Español | English
rss facebook linkedin Twitter

Phishing: ¿Cuáles son los puntos débiles de nuestras defensas?

El último informe de S21sec sobre el Fraude Online, muestra que el phishing sigue siendo la actividad fraudulenta predominante. Aunque técnicas más sofisticadas siguen incrementándose, llama poderosamente la atención el caso de phishing.

Las primeras investigaciones de esta amenaza datan de 1998 cuando se realizaba una investigación de malware en AOL pero se toparon con intentos de phishing en lugar de los esperados ataques de caballo de troya. [Where There's Smoke, There's Mirrors: The Truth about Trojan Horse on the Internet.]

¿Cómo es posible que una amenaza con más de 10 años siga ocupando con gran ventaja los primeros puestos?. Sabemos que funciona, pero no sabemos exactamente el por qué. (los usuarios son tontos no es una razón)

Se realizan numerosos esfuerzos desde diferentes ámbitos para la lucha contra el phishing. Interfaces de usuario con candados, https, colores en las barras de direcciones, avisos de certificados. Nuevas vías de detección de spam. Y nuevos diseños de esquemas de autenticación web con refuerzo contra el phishing. Pero da la sensación de que todo esto no sirve para nada mientras el comportamiento del usuario siga siendo el mismo: Click OK/Continue en cualquier tipo de mensaje que no se entienda; poca o nula educacion en seguridad; o el pensamiento "me da igual".

Podemos partir de que el usuario tiene una motivación limitada para combatir el phishing. No podemos esperar que lean código HTML, ni sepan como funciona el DNS, o entiendan la codificación de URIs. Tampoco entienden de certificados digitales, por lo que no pueden tomar decisiones en base a oscuros mensajes que estos presenten. Por todo ello, y porque somos víctimas de nuestra propia avaricia, los usuarios seguirán siendo engañados a través de las diferentes técnicas de phishing.


Soy de los que opinan que el phishing es un problema humano, algo que no se puede parchear, y siempre existirá, ya sea tal y como lo conocemos hoy o disfrazado dentro de nuevas amenazas que todavía ni imaginamos. Pero se lucha contra él y lo intentamos controlar, algo que si podemos. Y ahora os pregunto;

En vuestra opinión, ¿qué vías creeis que podrían ser las más útiles en la lucha contra el phishing?:
  • Mejores interfaces de usuario. (más esfuerzo por parte de fabricantes de navegadores web)
  • Nuevos modelos de autenticación web. ( o el uso de modelos de autenticación de red seguros, tipo kerberos, en entornos web)
  • Uso de nuevas tecnologías como DKIM.
  • Concienciación, programas de formación y sensibilización a los usuarios. Porque si algo sabemos, es cual es el eslabón más débil.
  • Otros. ¿Cuales?
Emilio Casbas
S21sec Labs

10 comentarios:

Anónimo dijo...

El punto debil no es el lado humano, si mirais ls pagina web del isc, entre todo el merchandaisig que venden esta una camiseta con las 9 capas del estandar OSI/ISO. Y si, son nueve.

Physical, Link, Network, Transport, Session, Presentation, Application, Financial and Political

El problema para solucionar el phising esta en las 2 ultimas capas, la financiera y la politica. Si sabemos que los ataques vienen de un pais que se niega a investigar, juzgar y encarcelar a los que hacen phising a estos paises se les hace un corte de red hasta que solucionen SU PROBLEMA. Por que es un problema suyo que termina afectando al resto. Pero entonces aparecen los que tienen el dinero y los politicos de turno diciendo que eso no puede hacerse. Por supuesto que puede hacerse, y viendo como van las cosas, DEBE hacerse.

P.D.
Ya siento comentar siempre como anonimo pero prefiero hacer uso de ese derecho.

S21sec labs dijo...

Excelente punto de vista anónimo, al añadir esas otras vías de lucha contra el phishing.
El informe muestra también que el país con mayor procedencia de phishing son los Estados Unidos, con legislaciones relajadas sobre responsabilidades de ISPs que dificultan esta lucha.

Estás en tu pleno derecho de comentar como desees.
Gracias por tu aportación.

Sebastián dijo...

Me parece interesante el punto de vista explicado en el primer comentario.

De todas formas soy de los que pienso que la clave es EDUCACIÓN-CONCIENTIZACIÓN.

Un usuario educado no es víctima de un caso de phishing, provenga este de dónde provenga.

Anónimo dijo...

Por temas profesionales, estuve una larga temporada en seguridad de la información en una entidad financiera.
Un punto debil por excelencia es el humano.
Falta formación, concienciación.
Estamos habituados por que así lo hemos aprendido de pequeñitos a lo fisico (una puerta, un candado, un cerrojo, ..)
Todo lo que es inmaterial es nuevo, no hemos hecho un aprendizaje y nos suena todo a marciano.
No somos conscientes de lo que hay porque no nos lo han enseñado como aprendizaje, sino como sufridores de una tecnologia que no entendemos. Y que además es incomoda.
Formación, formación y más formación para que dejemos de aplicar las reglas de lo físico a lo inmaterial.

Anónimo dijo...

anonimo me gustan tus comentarios y las expresiones que utilizas. Enhorabuena. Siempre es agradable leer a gente como tu.
saludos desde el levante

Oscar dijo...

