios y de otras informaciones confidenciales.
Los mensajes de phishing suelen adoptar la forma de notificaciones de bancos, proveedores, sistemas de pago y otras organizaciones. Esta notificación tratará de incentivar al destinatario, por una razón u otra, a que ingrese con urgencia a sus cuentas en línea para actualizar sus datos personales. Dentro de las excusas más habituales se encuentran la pérdida de datos, la interrupción del sistema, etc.
Los ataques de phishing son cada vez más avanzados en su utilización de técnicas de ingeniería social. En la mayoría de los casos, los estafadores tratan de asustar a los usuarios empleando una razón aparentemente importante para que el destinatario confiera sus datos personales. Generalmente, estos mensajes suelen contener amenazas de bloqueos de cuenta si el destinatario no cumple los requisitos. Un ejemplo típico de estos mensajes dice: “si usted no proporciona sus datos personales antes del final de la semana, su cuenta será bloqueada”. Irónicamente, los estafadores suelen hacer referencia a la necesidad de mejorar los sistemas anti-phishing como una de las razones por las que solicitan la información confidencial de los usuarios. Otra artimaña típica plantea: “si desea estar protegido contra el phishing, haga click en este enlace e introduzca su nombre de usuario y contraseña”.
Fig 1. Mensaje de phishing, supuestamente de la Administración Nacional de Cooperativas de Crédito, que contiene una solicitud para actualizar los datos del usuario.
La vida promedio de un sitio de phishing es de 5 días. Los filtros anti-phishing reciben información sobre las nuevas amenazas casi constantemente, y los phishers se ven obligados a registrar nuevos sitios que imitan las páginas web oficiales de diferentes organizaciones confiables.
Para acceder a un sitio web falso, el usuario tiene que introducir sus credenciales. Esta información es exactamente lo que los estafadores buscan. Una vez que obtienen acceso a la cuenta de correo electrónico (o a la cuenta bancaria online) de un usuario, los phishers tienen que enfrentar un nuevo desafío: extraer el dinero en efectivo de la cuenta de la víctima sin dejar rastros. Eso no es una cosa fácil de hacer. Si la persona involucrada en este negocio ilegal es atrapada por las autoridades policiales, seguramente acabará tras las rejas. Por esta razón, los phishers generalmente optan por vender los datos robados a otros estafadores que se dedican exclusivamente a extraer dinero de las cuentas bancarias.
Los bancos, los sistemas de pago y las subastas electrónicas son los principales objetivos de los cibercriminales. Esto indica que los defraudadores están muy interesados en los datos personales que proporcionan acceso al dinero. El robo de credenciales de correo electrónico también es muy popular, ya que esta información se puede vender a los delincuentes que distribuyen malware o que crean redes zombie.
Usualmente, la “calidad” de los mensajes de phishing es muy alta. Los sitios falsos, por lo general, se ven exactamente iguales que los originales. Lógicamente, el objetivo es que el usuario no sospeche que algo anda mal cuando ingresa su nombre de usuario y contraseña.
Un truco típico del phishing es utilizar enlaces muy similares a las direcciones URL de los sitios originales. Este truco está diseñado para atrapar a los usuarios menos experimentados. Un usuario cuidadoso probablemente notará que un enlace es diferente al del sitio legítimo. Estos enlaces pueden comenzar con una dirección IP, y las grandes empresas jamás utilizan links como éstos.
Las direcciones URL de los sitios de phishing a menudo se parecen mucho a la verdadera URL de la compañía legítima. Pueden incluir el nombre de la dirección URL original con algunas palabras adicionales (por ejemplo www.login-examplebank.com, en lugar de www.examplebank.com). Otro truco es utilizar puntos en lugar de barras (por ejemplo www.examplebank.com.personal.login o www.examplebank.com personal.login, en lugar de www.examplebank.com/personal/login).
Fig 2. Mensaje de phishing (imitación de una notificación de eBay) que contiene varios vínculos. Uno de ellos conduce a un sitio de phishing.
