UNIVERSIDAD EUROPEA DEL ATLÁNTICO
Asignatura: Gestión y Seguridad de d e Redes
Caso Práctico: Navegadores, phishing y diseño de interfaces de usuario
“
Fecha: 13/03/19
”
Caso práctico
Hoy en día con tanta información en la internet, vemos que se suma y acumula de manera progresiva nuevos retos, muchos de estos surgen a raíz de un problema ocasionado por el otro extremo oscuro de la web en el cual interactúan i nteractúan personas que desean nuestra información sea para beneficios de terceros o de ellos mismos. El phishing es una técnica muy utilizada por aquellos cibernautas inclinados a la práctica del delito en la red, y que aprovechan los medios de navegación creados con el objetivo de compartir y buscar información útil, en este caso los navegadores son el campo de acción a través del cual estos delincuentes filtran páginas web que a simple vista no parecen ser dañinas, en muchos casos muy atractivas para obtener la atención del usuario. Un medio de comunicación muy afectado ha sido el correo electrónico, el cual tiene por defecto su categoría de spam mediante la cual se detectan aquellos mensajes con probabilidades altas de engaño; no se puede descartar que en algunos casos hay mensajes que llegan directamente a spam posiblemente legítimo, pero no es muy habitual, o por ser de una dirección sospechosa con una extensión no detectable por el correo, lo cual conlleva la revisión del mismo, por ende ende es de suma importancia implementar mecanismos de seguridad electrónica y realizar inducciones sobre seguridad informática orientada a los usuarios de la web.
Analizar y Comprender el riesgo del phishing.
1. Definir un mecanismo de seguridad aplicable a este problema. 2. Comprobar la credibilidad de un sitio web mediante certificados y encriptación. 3. Analizar el efecto que conlleva el phishing al desarrollo de negocio de la banca o el comercio electrónicos.
GESTIÓN Y SEGURIDAD DE REDES
2
Caso práctico
Sí, es interesante ver la manera y seguir el patrón en que los phishers utilizan esa imaginación que parece ser inusual y a la ves ingenua en que desean cometer el delito; utilizan diseños de páginas web como ser: loterías, ventas de carros con descuentos irreales, canjear premios, etc. Al inicio todo parece estar bien y de repente llega un correo pidiendo datos muy m uy personales, en los cuales solicitan detalladamente el nombre, identificación, número de teléfono, residencia y lo más extraño número de cuenta, por lo general para poder contactarse con estos delincuentes colocan al final de cada mensaje un nombre ya sea de una persona real (suplantan personas) y una dirección que existe, pero no la utilizan, pues solo es para darle al mensaje un valor más alto de autenticidad. El robo de identidad en muchos casos c asos para este tipo de criminales ha sido un éxito, éx ito, cabe destacar que con el crecimiento de la trata de personas hoy en día este tipo de ataques abre puertas e invisibiliza el tráfico de órganos el cual se comercializa en la red, pero que también se filtra en el spam de un correo solo con dar click y compartir nuestra información, le estamos diciendo al delincuente donde puede ir a buscarnos y de manera iingenua ngenua estamos ofreciendo nuestras vidas y la de otros.
El phishing posiblemente en la actualidad sea el mayor peligro en la banca electrónica, debido a que es el usuario que decide aquello que es legítimo o, todo lo contrario; se puede decir que no hay una manera definitiva contra tal ataque como lo es la suplantación de identidad. A medida que el phishing evoluciona, las medidas de seguridad en la banca se hacen cada vez más rigurosas, lamentablemente en este tipo de ataques las apariencias pueden engañar al ojo humano, creando a la vista una falsa sensación de seguridad, por lo cual es importante seguir ciertas rutinas, procesos o formas de seguridad que eviten caer en este tipo de fraude. En conclusión, se puede decir, que este tipo de problema es una constante que con el tiempo ha desarrollado tentáculos que han alcanzado altas esferas de la banca electrónica, debido a los bajos controles de seguridad implementados años atrás y que dejaron ese espacio, en el cual los
GESTIÓN Y SEGURIDAD DE REDES
3
Caso práctico criminales cibernéticos han utilizado a su favor; no obstante, la seguridad de la l a banca electrónica no depende de sí misma, sino que tiene como factor de riesgo al usuario, pues de él dependen muchas decisiones al momento de realizar una acción que conlleve hacia la filtración del phisher dentro del sistema financiero actual, pues este estará donde este el dinero. Aunque los controles de seguridad en la banca electrónica sean muy altos, el usuario será siempre el agente primordial contra el ataque del phishing.
Con los avances en la seguridad en las redes se puede notar que el usuario por defecto confía ciegamente en las páginas que visita, gracias a la implementación de la encriptación y cifrado en los sitios web, con lo cual hace más confiable el uso de los mismos, no obstante, es de suma importancia siempre realizar una minuciosa investigación a través de la cual podamos definir la autenticidad y fiabilidad de sitio visitado.
Imagen 1. Comprobación de seguridad mediante el navegador de google. La imagen anterior muestra que este tipo de herramientas apoyan la imagen y confiabilidad de un sitio, tanto así que en el apartado Más información se hace una descripción sobre cómo debería de comprobarse la seguridad y legitimidad de la página que el usuario este visitando en ese momento.
GESTIÓN Y SEGURIDAD DE REDES
4
Caso práctico
Imagen 2. Información de seguridad sobre el sitio. Es necesario siempre enfatizar en la seguridad de nuestros datos al momento de hacer búsquedas, que en alguna circunstancia inesperada o por descuido humano puedan ser una presa fácil de aquellos criminales cibernéticos que con tanto afán y pasión desean nuestra información.
