Fraude en línea: phishing

¿Qué es el phishing?

El phising o robo de identidad es básicamente un tipo de estafa en línea, y los autores de estos fraudes, conocidos como ladrones de identidad, son artistas del engaño con conocimientos técnicos. Utilizan spam, sitios web falsos, software de actividades ilegales y otras técnicas con las que engañan a la gente para que divulguen información confidencial, como los datos de su tarjeta de crédito o de su cuenta bancaria. En cuanto capturan suficiente información de las víctimas, ellos mismos pueden utilizar los datos robados para estafarlas (por ejemplo: abren nuevas cuentas con el nombre de la víctima o agotan su cuenta bancaria), o bien pueden vender esta información en el mercado negro a buen precio.

Cómo funciona el robo de identidad
En la mayoría de los casos, los phishers envían oleadas de correos electrónicos de spam, en ocasiones, hasta millones de mensajes. Cada uno de estos correos electrónicos contiene un mensaje que parece proceder de una empresa de confianza y bien conocida. Por lo general, en el mensaje aparece el logotipo y el nombre de la empresa, y suele intentar provocar una respuesta emocional a una crisis falsa. El mensaje, redactado en un lenguaje comercial que denota urgencia, suele solicitar la información personal del usuario. En algunas ocasiones, el correo electrónico dirige al destinatario a un sitio web falso. El sitio web, al igual que el correo electrónico, parece auténtico y en algunos casos se enmascara su URL para hacer que la dirección parezca real.

En el sitio web falso, se pide al visitante que proporcione información confidencial: números de la seguridad social, números de cuenta, contraseñas, etcétera. Dado que el correo electrónico y su correspondiente sitio web parecen legítimos, los phishers saben que por lo menos un pequeño número de destinatarios caerán en la trampa y enviarán sus datos. Aunque es imposible conocer los índices de respuesta actuales a los ataques de phishing por parte de las víctimas, se cree que de un 1 a un 10% de los destinatarios caen en la trampa de una campaña de estafas "satisfactoria", con un índice de respuesta de un 5%, aproximadamente. Para que tengamos una idea más clara, se puede afirmar que las campañas de spam suelen obtener en promedio un índice de respuesta inferior a un 1%.

Durante el año 2005, los ataques de los phishers se hicieron mucho más complejos. Comenzaron a utilizar software de actividades ilegales junto con sus sitios web falsos, y aprovecharon vulnerabilidades conocidas de los exploradores de Internet para infectar los equipos víctima. Esta tendencia significa que con tan sólo hacer clic en el vínculo de un correo electrónico de phishing que conduce a un sitio web falso, es posible robar la identidad del usuario, dado que el phisher ya no necesita que el usuario introduzca su información personal; el caballo de Troya o el software espía que se implanta en el equipo capturará esta información la próxima vez que el usuario visite el sitio web legítimo del banco o de otro servicio en línea. Durante el pasado año, este tipo de software de actividades ilegales se hizo más selectivo (para capturar solamente la información solicitada por el phisher) y más sigiloso gracias a los rootkits y a otras técnicas de ocultación que les permiten mantenerse ocultos en el interior de un sistema infectado.

Otro ejemplo de lo mucho que están avanzando los conocimientos y las habilidades de los grupos de phishing es la utilización de las fallas en los diseños de sitios web para hacer que sus ataques resulten más convincentes. Así, por ejemplo, una falla en el sitio web de IRS (el servicio de recaudación de impuestos de los EE. UU.) permitió que los phishers lograsen que sus páginas "señuelo" parecieran el sitio web auténtico del IRS, a pesar de que la víctima se dirigió directamente a un servidor web diferente, propiedad de los criminales. Éste es sólo uno de los muchos ejemplos que muestran el avance constante de las habilidades técnicas de los estafadores.

Ejemplo de phishing

Symantec puso en funcionamiento un grupo de equipos conocidos como "honeypots", que constituyen una red de sistemas que se han hecho vulnerables a fin de capturar y estudiar ataques reales. La información obtenida se utiliza en actividades de investigación y para mejorar los productos de Symantec. Symantec capturó recientemente en su red "honeypot" un ataque de phishing estereotípico dirigido a eBay, el servicio de subastas en Internet. Debido a su enorme popularidad y a su atractivo universal, eBay se ha convertido en uno de los blancos más codiciados por los phishers en Internet.


