A lo largo de las escasas 24
horas que tiene un día tomamos cientos de decisiones. No es un número estable.
Para algunos serán miles mientras que a otros les bastan unas pocas decenas. La
mayoría de esas decisiones son triviales. ¿Papel higiénico acolchado,
perfumado, con estampaciones de flores silvestres? Mientras que otras
disyuntivas, sin percibir su justo peso, pueden condenar al decisor a una
penitencia doble. Por un lado el pago que conlleva las consecuencias de una
mala opción y por otro el amargo sabor a derrota que se siente cuando se
rememora el momento en el que se tomó la vía equivocada. Somos esclavos de nuestro tiempo y el tiempo es alimento de la historia,
lástima que ésta viaje en un solo sentido y nos impida rectificar la huella de
nuestras imperfecciones.
Una decisión que ha traído a muchos de
cabeza, es ese momento en el que otorgaron un inocente y bienintencionado 'click' a un enlace que les prometía una
recompensa en maravedíes o por el contrario, les conminaba a hacerlo bajo la
amenaza del cadalso digital. Naturalmente hablamos
del phishing.
Aunque tradicionalmente lo asociamos al
fraude bancario, ni de lejos es exclusivo su uso para tales menesteres. Es más
(y ahora nos ponemos de pie, arrastramos la silla hacia atrás y nos llevamos la
palma de la mano al pecho), incluso nosotros mismos lo usamos en nuestras
tribulaciones, cuando nos encargan un test de penetración (si,
suena gracioso cuando no estás habituado a escuchar el término) y nos permiten
usar ingeniería social.
 |
| El antiguo arte de engañar |
Porque realmente, el mecanismo de
funcionamiento de un phishing se basa en la ingeniería social. En el engaño,
estafa, argucia, ardid, fraude, artimaña, señuelo, falsedad, confusión, burla,
embuste, etc. (Tampoco vamos a engañaros en este punto, es evidente que hemos
usado un diccionario de sinónimos). El
arte del engaño es tan antiguo como su padre, el arte de codiciar lo ajeno.
Estos dos nacen como respuesta a una pregunta que nace a su vez de la necesidad
congénita del ser humano de simplificar y optimizar los procesos vitales: "¿Por qué esforzarme lo mismo que el otro si
puedo enajenar lo que él tiene con menos esfuerzo?". Bendita economía.
Bien, pues ya que hemos instalado la idea de
una mala decisión y construido el canal por el que queremos plasmar la
concreción en un ejemplo, pasemos a ver qué defensas podemos levantar contra la
toma de una pésima alternativa o un decálogo de medidas a tomar antes de pulsar
un maldito enlace que nos lleve a la perdición en forma de ransomware o un
derrame pecuniario en nuestros haberes bancarios.
1) Si no eres
capaz de demostrar que no es un phishing, entonces ES UN PHISHING.
 |
| En Barrio Sésamo todos eran buenos |
Me encantaba "Barrio Sésamo". Era un lugar donde el mal no tenía cabida.
Todo era felicidad y buen rollo encantador. De hecho no veréis en ningún
episodio a un personaje echando la llave a una puerta (¿Julián el del kiosco
quizás?). Nadie era malo allí. ¿Cómo pensar mal de un puercoespín rosa de dos
metros con la capacidad humana del habla y la movilidad óptica de un cenicero
de bronce?
Al menos en lo que respecta a tus correos
entrantes no habituales, piensa mal por
defecto. Si ves un correo de tu banco. Demuéstrate a ti mismo que realmente
viene de tu banco. Quizás te llamen paranoico pero siempre puedes responderles
que cuenten con los dedos de una mano a cuantos paranoicos conocen que hayan
sido timados. En la mayoría de los casos les sobraran cinco dedos. Seis o más
en caso de padecer polidactilia. No falla.
Recuerda, el principio de inocencia no se aplica a los activos digitales. Es
culpable por defecto, demuestra su inocencia. Esa es la actitud.
