Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).


El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea[1] o incluso utilizando también llamadas telefónicas[2] .

Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección.

Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación de medidas técnicas a los programas.


Intentos recientes de phishing

Los intentos más recientes de phishing han tomado como objetivo a clientes de bancos y servicios de pago en línea. Aunque el ejemplo que se muestra en la primera imagen es enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio, estudios recientes muestran que los phishers en un principio son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima [12] . En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente phishing con lanza). Los sitios de Internet con fines sociales también se han convertido en objetivos para los phishers, dado que mucha de la información provista en estos sitios puede ser utilizada en el robo de identidad[13] . Algunos experimentos han otorgado una tasa de éxito de un 90% en ataques phishing en redes sociales[14] . A finales del 2006 un gusano informático se apropió de algunas páginas del sitio web MySpace logrando redireccionar los enlaces de modo que apuntaran a una página web diseñada para robar información de ingreso de los usuarios.

Técnicas de phishing

La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL, http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares [16] ). Por ejemplo, el enlace http:// Esta dirección de correo electrónico está protegida contra los robots de spam, necesita tener Javascript activado para poder verla / puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla[17] e Internet Explorer[18] . Otros intentos de phishing utilizan comandos en _java_script__s para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL legítima.

En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site _script_ing) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.

Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a d¿mini¿.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "¿"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing[19] o ataques homógrafos[20] , ningún ataque conocido de phishing lo ha utilizado.

Lavado de dinero producto del phishing

Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de e-mails, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.

Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.

Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.

Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que este únicamente recibió una comisión.

Fases [editar]

* En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o correos electrónicos, a través de mensajes de ofertas de empleo con una gran rentabilidad o disposición de dinero (hoax o scam). En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados campos, tales como: Datos personales y número de cuenta bancaria.
* Se comete el phishing, ya sea el envio global de millones de correos electrónicos, bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (PHISHING) o con ataques específicos.
* El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros).
* Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevándose éstos las cantidades de dinero y aquéllos —los intermediarios— el porcentaje de la comisión.

Daños causados por el phishing

Los daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y números de seguridad social. Una vez esta información es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas.

Se estima que entre mayo del 2004 y mayo del 2005, aproximadamente 1.2 millones de usuarios de computadoras en los Estados Unidos tuvieron pérdidas a causa del phishing, lo que suma a aproximadamente $929 millones de dólares estadounidenses [21] . Los negocios en los Estados Unidos perdieron cerca de 2000 millones de dólares al año mientras sus clientes eran víctimas.[22] El Reino Unido también sufrió el alto incremento en la práctica del phishing. En marzo del 2005, la cantidad de dinero reportado que perdió el Reino Unido ha causa de esta práctica fue de aproximadamente £12 millones de libras esterlinas. [23]

Anti-Phishing [editar]

Existen varias técnicas diferentes para combatir el phishing, incluyendo la legislación y la creación de tecnologías específicas que tienen como objetivo evitarlo.

Respuesta social [editar]

Una estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los empleados de modo que puedan reconocer posibles ataques phishing. Una nueva táctica de phishing donde se envían correos electrónicos de tipo phishing a una compañía determinada, conocido como spear phishing, ha motivado al entrenamiento de usuarios en varias localidades, incluyendo la Academia Militar de West Point en los Estados Unidos. En un experimento realizado en junio del 2004 con spear phishing, el 80% de los 500 cadetes de West Point a los que se les envió un e-mail falso fueron engañados y procedieron a dar información personal.[24]

Un usuario al que se le contacta mediante un mensaje electrónico y se le hace mención sobre la necesidad de "verificar" una cuenta electrónica puede o bien contactar con la compañía que supuestamente le envía el mensaje, o puede escribir la dirección web de un sitio web seguro en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje sospechoso de phishing. Muchas compañías, incluyendo eBay y PayPal, siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera genérica como ("Querido miembro de eBay") es probable que se trate de un intento de phishing.