El acceso a la información es una necesidad, y está hoy en día se ha clasificado según el tipo de criterio o atributos que la caractericen; por tal razón es importante implementar mecanismos de seguridad con una protección sofisticada que no permita el acceso a cualquier persona o intruso que desee hacer uso de la información registrada. El método criptográfico proporciona ese tipo de seguridad, pues incluye procesos de autenticación mejorada, firmas digitales, no repudio y comunicacio nes a través de la red de una manera segura; este mecanismo es coherente con el valor de la información que se protege, pero sino se implementa correctamente puede tener algunos problemas de seguridad. En fin, el método criptográfico es muy aceptado en el campo del control de acceso y la seguridad en las redes, protegiendo de tal manera el contenido de la información. GESTIÓN Y SEGURIDAD DE REDES
5
Caso práctico
Los ataques hacia la banca electrónica evolucionan a medida que estos son descubiertos y mitigados, surgen nuevos ataques los cuales siguen una ruta distinta a la antes utilizada, por ejemplo, en México en el año 2017, según el periódico El Economista se registraron 5 casos de fraudes bancarios relacionados con el phishing y utilizaron estrategias como: 1. El correo apócrifo de Santander (marzo 2017). El caso trata del envío de un correo falso de Santander, el cual informa a los usuarios que su código de cliente fue bloqueado temporalmente y les solicita ingre sar a una liga para reactivarlo. 2. El mensaje de texto contra clientes de HSBC (julio 2017). La alerta sobre un caso de phishing fue contra usuarios de la institución financiera HSBC. A través de un mensaje de texto, notifican al usuario lo siguiente: HSBC POR INTERNET: servicios en línea bloqueados, por su seguridad siga las instrucciones para desbloqueo, e incluye una liga que lleva a un sitio falso. 3. Cargo indebido en su tarjeta contra clientes de BBVA Bancomer (julio 2017). En este caso, a través de un mensaje de texto, notifican al usuario sobre un supuesto cargo indebido a su tarjeta, solicitándole responder el mensaje con un NO en caso de no reconocerlo. Después de negar el cargo vía mensaje, una supuesta operadora del banco se pone en contacto vía telefónica con el usuario, y lo guía para realizar el proceso de cancelación
de
la
compra
a
través
de
la
página
de
internet
falsa
bancomercancelacionesmx.com. 4. Correo electrónico contra clientes de Citibanamex (agosto 2017). A través de un correo electrónico, se notifica al usuario que por motivos de seguridad su cuenta fue bloqueada y debe realizar la verificación de su identidad en un enlace que acompañaba el texto. Los enlaces contenidos en este tipo de correos llevan al usuario a sitios falsos, donde solicitan datos. Este tipo de correos, que sólo buscan obtener su información personal y financiera para cometer fraudes. 5. La llamada contra clientes de BBVA Bancomer (agosto 2017). En este caso, llaman al usuario para preguntarle si ya cuenta con el número de folio de un supuesto reembolso autorizado por un seguro de vida que tiene activo en su tarjeta y que no contrató. GESTIÓN Y SEGURIDAD DE REDES
6
Caso práctico La supuesta operadora del Banco argumenta que se está haciendo la cancelación y una bonificación al usuario por 3,400 3,40 0 pesos y le solicita la l a numeración completa de su tarjeta y vigencia, diciendo que, a través de un sistema de seguridad, ella le otorgará los primeros seis dígitos de la tarjeta y si son correctos, el usuario debe proporcionar el resto. (El Economista, 2017) Es obvio que los phishers no pierden el tiempo ni duermen mucho, al parecer siempre están en busca de incautos que caen en estas redes de fraude a nivel mundial, lastimosamente la banca electrónica no es una excepción al momento de este tipo de delitos cibernéticos, que como consecuencia perjudican al usuario y en muchos casos como los vistos anteriormente ponen en riesgo el prestigio de una institución, así como estabilidad laboral de los empleados encargados de velar por la seguridad de los sistemas en red y sus redes de gestión de datos. Con una llamada corta o un mensaje tentador, estos tipos de ataques se abren paso dentro de la banca no midiendo mi diendo el problema a futuro, generando pérdidas millonarias a grandes empresas y en muchos casos aquellas que no cuentan con sistemas de seguridad sofisticados hasta pueden caer en quiebra, desacreditando de esta manera el prestigio de una organización, impidiendo que estas puedan seguir operando por cierto tiempo y por ende el cierre total de las mismas. Es conveniente que la banca electrónica siga detectando e impidiendo la evolución del phishing, y de las lecciones aprendidas poder crear sistemas de gestión de seguridad más avanzados, que permitan erradicar y judicializar a los hechores de tal delito, en aras de recuperar la confianza de los colaboradores (los usuarios) y mantener la credibilidad de la banca electrónica.
Bibliografía (1) RAMÍREZ, J. M. (febrero 2011). DISEÑO E IMPLEMENTACIÓN DE UN ESQUEMA DE SEGURIDAD PERIMETRAL PARA REDES DE DATOS. México, D.F. recuperado de http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/174/A 6.pdf (2) Rebolledo, R. A. (15 de agosto de 2017). EL ECONOMISTA. Obtenido de Phishing y otros 5 casos de fraudes bancarios en el 2017: recuperado de https://www.eleconomista.com.mx/finanzaspersonales/Phishing-y-otros-5-casos-defraudes-bancarios-en-el-2017-20170815-0130.html (3) Santander. (10 de marzo de 2017). Santander . Obtenido de ¿Qué es el phishing y cómo afecta a tu PyME?: recuperado de https://www.santanderpyme.com.mx/detallehttps://www.santanderpyme.com.mx/detallenoticia/que-es-el-phishing-y-como-afecta-a-tu-pyme.html
GESTIÓN Y SEGURIDAD DE REDES
7
