You are on page 1of 5

Reflexione a partir de la Lectura APENDICE C (material que

encontrar a continuacin) y responda a las siguientes cuestiones:


1. Ha sido alguna vez vctima de un ataque por phising? Ha
recibido algn correo solicitando informacin sobre su acceso a
cuentas bancarias? Cul fue su reaccin?
2. Cree que la banca electrnica actual es lo suficientemente
segura para hacer frente a este tipo de ataques?
3. Comprueba habitualmente si los sitios web a los que accede
estn protegidos mediante certificado y encriptacin?
4. Qu mecanismos de seguridad de los estudiados en la asignatura
resultaran aplicables a este problema?
5. Cmo puede afectar el riesgo de phising al desarrollo de negocio
de la banca o el comercio electrnicos? Cmo se pueden paliar
sus efectos negativos?

Presentacin de
casos reales o prcticos
APNDICE C: NAVEGADORES, PHISING
USUARIO

DISEO

DE INTERFACES DE

NOTA: Este estudio est basado en el artculo de Scott Granneman, Browsers,


phishing, and user interface design publicado en Security Focus.

FUNDACIN UNIVERSITARIA IBEROAMERICANA

C1.1 Porqu funciona el phishing


El phishing funciona por tantas razones, que es necesario redefinir el diseo de
tanto los navegadores como de las interfaces de usuario para proporcionar una
seguridad real y efectiva al usuario medio que no ve o no entiende las seales
de peligro.
En ocasiones, el criminal es tan inteligente que resulta admirable, incluso
aunque se desee que pase el resto de su vida encarcelado. En el otro extremo
de la escala estn los phishers. Indeseables de la web, los phishers se dedican a
spamear correos electrnicos a todos los millones de personas a las que puedan
llegar, esperando que unos pocos respondan a sus fraudulentas solicitudes de
actualizacin de informacin en PayPal, eBay o su banco habitual. Se trata de
un grave problema, y no mejora con el tiempo.
En el artculo Why the phishing works (por Rachna Dhamija, J. D. Tygar, y
Marti Hearst), en escasamente 10 pginas muestra a qu gran problema se
enfrentan tanto en pblico general como el personal de seguridad que debe
protegerlo. El artculo trata de un experimento en el que los investigadores
sentaron a un grupo de personas a probar pginas web. Algunas de ellas eran
webs falsas creadas por el equipo, y otras eran pginas vlidas. Tras observar
el comportamiento de los participantes con las pginas web, los investigadores
consultaron a los usuarios por la motivacin de su comportamiento. Los
resultados fueron reveladores y se comentan a continuacin.
C1.2 Las caractersticas del navegador no son una garanta
Cuando apareci Firefox 1.0, una de sus caractersticas diferenciadoras era que
cambiaba el color de fondo de la barra de direcciones cuando se acceda a una
pgina utilizando HTTPS volvindose de color dorado. Es decir, adems de la
indicacin del candado dorado, la barra de direcciones completa se coloreaba

GESTIN

Y SEGURIDAD DE REDES

as, de manera que se haca an ms obvio que se estaba entrando en una web
segura. Y eso adems de los otros tres indicadores que ya ofreca Firefox.
Sin embargo, en el estudio de Dhamija se observa que el 23% de los usuarios
ni siquiera miran estos indicadores proporcionados por el navegador, como la
direccin o la barra de estado. Muchos no tienen ni idea sobre lo que significa
el icono del candado, de hecho, uno de los participantes confes
confidencialmente que el candado indica que el sitio web no es capaz de enviar
cookies.
En lugar de fijarse en los indicadores de seguridad, lo que los usuarios miraban
era la propia pgina. Si tena un buen aspecto o si no les ola mal. Si tena
logos de VeriSign en la pgina, animaciones, si pareca fidedigna. En algunos
casos, el icono del candado en la propia pgina era suficiente para convencer al
usuario de que la pgina era segura, incluso ms que si el candado estaba en la
barra de direcciones.

C1.4 Los usuarios se fijan en las cosas ms insospechadas


Hubo una pgina, la del Bank of the West, que enga a todos los participantes
en el experimento menos uno. En esa pgina se introdujo un video con una
animacin sobre un oso. Evidentemente, eso atrajo la curiosidad de varios
usuarios, que recargaron la pgina varias veces para volver a ver ese oso
animado. De hecho, algunos participantes afirmaron que la animacin era una
evidencia de que el sitio era legtimo, ya que supondra mucho esfuerzo
copiarlo!
Los participantes del estudio ordinarios tambin descubrieron que la pgina
contena publicidad, lo cual aumentaba su percepcin de que no se trataba de
un engao. De la misma forma, la presencia de un favicon (pequeo icono
que aparece en la barra de direcciones a la izquierda de la URL) se estimaba
como un indicativo de que se trataba de un sitio que no iba a robar su dinero o
identidad.
C1.5 Es increiblemente fcil engaar a la gente
Algunos de los participantes del estudio no estaban familiarizados siquiera con
el trmino phishing, pero tambin se sorprendan incluso de que alguien tuviera
esos hbitos delictivos. Frente a ese nivel de ignorancia, no cabe duda de que
el phishing funciona.