Respuestas técnicas
Alerta del navegador Firefox antes de acceder a páginas sospechosas de phishing.
Alerta del navegador Firefox antes de acceder a páginas sospechosas de phishing.

Hay varios softwares anti-phishing disponibles. La mayoría de estos programas trabajan identificando contenidos phishing en sitios web y correos electrónicos; algunos software anti-phishing pueden por ejemplo, integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real del sitio visitado. Los filtros de spam también ayudan a proteger a los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el phishing recibidos por el usuario.

Muchas organizaciones han introducido la característica denominada preguntas secreta, en la que se pregunta información que sólo debe ser conocida por el usuario y la organización. Las páginas de Internet también han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces el sitio no es legítimo[25] . Estas (y otras formas de autentificación mutua continúan siendo susceptibles a ataques, como el sufrido al banco Escandinavo Nordea a finales del 2005[26] .

Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para cerrar páginas con contenido phishing.

El Anti-Phishing Working Group, industria y asociación que aplica la ley contra las prácticas de phishing, ha sugerido que las técnicas convencionales de phishing podrían ser obsoletas en un futuro a medida que la gente se oriente sobre los métodos de ingeniería social utilizadas por los phishers.[27] Ellos suponen que en un futuro cercano, el pharming y otros usos de malware se van a convertir en herramientas más comunes para el robo de información.

Respuestas legislativas y judiciales

El 26 de enero de 2004, la FTC (Federal Trade Commission, "Comisión Federal de Comercio") de Estados Unidos llevó a juicio el primer caso contra un phisher sospechoso. El acusado, un adolescente de California, supuestamente creó y utilizó una página web con un diseño que aparentaba ser la página de America Online para poder robar números de tarjetas de crédito.[28] . Tanto Europa como Brasil siguieron la práctica de los Estados Unidos, rastreando y arrestando a presuntos phishers. A finales de marzo del 2005, un hombre estonio de 24 años fue arrestado utilizando una backdoor, a partir de que las víctimas visitaron su sitio web falso, en el que incluía un keylogger que le permitía monitorear lo que los usuarios tecleaban [29] . Del mismo modo, las autoridades arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, líder de una de las más grandes redes de phishing que en dos años había robado entre $18 a $37 millones de dólares estadounidenses [30] . En junio del 2005 las autoridades del Reino Unido arrestaron a dos hombres por la práctica del phishing [31] , en un caso conectado a la denominada Operation Firewall del Servicio Secreto de los Estados Unidos, que buscaba sitios web notorios que practicaban el phishing [32] .

En los Estados Unidos, el senador Patrick Leahy introdujo el Acta Anti-Phishing del 2005 el 1 de marzo del 2005. Esta ley federal de anti-phishing establecía que aquellos criminales que crearan páginas web falsas o enviaran spam a cuentas de e-mail con la intención de estafar a los usuarios podrían recibir una multa de hasta $250,000 USD y penas de cárcel por un término de hasta cinco años. [33]

La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing. El 31 de marzo del 2005, Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. En algunos de ellos se acusó al denominado phisher "John Doe" por utilizar varios métodos para obtener contraseñas e información confidencial. Microsoft espera desenmascarar con estos casos a varios operadores de phishing de gran envergadura. En marzo del 2005 también se consideró la asociación entre Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que permitirían combatir varios crímenes cibernéticos, incluyendo el phishing.

CINCO NORMAS PARA EVITAR EL PHISHING

El Centro de Alerta Antivirus de Red.es, que se encarga de fomentar la seguridad en internet, ha publicado un documento con 5 normas sencillas para evitar caer en la trampa del phishing, maniobra de ingeniería social por la que un usuario de correo electrónico es invitado a revelar sus claves bancarias o números secretos de acceso a cuentas financieras.

El phishing no es un virus, sino un método que utiliza un mensaje de correo digital en la que se propone engañosamente la introducción de claves en una página web que simula la de una entidad bancaria.