2) Lee el correo.
En serio, lee el correo.
 |
| Lee el correo con alguien como él |
Da igual el idioma que hables. Un correo verdadero y corporativo debería
llegar con una perfección ortográfica y gramatical que cuando termines de
leerlo llores de emoción o tu corazón palpite entregado a los placeres de la
prosa.
Un truco que utilizo es leerlo con un señor
como nuestro académico Pérez Reverte pero imaginario. Coges el texto del correo
e imagina que el señor Pérez Reverte está sentado junto a ti leyendo el mismo
correo. Cuando termines de leerlo (o terminéis) fíjate en su rostro y estate
atento. Si se levanta, te da una palmadita en el hombro y se va, entonces el
correo podría ser bueno. Si te lo imaginas agitado y desenvainando un sable del
siglo dieciocho mientras brama improperios coetáneos del mismo con una tempestad
de fondo. No falla. El correo tiene la validez equivalente a una promesa
electoral. ES PHISHING.
3) Copia el enlace
y compruébalo en sitios de reputación online.
Ten mucho cuidado al copiarlo. En serio,
activar un enlace puede suponer que tu navegador se abra y se dirija a una
fiesta organizada por un exploit kit. Así que deposita el cursor sobre el
enlace lentamente, botón derecho, copiar y sepárate muy muy despacio de él.
Poco a poco.
Ahora, con el enlace en el portapapeles,
puedes comprobarlo en sitios web que van a decirte si la dirección está en una
lista negra. Pero recuerda, y esta idea es importante: Estos sitios sólo
demuestran que el enlace está en una lista negra. Es decir, si no aparece en la
lista negra no significa que sea bueno, significa que no está incluido.
Recuerda. Estos sitios confirman una sospecha, no confirman una coartada.
¿Sitios? Hay muchísimos, unos pocos ejemplos.
Ya sabes. ¿Dominio en lista negra? ES PHISHING. ¿No está en lista negra?
Entonces no está en lista negra.
4) Comprueba el
dominio.
Suponemos que llegados a este paso, que has
visto el correo y tu sentido común no te ha puesto en alerta. Lo has leído con
tu imaginario escritor favorito a tu lado y le ha dado el visto bueno. Por
último, el enlace no aparece en una lista negra. Bien, porque nos acercamos a
una fase crítica. De la URL céntrate, de momento, en el dominio.
Pega la URL en tu editor de texto favorito.
Disecciónala y quédate con el dominio. Hay lectores que tienen un nivel básico,
no hay problema, todos tuvimos un primer día, el resto puede saltarse el
ejemplo. Pongamos la URL de una "Una
Al Día" cualquiera:
 |
| Comprueba el dominio |
¿Veis las barras inclinadas a la derecha? Las
/
Separan componentes. Parte la url en piezas
tomando como referencia esas /
http:
2016
03
petya-un-nuevo-ransomware-que-impide-el.html
Eso que está en negrita es el dominio. Eso se
transformará en una dirección IP a la que se irá nuestro navegador de manera
transparente para traerte una página web. El problema es que tu navegador web
es incapaz de decidir si lo que vas a visitar es la banca online o un servidor
controlado por un atacante y preparado para filibustearte los dineros.
¿Cuál es el dominio de tu banco? ¿Adónde te
diriges cuando vas a visitar el sitio web de tu banco?
Coge la URL que usas habitualmente de tu
banco y haz lo mismo. Compara los dominios. ¿Son idénticos? ¿No? ES PHISHING.
Es cierto que los subdominios pueden variar:
Pero cuídate mucho de que la parte final, ese
hispasec.com antes del primer punto sean
iguales en ambos dominios. ¿No es así? ES PHISHING.
5) Comprueba el
certificado SSL
Hubo un tiempo que el sinónimo de seguridad
en la red era la presencia de un candadito amarillo en el navegador cuando
visitabas un sitio "seguro".