GESTIN

Y SEGURIDAD DE REDES

Algunos usuarios prestan atencin al hecho de que la barra de direcciones


cambia a medida que navegan por un sitio web, pero no tiene ni idea sobre lo
que la propia URL significa. Y esto tambin se aplica a HTTPS. Sin embargo, las
direcciones IP levantan sospechas,... aunque los usuarios tampoco saben los
que significan. Simplemente encuentran los nmeros sospechosos.

FUNDACIN UNIVERSITARIA IBEROAMERICANA

C1.3 Las url tampoco funcionan con todos

Otros usuarios pueden estar ms concienciados respecto al phishing, pero bien


lo ignoran o no tienen muy claro cmo utilizar los indicadores proporcionados
por los navegadores. No es un hecho asombroso, considerando que aparecen
mensajes del tipo Desea aceptar este certificado temporalmente para esta
sesin? Muchos usuario no tienen la ms remota idea de lo que es un
certificado o una sesin.
Incluso los usuarios ms sofisticados fueron engaados con la pgina falsa
www.bankofthevvest.com. Si se observa la direccin con atencin, se detecta
que los investigadores utilizaron vvest con dos v, en lugar de w. Este
truc consigui despistar al 91% de los participantes. Incluso si se observa la
barra de direcciones de forma habitual, y se presta atencin a los enlaces que
se pinchan, este tipo de engaos an resultan efectivos.

FUNDACIN UNIVERSITARIA IBEROAMERICANA

C1.6 Los usuarios estn convencidos de estar haciendo lo correcto


Quien no tiene conocimiento o habilidades en un rea concreta, muchas veces
no slo no se da cuenta, sino que incluso cree que es mejor de lo que
realmente es. Cuanto ms incompetente es alguien para una tarea concreta,
tanto menos cualificada est esa persona para evaluar las capacidades de otra
en esa rea. Cuando alguien no consigue reconocer que se ha comportado de
forma incorrecta o mediocre, cree que lo est haciendo bien. Como resultado,
el incompetente tender a sobreestimar sus capacidades y habilidades.
Estas afirmaciones fueron confirmadas por el estudio sobre phishing ya
comentado, que descubri que los participantes casi siempre estaban muy
seguros de su capacidad para distinguir una web legtima de otra fraudulenta, y
sin embargo, fueron embaucados hasta por las pginas grotescamente
incorrectas. Y hay que tener en cuenta que esto incluye a aquellos que nunca
miran la barra de direcciones para comprobar que estn en una web HTTPS.
C1.7 Lo peor est por venir
El profesor de informtica John Aycock y su estudiante Nathan Friess
publicaron un aviso sobre la futura amenaza sobre spam zombie del espacio
exterior. El ttulo est inspirado en alguna pelcula de Ed Wood, pero el
concepto que hay tras l no es tan divertido.
Estos nuevos zombies minarn el cuerpo de los correos electrnicos hallados
en las mquinas infectadas, utilizando los datos para automticamente
falsificar y enviar spam mejorado y ms convincente a otros destinatarios.
La nueva generacin de spam puede ser enviada desde las direcciones de
personas conocidas y allegadas e incluso imitar el patrn de los mensajes que
envan (como abreviaturas comunes, faltas de ortografa o firmas personales),
favoreciendo que el destinatario abra un archivo adjunto o pinche un enlace.

GESTIN

Y SEGURIDAD DE REDES

Si se combina este hecho con la afirmacin de los participantes del estudio de


que ellos pinchan habitualmente en los enlaces enviados por los conocidos, se
puede ver cmo se avecina el desastre.
C1.8 Qu se puede hacer?
La educacin es una pieza fundamental de la solucin a este problema, pero
cmo se ejecuta de la forma ms efectiva? El navegador y la web se han ido
complicando con el tiempo, de forma que el usuario medio actual tiene
bastante ms que aprender que los de la pasada dcada.

Se deberan disear los navegadores para que simplemente no permitan a los


usuarios visitar sitios peligrosos o cuestionables? Ya existe una serie de
iniciativas para crear una base de datos centralizada de sitios web malignos que
el software pueda referenciar. Un ejemplo es la Toolbar de Google. Los avisos
antiphishing se encuentran activados por defecto en los dos navegadores
principales (IExplorer y Firefox), lo cual es bueno, pero redireccionan a un
mensaje que es fcilmente ignorado por el usuario. Quiz esto no debera
permitirse, o por lo menos, debera dificultarse ms el sorteamiento.

FUNDACIN UNIVERSITARIA IBEROAMERICANA

Claramente, utilizar ms ventanas pop-up o cuadros de dilogo no es la


solucin. De hecho, cada vez que aparece una ventana con un mensaje del
navegador, ms del 50% de los usuarios pinchan en Aceptar sin siquiera leer
lo que pone. Tambin est claro que aadir avisos adicionales del tipo a los
iconos, coloracin de la barra de direcciones, etc. no es de gran utilidad, si la
mayora de los usuarios no se fijan en ellos.

GESTIN

Y SEGURIDAD DE REDES