Phishing
| ||||||
Phishing. Término proveniente del inglés con que se ha descrito a los robos de identidad realizados por correo electrónico y teléfono, en el que el estafador se hace pasar por una entidad o empresa prestataria de servicios al individuo en cuestión, de manera que este último le confíe al primero información personal sobre cuentas bancarias, contraseñas, y datos similares. También se le conoce como brand spoofing y/o carding.
Origen del término
El término phishing proviene de la palabra inglesa fishing (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo". A quien lo practica se le llama phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que el dígrafo 'ph' es comúnmente utilizado por los hackers para sustituir la 'f', como raíz de la antigua forma de hacking telefónico conocida como phreaking. El término phishing apareció por primera vez en enero de 1996, en el grupo de noticias de hackers alt.2600, aunque es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker "2600 Magazine". El término 'phishing' fue adoptado por quienes intentaban "pescar" cuentas de miembros de America Online (AOL). Por lo general son los individuos clientes de bancos y servicios de pago en línea los blancos de los ataques de phishing. Las redes sociales (como Facebook, Twitter, MySpace, etc.) también se han convertido en blanco de ataques de phishing.
Técnicas
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. Direcciones URL mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, tales como www.nombredetubanco.com/ejemplo Otra forma para disfrazar enlaces es el de utilizar direcciones que contengan el símbolo de la arroba (@), para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares), como en el enlace www.google.com[arroba]members.tripod.com puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Otro método de phishing muy extendido es el Cross Site Scripting, en que el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, siendo muy difícil de detectar si no se tienen los conocimientos necesarios. Otra técnica de ataque de phishing es el llamado IDN spoofing (o también ataques homógrafos), relacionado con el manejo del Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo, dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron ("ο")). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. El phishing también ha dado lugar al lavado de dinero.
Algunas modalidades
El phishing ha derivado también en otras modalidades, pero siempre con el mismo fin de embaucar a los que ceden a estos ataques, aprovechando las distintas facilidades de los avances tecnológicos; entre estas se encuentran el SMiShing, consistente en el envío de mensajes SMS, y el Vishing, que utiliza el Protocolo Voz sobre IP.
Anti-phishing
Se ha intentado detener la práctica del phishing recurriendo a varios métodos, desde el punto de vista técnico, legislativo, y también organizativo. Se han creado programas informáticos capaces de dectectar los intentos de phishing en sitios web y correos electrónicos. Los filtros de spam también han ayudado a proteger a los usuarios de correo electrónico de los ataques de phishing. Leyes como la Anti-Phishing Act (Acta Anti-phishing), aprobada en Estados Unidos en marzo de 2005, han intentado frenar el robo electrónico de identidad estableciendo altas multas, e incluso prisión. La compañía Microsoft también ha implementado iniciativas en la lucha contra el phishing, llevando ante las cortes judiciales a muchos individuos que ha monitoreado intentando realizar estas prácticas. También se ha creado el Anti-Phishing Working Group, una asociación dedicada a aplicar leyes contra el phishing, surgida en el año 2003, que cuenta con el apoyo y la colaboración de más de mil agencias y compañías de seguridad informática en todo el mundo, entre las que se encuentran Symantec, McAfee, BitDefender, IronKey, VeriSign, y otras. .