Yo creo que si una persona no está lo suficiente formada para entender todo lo que implica el correo electrónico tal y como lo conocemos, entonces NO DEBE tener correo electrónico tal y como lo conocemos.

Si no disponen de los conocimientos básicos de seguridad, no se les puede exponer a recibir un correo de cualquiera que les pueda engañar con facilidad.
¿Solución? En vez de darles una cuenta de correo electrónico a la que cualquiera pueda escribir, proporcionarle una lista autorizada de personas que sí puedan.
Afortunadamente la criptografía ayuda mucho en este aspecto y permite automatizar muchas cosas.

Una política de aceptación por defecto desechando lo innecesario, es una política que requiere de revisión continua donde el administrador persigue al delincuente.
Una política de denegación por defecto, da la vuelta a la tortolla. El delincuente la dificultad de saltarse una norma restrictiva pasa a su lado y lograrlo se hace más y más difícil.

Es esencial para algunas personas admitir comunicación de cualquiera, pero para muchas no es así.

Anónimo dijo...

Oscar,
eso está muy bien como principio utopico. Dile eso a los directivos de las empresas. Diles que su administrador o administradores deben dedicar el tiempo que no tienen y que no les dejan tener a perseguir a los malos. Diles que sus usuarios no deben tener correo electronico porque no son lo suficientemente maduros para lidiar con lo que se encontraran.
No, Oscar. Respetando totalmente tu opinión, por supuesto, la formación es un punto clave en todo esto. Mientras no se acepte y se admita que una parte del presupuesto ha de ir a formación (y no formación de cara a la galeria, que es la mas extendida), sino a una formación pensada específicamente para los usuarios y poniendose en su piel, el "seguiremosjodiendoware" seguirá campando a sus anchas y la capa humana de las empresas y los hogares seguirá siendo el eslabón debil.
Dile también al administrador que tiene que aplicar una politica de denegación por defecto y que despues lidie con aquellos que reciben las quejas de lo clientes por que no se ha hecho tal teansacción, o tal pedido, etc.
Muy acertado en teoria, pero inviable a efectos prácticos.
Y en cuanto a la criptografía y al cifrado en la empresa... tienes razón, es una de las soluciones (despues de la formación) pero de verdad, sin comentarios.

S21sec labs dijo...

Anónimos, coincidis en la Formación como la mejor vía para
combatir el phishing. Es muy interesante escuchar todos esos
puntos de vista.

Ultimo anónimo, muy acertados tu comentarios, estoy muy de acuerdo.

Sebastian, buen razonamiento.

Oscar, algo drástica tu propuesta. :)

Estimula tener unos lectores y comentaristas como vosotros,
sois los que dais verdadero valor a los posts enriqueciéndolos
con vuestras ideas.

Gracias a todos por los comentarios!

Javier dijo...

Pues cómo sino, por acercárlo más a la vida cotidiana de cualquier persona, siguen triunfando los "timos", los mismos.

Pienso que no sólo es falta de información/formación, sino que tendemos a relajarnos, a bajar la guardia, y, por tanto, a recaer (humanum est) y a desechar las experiencias negativas, a positivar la memoria, para dormir más tranquilos.

Además, los medios de comunicación, más que ayudar, confunden al público en general (sospecho que con la misma intención, el internet está "maldito" y es "peligroso" como medio de comunicación)

Por último, la nomenclatura en inglés, puede a ayudar a gente con un buen nivel formativo, pero le resulta difícil de recordar, de retener a los no-anglofonos cotidianos. Y si no se retiene el concepto, la explicación del contenido se va distorsionando.

En definitiva, que hay mucho de factor humano.

javier dijo...

Teniendo en cuenta que, por mucha formación que se aporte a los clientes, nunca se podrá predecir el comportamiento humano, deberá ser la empresa la que aplique procedimientos que lo impidan.
¿Por qué ocurre el phishing?
En el proceso del fraude del phishing hay tres participantes:
1. El Cliente (1), normalmente, de una Entidad Financiera
2. La Entidad Financiera (2)
3. El Defraudador (3)
A lo largo del proceso del fraude sucede que:
a. (2) es suplantado fácilmente por (3) ya que (2) no está obligado a identificarse frente a (1) en sus diálogos
b. (1) conoce sus datos para poder autenticarse y operar con (2) y, con engaños, los entrega a (3)
c. los datos de autenticación que (1) entrega pueden ser reutilizados en próximas operaciones que realice (3) con (2) haciéndose pasar por (1)
Teniendo en cuenta estos tres hechos será fácil eliminarlo si se dispone de un sistema de autenticación en el que:
a) Se siga un procedimiento de autenticación mutua obligando a que también se identifique la Entidad Financiera frente al Cliente
b) Impidiendo que el Cliente conozca todas las claves a utilizar en la autenticación hasta que no se haya autenticado la Entidad Financiera frente al Cliente
c) Las claves que se utilicen en la autenticación mutua sean de un único uso (OTP) de forma que no puedan ser reutilizadas en posteriores operaciones
Que yo sepa ya existe una Patente Europea que describe un procedimiento de autenticación que cumple los tres requisitos.
Si las Entidades Financieras no lo utilizan, y consienten que se sigan realizando los fraudes del phishing, a mi entender son ellos los responsables ya que no actualizan sus sistemas de autenticación.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login