Dentro de las actividades ilícitas en la red, podemos encontrar actividades basadas en programas, que mediante su uso permiten actuaciones normalmente no permitidas por los sistemas de seguridad, y otros basados en ingeniería social. La ingeniería social se basa en utilizar técnicas aptas para lograr el engaño de sus destinatarios, con tal de conseguir que realicen una actuación que es el objetivo de la técnica. Un ejemplo podría ser el uso del conocimiento de que una parte de los usuarios usa el mismo Login en su correo que en algunas de las páginas web, con lo cual con tan solo incluirlo en el correo y decir "Incluímos el nombre de usuario registrado a su nombre para que compruebe que proviene realmente de nosotros" parece un correo más real y más apto para engañar.
Hoy, vamos a hablar de Phishing, de esa suplantación de identidad virtual, con tal de aprovecharse de la confianza que merecen las empresas objeto de esta actividad. Mediante el uso de correos o de páginas web con la apariencia de ser las páginas verdaderas (pueden utilizar métodos de envío de correos desde direcciones falsas, o tener un dominio muy similar) se busca conseguir un engaño para conseguir los datos necesarios para enriquecerse. Pongamos un ejemplo, qué creéis que sucedería si en la dirección www . bancobanesto . com pusiera una página idéntica en aspecto a la de Banesto? Y si me dedicara a enviar correos a la gente diciéndoles que en caso de no introducir sus datos la cuenta se cerrará y perderán su dinero? Tal vez a algunos este intento les puede sonar burdo, pero sería un claro ejemplo de phishing. También podría darse el caso de que en el cuerpo de un correo aparece un enlace aparentemente dirigido a la página web original, pero que en claso de seguirlo nos llevará a su página web. Pese a que en el momento de contratar el servicio ya viene establecido que no se nos pedirán datos de este tipo por correo y que en caso de duda acudamos a la empresa directamente, muchas personas siguen picando.
En algunos casos, encontramos hechos que llegan a rozar lo absurdo, como es el incluir en sus correos alguno de los mensajes, banners o links de la empresa para luchar contra el phishing, reforzando la idea de seguridad. En el caso de nuestro ordenamiento jurídico, podemos observar como de acuedo con el Art. 248 CP, en los casos presentados resultará que nos encontremos con un delito de estafa en el momento de la utilización de los datos (en estos casos, números de tarjetas de crédito). Resulta curioso que el Código Penal hable de "manipulación informática o artificio semejante" en los casos de fraude informático, y no concrete más allá del requisito de que sean aptas para provocar una transferencia patrimonial no consentida por el titular.
Ahora bien, respecto al colectivo hispanoparlante, tenemos una ventaja respecto al phising proviniente de ciertas webs, sobretodo extranjeras en las que podemos encontrar un soporte multilingüe. Dado que en el propio mensaje se nos informa que el idioma en el que se nos envía es el mismo que utilizamos en dicha página web, tal vez nos sorprenda recibirlo en inglés, con lo que el engaño resultará más complicado.
El phishing siempre ha sido un problema, pero parece que actualmente están comenzando a llegar a un nivel preocupante el número de delitos de este tipo. Paypal ha sido desde hace tiempo uno de los objetivos principales de Ebay. Como intermediario en transacciones electrónicas, el conjunto de sus usuarios cuentan con datos bancarios que les permiten realizar pagos en un gran número de sitios web, sin necesidad de que dichos datos sean comunicados a cada una de estas páginas. Este sistema más seguro y cómodo ha conseguido implantarse con fuerza dentro del mundo virtual. Con tantos clientes, y cada uno de ellos con cuentas susceptibles de ser usadas para transacciones patrimoniales, está claro que sería uno de los objetivos de los dedicados a este tipo de delitos. Pues bien, hoy leo en pcadvisor que Paypal está hablando con los servicios de provisión de correo electrónico para conseguir que los correos que se les atribuyen no se admitan si no cuentan con una firma digital, con tal de evitar el phishing que se realiza suplantándole. La propuesta de Paypal es que los servidores de correo electrónico, como Yahoo o Google, rechacen automáticamente todo correo proviniente del dominio paypal.com si este no ha sido firmado con el certificado digital que le corresponde.
Si se consiguiera implantar esta medida, resultaría muy complicado (dependerá del modelo de firma electrónica que se utilice finalmente) suplantar su identidad o modificar los correos que ellos envían con tal de conseguir el engaño de sus destinatarios. Uno de los sistemas de firma digital que está utilizando actualmente Paypal es DomainKeys (resulta curioso el contenido actual de la sección antispam de Yahoo, en español me refiero), que permite que se identifique correctamente el dominio de origen de los diferentes correos electrónicos y la integridad de los mencionados correos. Además, están apareciendo iniciativas para trasladar dominios de tipo bancario a dominios .safe o .sure, con tal de ayudar a evitar las posibilidades de suplantación de identidades. Con la creación de un dominio dedicado de este tipo, destinado únicamente a entidades financieras (en igual forma que los .gov, exclusivos de la administración), se podría aumentar la confianza en la seguridad de un sitio si accedemos a una página web perteneciente a este dominio (no resultaría igual de sencillo conseguir un bancobanesto.safe que un bancobanesto.com). Toda ayuda es poca para luchar contra el crimen electrónico, muy en boga en la actualidad.
En la sección "Sentencias y contenido extra", dentro de "Otros", podéis encontrar un par de ejemplos de phishing realizado suplantando a Ebay y Paypal en pdf. En el caso de Ebay, se recibió el correo sin tan siquiera tener un solo objeto a la venta, lo cual ayudó a que el engaño no fuera efectivo. Observad además como el correo está en inglés, pese a que dentro del propio mensaje se nos dice que "el mensaje se ha enviado en el idioma de la página de ebay en la que te registraste" (que no es el caso). En el caso de Paypal, el enlace para cambiar los datos redirigía a una web en un servidor privado que no contaba ni con un dominio.com (únicamente tenía su IP). Veréis que respetan el aspecto original de la empresa, podría engañar si no pensaramos en esos pequeños detalles, pero no hay que confiar sin pensar. El mismo principio siguen las estafas telefónicas de "Tiene usted un paquete, llame al 90-340-30-10", escondiendo así los números 903 o 906, que proliferaron bastante en su tiempo hasta que se cambió el prefijo a 800. Si con los números telefónicos un cambio de número que permitió identificar a los números telefónicos de tarificación especial funcionó, tal vez sea un buen planteamiento que se puede adaptar a las páginas web.
Fuente: http://www.derechonntt.com/?p=34
No hay comentarios:
Publicar un comentario