Cuánto daño ha hecho esa frase en el subconsciente de los usuarios proporcionando
una falsa sensación de seguridad.
Hubo
incluso malware, que una vez instalado en el sistema, le endiñaba un
candado amarillo por defecto al navegador, con el simple cometido de
despreocupar al usuario de lo que iba a pasar a continuación. Bajar la guardia
y ¡bum!
 |
| El dichoso candadito amarillo |
Un candadito amarillo solo significaba que la
conexión iba "cifrada" y
que el sitio tenía un certificado SSL. Punto. Ahora pensad un momento. ¿Qué
detiene a cualquiera de comprar un dominio, extender un certificado sobre ese
dominio y poner a la escucha un servidor que ofrezca un canal cifrado?
Hoy día puedes montar una infraestructura con
un dominio, su certificado digital y un servidor con HTTPS establecido, de
manera anónima y en menos tiempo del que llevas leyendo este artículo. Todo eso
puede hacerse en cuestión de minutos e incluso de manera anónima, sin dejar
rastro.
Una conexión segura lo único que te asegura
es que el canal con el que te comunicas está cifrado y el certificado te dice
que el dominio es de quien dice ser. Y eso lo podemos jurar siempre y cuando no
salga un ataque criptográfico de última generación o a la certificadora de
turno no le hayan trabuqueado un certificado raíz.
Así que el sitio web de tu banco tiene que presentar su dominio habitual, su certificado seguro, correcto, al día y asociado al dominio y una
conexión cifrada de manera robusta. Si no es así, no hay duda: ES PHISHING.
Si el dominio es correcto, pero la conexión
no es cifrada o el certificado no es válido entonces amigo, te están haciendo
un hombre en el medio. Sal de ahí. Ya.
6) ES PHISHING
 |
| ¡Templanza! |
Este nivel requiere de una templanza propia
de esos maestros sabios que aparecen en las películas de kung-fu de los 70 u
80.
El principio es muy sencillo. Da igual que el
correo sea de tu banco o no. ES
PHISHING. No se pincha en el enlace. No se visita ninguna URL. No se manda
por fax ni correo ninguna documentación. No se contesta a ese correo. Ni se le
hace caso.
Ya sabemos que puede sonar radical. Pero es
tremendamente efectivo. Además te pone en una ventaja táctica. Usa una suerte
de patrón Hollywood. Si quieren algo de ti y es importante, llámales tú a
ellos. Ponte en contacto con tu banco a través de las líneas que tienen
disponibles y coméntales lo que has recibido. Si es cierto te lo confirmarán y
ya puestos arregla el marrón con ellos. Si es un phishing lo más probable es
que hablando con ellos termines ayudando a otras personas desmontando el fraude
cuanto antes.
Vosotros, nuestros lectores, tenéis un nivel de concienciación y técnico
considerable. No todo el público posee ese nivel capaz de distinguir una
estafa de una comunicación legítima. Incluso confesemos, hasta un ojo avezado y curtido en las amenazas puede ser engañado.
Somos imperfectos.
Sin embargo el día a día avanza, las
comunicaciones se tornan digitales y para bien de los árboles, el papel va
siendo sustituido por un puñado de bits.
No dejes que esos bits te estropeen un día o un mes o los ahorros de una
década.
Esperamos que de una forma entretenida, con
gotas de humor y unas pequeñas reglas, ayudemos a crear conciencia en usuarios
menos entrenados, más confiados y por lo tanto más vulnerables.
Más información:
una-al-dia (03/06/2008) Mitos y
leyendas: "Compruebe el candadito del navegador para estar seguro" I
(Phishing)
una-al-dia (17/06/2008) Mitos y
leyendas: "Compruebe el candadito del navegador para estar seguro" II
(Troyanos)
una-al-dia (20/12/2004) Nueva
técnica de "phishing" afecta a Internet Explorer
una-al-dia (12/07/2006) Troyanos
bancarios y evolución del phishing
David García