Para iniciar el ataque, su autor aprovechó una falla de seguridad existente desde hacía mucho tiempo y que se había dejado sin resolver a propósito en uno de los servidores "honeypot" a fin de atraer este tipo de actividades. Una vez que el atacante consiguió un acceso total al sistema mediante técnicas de piratería adicionales y una herramienta de control remoto encubierta, creó un sitio web de eBay falso en el servidor. Arriba se muestra la página falsa de inicio de sesión en eBay que creó el phisher; puede apreciarse su asombrosa similitud con la versión auténtica de eBay.

Nota: El sitio web fraudulento de eBay fue eliminado antes de que ningún usuario pudiera visitar el sitio y resultara víctima de la estafa.

Seguidamente, el phisher envió un correo electrónico "señuelo" (como el que se incluye a continuación) a una lista de correo electrónico de posibles víctimas. Este mensaje se ha extraído de un ataque de phishing real y sigue las fórmulas habituales: lenguaje oficial y advertencia amenazadora que insta al destinatario a que actúe con rapidez si desea mantener su cuenta activa. Todos los vínculos incluidos en el mensaje sí llevan al sitio web de eBay real, con la importante excepción de la invitación fraudulenta de "haga clic aquí para volver a introducir la información de su cuenta". El vínculo de esta sección conduce al usuario a una página de inicio de sesión falsa (http://signin.ebaay-com.us/) en lugar de a la página de inicio de sesión genuina de eBay (http://signin.ebay.com/).

 
Asunto: Advertencia: Actualización de la tarjeta de 
crédito/débito 
[1]Registrarse en eBay 
[2][poweredByLogo_112x22.gif] 
Estimado cliente: 
[3][SYIStart_LiveHelp_75x20.gif] 
Lamentamos informarle que procederemos a cancelar 
su cuenta de eBay si no actualiza la información de 
su cuenta. Para poder solucionar este problema, 
[4]haga clic aquí para volver a introducir la 
información de su cuenta. Si el problema no puede 
resolverse, su cuenta se suspenderá por un período 
de 24 horas, a partir del cual su cuenta quedará 
cancelada. Tal y como queda estipulado en la Sección 
9 del Acuerdo de usuario, podemos emitir una 
advertencia inmediata y suspender temporal o 
indefinidamente, o rescindir por completo, su 
suscripción y negarnos a ofrecerle nuestros servicios
si consideramos que sus acciones pueden causar 
pérdidas financieras o responsabilidades legales a
usted mismo, a nuestros usuarios o a nosotros. 
Podemos asimismo tomar estas medidas en caso de que no
podamos verificar o autentificar la información que 
nos haya proporcionado. Debido a la suspensión de esta
cuenta, se le prohíbe hacer uso alguno de eBay, incluido
el registro de una nueva cuenta. Tenga en cuenta que 
esta suspensión no lo redime de sus obligaciones 
previamente acordadas en lo referente a cualquier 
pago debido a eBay. Atentamente, Departamento de 
Safeharbor, eBay,Inc. 
El equipo de eBay. 
Éste es un mensaje automático. No responda a este mensaje. 
[5]Acerca de eBay | [6]Anuncios | [7]Centro de seguridad | 
[8]Políticas | [9]Mapa del sitio | [10]Ayuda 
________________________________ 
© 1995-2005 eBay Inc. Todos los derechos reservados. 
Las marcas comerciales y las marcas mencionadas 
son propiedad de sus respectivos propietarios. 
El uso de este sitio web constituye la aceptación del
[11]Acuerdo de usuario y de la [12]Política de privacidad 
de eBay. 
[13]TrustE  

Tras hacer clic en el vínculo falso del mensaje del correo electrónico de phishing, la víctima inicia sesión en el sitio de eBay falso con su nombre de usuario y su contraseña (este sitio web de phishing en concreto no es muy exigente, ya que aceptaría cualquier nombre de usuario y contraseña). Seguidamente, se conduce a la víctima a una página en la que supuestamente se le permite actualizar el perfil de su cuenta, y desde la cual de hecho se transmite al phisher información altamente confidencial de la víctima, como los datos de su tarjeta de crédito, su número de la seguridad social, la dirección particular, el número del permiso de conducir y el nombre de soltera de su madre. Si bien muchos phishers recopilan toda información de las víctimas en lo que se conoce como servidor "dead drop" o "egg drop" (de recogida), este phisher en concreto prefiere recibir la información en su cuenta de correo electrónico gratuito, donde puede iniciar una sesión y leer la información personal de las víctimas cuando le convenga. Muchos ataques de phishing de este tipo sólo duran unos días, ya que la mayoría de las víctimas responden durante las primeras 24 horas.