Los mensajes enviados utilizarán todo tipo de ingeniosos argumentos relacionados con la seguridad de la entidad, para justificar la necesidad de introducir sus datos de acceso. Algunos ejemplos de los más comunes pueden ser los siguientes:

- Problemas de carácter técnico.
- Recientes detecciones de fraude.
- Nuevas recomendaciones de seguridad.
- Cambios en la política de seguridad de la entidad.

Ante esta campaña, Red.es recomienda 5 normas de fácil aplicación para evitar caer en estos señuelos:

1.- No atienda a correos electrónico escritos en idiomas que no hable: su entidad financiera no se dirigirá a Ud en ese idioma si antes no lo han pactado previamente

2.- No atienda a correos enviados por entidades de las que no es cliente en los que le pidan datos íntimos o que afecten a su seguridad

3.- No atienda a sorteos u ofertas económicas de forma inmediata e impulsiva

4.- No atienda a correos que le avisen del cese de actividades financieras recibidos por primera vez y de forma sorpresiva

5.- No atienda a correos de los que sospeche sin confirmarlos telefónica o personalmente con la entidad firmante

La Entidad Pública Empresarial Red.es, adscrita al Ministerio de Industria, Turismo y Comercio, tiene también entre sus funciones la de actuar como registro español de dominios de Internet bajo ".es", fomentar la Sociedad de la Información en nuestro país. Además del Observatorio de las Telecomunicación y de la Sociedad de la Información, gestiona el Centro de Alerta Antivirus, y los programas Internet en el Aula y Telecentros, RedIRIS y Patrimonio.es.

La Agencia Tributaria alerta de un intento de phising en su nombre

La Agencia Tributaria ha advertido este viernes de un nuevo intento de "phising" en su nombre, que consiste en el envío de un correo electrónico en el que se utiliza su imagen y el nombre del director general, Luis Pedroche, para solicitar los datos bancarios de quien lo recibe. El engaño hace referencia a una resolución inexistente por la que se aprueba una devolución de dinero en la que el receptor del e-mail sale beneficiado.

La Agencia Tributaria informa de que este fraude, que consiste en el envío de un correo electrónico falso que imita a la Agencia Tributaria, y en el que se solicitan las claves secretas de acceso a la cuenta bancaria vía internet, ha sido detectado en la mañana de este viernes.

El engaño, presuntamente firmado por el director general de la Agencia Tributaria, hace referencia a una resolución inexistente del 4 de enero de 2008 por la que se aprueba una devolución en la que el receptor del e-mail sale beneficiado. Para poder disponer del dinero, en el correo electrónico se indica como acceder a un enlace en la dirección secure.aeats.info, dirección en la que, posteriormente, se piden los datos de las cuentas corrientes.

Prevención a los usuarios

La Agencia Tributaria recuerda, además de las medidas adoptadas por la Administración para perseguir estos intentos de fraude, que la mejor medida es la prevención de los usuarios ante comunicaciones sospechosas que incluyan la petición de datos bancarios.

Además, recuerda que la Agencia Tributaria nunca solicita información confidencial de los contribuyentes por correo electrónico. Para cualquier consulta, los contribuyentes deben acudir a la página web de la Agencia Tributaria es www.agenciatributaria.es.

Primer intento contra la Agencia

Además, la Asociación de Internautas recuerda que este es el primer intento de "phising" en nombre de la Agencia Tributaria en 2008 y que en 2007 se detectaron otros dos.

En el correo que se recibe, añaden estas fuentes, se explica que tras los cálculos fiscales anuales la persona que recibe el correo tiene derecho a una devolución de 490 euros, tras lo que le indica que pulse el enlace citado anteriormente que, a su vez, le dirige a una página que simula ser la Agencia Tributaria y en la que le solicitan el número de la tarjeta de crédito.

Esto no preocupa hasta que le toca a uno en sus carnes. Estas Navidades "el BBVA" me mandó un enlace para que actualizase mis datos y los de tarjeta de crédito jeje, a mí que todavía compro carne y pago con sal como en los mejores tiempos del trueque!!!