Los cibercriminales prosperan a pesar de las nuevas defensas automatizadas.
¿Cree usted que los nuevos filtros de phishing incorporados en Internet Explorer 7 y Firefox 2 protegerán su información privada? No lo crea. El número de sitios dedicados al phishing se elevó considerablemente durante el año pasado y el número de estadounidenses timados por las estratagemas de phishing casi se ha duplicado. En noviembre de 2006, el último mes que tuvimos datos disponibles, el AntiPhishing Working Group encontró 37.439 sitios nuevos, un aumento del 709 por ciento sobre los 4.630 sitios que existían en noviembre de 2005.
El pasado octubre, Mozilla y Microsoft presentaron nuevas versiones de sus navegadores que emplean listas negras para bloquear el acceso a sitios de phishing conocidos. En respuesta, los creadores más ingeniosos de phishing inundaron la Web de nuevos sitios falsos con tanta rapidez que era imposible cerrarlos todos o ponerlos en listas negras.
La facilidad alarmante con que los que cometen ese fraude cambian de curso, más otras nuevas tácticas de phishing, hacen pensar a algunos expertos de seguridad que esos malhechores tienen superioridad en la guerra contra el fraude en línea.
“Al final”, advierte Zulfikar Ramzan, un investigador principal en el Security Response Group de Symantec, “las tecnologías que dependen exclusivamente de las listas negras van a ser inútiles”.
Phishing fácil
Según RSA, un vendedor de seguridad, los hackers empezaron a vender en enero un kit de phishing que permite a los criminales establecer excelentes sitios falsos en la Web con muy poco esfuerzo. El sitio falso extrae imágenes y diseños del sitio verdadero, por lo general un banco u otra institución financiera, y pasa la información del usuario al sitio verdadero para simular una conexión real, mientras guarda para los criminales una copia de los datos cruciales de la cuenta.
La atracción, por supuesto, son las ganancias cada vez mayores. La firma de investigación Gartner estima que 3,5 millones de estadounidenses dieron información confidencial a los “phishers” en 2006, un aumento del 84 por ciento con relación al año anterior, para una pérdida total de US$2.800 millones. Se estima que una sola pandilla de phishing, llamada Rock Phish, ha ganado más de US$100 millones.
Según los expertos de seguridad, Rock Phish ha creado muchas de las técnicas que han contribuido al aumento reciente de los sitios de phishing. Y dicen estos expertos que la imagen indeseada que oculta de los filtros su intención intercalándola en una foto fue una invención de Rock Phish. En ciertos momentos, este grupo, que se especializa en simular las instituciones financieras de EE.UU. y Europa, puede ser responsable por la mitad de todos los sitios de phishing que se encuentran funcionando, según los investigadores.
El análisis heurístico puede ayudar a combatir este flagelo. En vez de depender de una lista negra de sitios de phishing conocidos, este método analiza el comportamiento de un sitio, buscando las técnicas usadas normalmente por los phishers. IE 7 emplea la heurística, al igual que el complemento gratuito SiteAdvisor para IE y Firefox.
Una norma que ha surgido para un nuevo tipo de certificación de sitios –llamada Extended Validation Secure Sockets Layer, o EV SSL– también pudiera ayudar. Para conseguir este certificado, los sitios tendrán que ser evaluados por terceros como Verisign o Entrust a fin de asegurar que, por lo menos, parecen ser legítimos. En estos sitios, la barra de direcciones del navegador se iluminará en verde.
Microsoft reconoce EV SSL en su navegador IE 7 y los principales sitios de comercio electrónico como PayPal han comenzado a aplicar la tecnología.
Pero si la marea actual de sitios de phishing sirve para demostrar algo es que los phishers pueden y han logrado burlar los procedimientos y herramientas automatizadas para proteger sus considerables ganancias. Recientemente han desarrollado nuevas tecnologías que pueden impedir medidas de protección como la EV SSL, según Avivah Litan, un analista de Gartner.
Litan, quien duda que los certificados de EV SSL tengan mucho impacto en el phishing, cree que las firmas de tecnología de seguridad merecen parte de la culpa por la creciente amenaza del phishing.
“La industria de seguridad ha sido un poco arrogante”, explica ella. “No creo que la gente se da cuenta de lo adelantados que están estos criminales”.
Mejor defensa
Aunque no habrá una píldora mágica automática por el momento (o quizá nunca) para protegernos a todos, hay una manera simple de protegerse de la mayoría de los intentos de phishing: nunca pulse un vínculo en un correo electrónico o en un sitio de terceros para ir a sus cuentas financieras. Si, por el contrario, usted siempre usa su propio marcador de página o escribe la dirección, incluso cuando esté 100 por ciento seguro de que el correo electrónico es legítimo, debe estar protegido.
Las herramientas automatizadas, como la Password Safe, que es gratuita (http://www.pcwla.com/buscar/07041301), y los utensilios de Password Hash ((http://www.pcwla.com/buscar/070413012) pueden ofrecer aun más ayuda. Pero para combatir a esos phishers que no cesan de adaptarse a la situación, su mejor protección es usted mismo.
-Robert McMillan