El cuerpo de un mensaje phishing contiene enlaces a lo que parece un sitio legítimo, pero la URL es diferente. Muchas veces, con el objetivo de engañar a los usuarios, los delincuentes incluyen varios enlaces legítimos que llevan al sitio original. Sin embargo, el vínculo principal –que es el que requiere que el usuario introduzca su nombre y contraseña- lleva a un sitio falsificado.
Otras veces, los mensajes solicitan que el usuario introduzca sus datos confidenciales en la misma página del mensaje. Lo cierto es que jamás ningún banco u organización legítima les pediría a los usuarios hacer esto.
Fig.3. Mensaje de phishing imitando una notificación de Barclays Bank que le pide al usuario que introduzca sus credenciales de inicio de sesión en la misma página que el mensaje.
Los phishers están constantemente mejorando sus tecnologías y esto ha dado lugar a la aparición de una nueva tendencia: ‘el pharming’. Este tipo de fraude en Internet también tiene por objetivo captar credenciales de acceso, tales como nombres de usuario y contraseñas, pero a diferencia de los phishers -que utilizan los correos electrónicos para lograr sus objetivos-, los pharmers obtienen las identidades a través de sitios web oficiales. Estos criminales redirigen a los usuarios a sitios web falsos cambiando las direcciones de los sitios web legítimos en los servidores DNS. El pharming es una amenaza aún más grave que el phishing, ya que es casi imposible para un usuario detectar que lo están estafando.
Los objetivos de phishing más populares son Ebay y PayPal. Otros objetivos también incluyen bancos de todo el mundo. Los ataques de phishing pueden ser aleatorios o específicos. Por regla general, los ataques al azar están dirigidos a los sitios más populares, tales como Ebay, porque hay una alta probabilidad de que el potencial destinatario tenga una cuenta en ese sitio. En el segundo caso, los estafadores determinan de antemano que el usuario destinatario tiene una cuenta en un banco, sistema de pago o proveedor específico. Este método es más complicado y costoso para los phishers. Sin embargo, la probabilidad de que la víctima sea engañada es también más elevada.
Fig 4. Muestra de un mensaje de phishing imitando una notificación del popular Sistema de pagos PayPal.
El robo de identidad no es la única amenaza presentada por un enlace de phishing. Muchas veces, los enlaces falsos pueden conducir a spywares, keyloggers o troyanos. Por lo que, aun cuando un usuario no tenga una cuenta de interés para los estafadores, eso no quiere decir que estén a salvo de estas amenazas.
Según la firma Gartner Inc, en 2006 una víctima de phishing en Estados Unidos perdía $1244 en promedio, mientras que en el año anterior la cifra media no superaba los $257. Estas estadísticas muestran el increíble éxito los phishers.El éxito del phishing está determinado en gran medida por el escaso conocimiento de los usuarios sobre cómo opera la compañía que los estafadores están imitando. Muchos sitios legítimos contienen advertencias que afirman taxativamente que ellos nunca piden a los usuarios enviar datos confidenciales a través del correo electrónico. Sin embargo, a pesar de esto, los usuarios continúan enviando sus contraseñas a los estafadores.
Por esta razón, el Grupo de Trabajo Anti-Phishing (APWG, por sus siglas en inglés) convocó a las principales empresas objetivo de los phishers, y a los fabricantes de software antiphishing/antispam para orientar a las compañías sobre cómo informar a sus usuarios acerca de este problema.
Al mismo tiempo, los miembros de APWG notifican constantemente sobre las nuevas amenazas y sitios de phishing. Actualmente APWG incluye 2.500 miembros. Los principales bancos internacionales y empresas de IT están entre ellos. Según los pronósticos más optimistas, en un futuro próximo, los usuarios aprenderán a ser tan cuidados con los enlaces de phishing, como lo son con los mensajes que incluyen archivos adjuntos de remitentes desconocidos. Mientras tanto, los filtros de spam siguen siendo la primera línea de defensa contra el phishing.