Phishing
| ||||||
Phishing. Término proveniente del inglés con que se ha descrito a los robos de identidad realizados por correo electrónico y teléfono, en el que el estafador se hace pasar por una entidad o empresa prestataria de servicios al individuo en cuestión, de manera que pueda este último le confíe al primero información personal sobre cuentas bancarias, contraseñas, y datos similares. También se le conoce como brand spoofing o carding.
Origen del término
El término phishing proviene de la palabra inglesa fishing (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo". A quien lo practica se le llama phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que el dígrafo 'ph' es comúnmente utilizado por los hackers para sustituir la 'f', como raíz de la antigua forma de hacking telefónico conocida como phreaking. El término phishing apareció por primera vez en enero de 1996, en el grupo de noticias de hackers alt.2600, aunque es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker "2600 Magazine". El término 'phishing' fue adoptado por quienes intentaban "pescar" cuentas de miembros de America Online (AOL). Por lo general son los individuos clientes de bancos y servicios de pago en línea los blancos de los ataques de phishing. Las redes sociales, como Facebook, Twitter, MySpace, LinkedIn, Flickr, y otras, también se han convertido en blanco de ataques de phishing.
Técnicas
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. Direcciones URL mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, tales como www.nombredetubanco.com/ejemplo
Otra forma para disfrazar enlaces es el de utilizar direcciones que contengan el símboo de la arroba (@), para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares), como en el enlace www.google.com[arroba]members.tripod.com puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones.
Otro método de phishing muy extendido es el Cross Site Scripting, en que el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, siendo muy difícil de detectar si no se tienen los conocimientos necesarios.
Otra técnica de ataque de phishing es el llamado IDN spoofing (o también ataques homógrafos), relacionado con el manejo del Nombre de Dominio Internacionalizado (IDN, por su sigla en inglés) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo, dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron ("ο")). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones.
El phishing también ha dado lugar al lavado de dinero.
Daños
Los daños causados por el phishing van desde la pérdida del acceso al correo electrónico hasta pérdidas económicas sustanciales. Su práctica se ha incrementado sustancialmente. Países como Estados Unidos y Reino Unido, entre muchos otros, han estado entre los que más se han dado casos de phishing, afectando a millones de personas e igualmente reportando pérdidas valoradas en millones de dólares (y libras esterlinas). Sitios de pago en línea como eBay y PayPal, pero también sitios web como MSN Hotmail, Yahoo, y AOL han figurado entre aquellos a cuyos usuarios se les ha intentado robar datos de identidad y cuentas bancarias a través del phishing. Los phishers estafan desde tarjetas de crédito hasta números de seguridad social, usando estos datos personales para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas.
Anti-phishing
Se ha intentado detener la práctica del phishing recurriendo a varios métodos, desde el punto de vista técnico, legislativo, y también organizativo. Se han creado programas informáticos capaces de dectectar los intentos de phishing en sitios web y correos electrónicos. Los filtros de spam también han ayudado a proteger a los usuarios de correo electrónico de los ataques de phishing. En Estados Unidos particularmente se aprobó una ley contra el robo electrónico de identidad llamada Anti-Phishing Act (Acta Anti-phishing), aprobada en marzo de 2005, estableciendo altas multas, e incluso prisión, para aquellos que intentaran estafar a los usuarios de correo electrónico. La compañía Microsoft también se ha sumado a la lucha contra el phishing, llevando a juicio a muchos que ha monitoreado intentando relaizar estas prácticas. También ha tenido otras iniciativas, como asociarse con otros entidades para combatir el phishing, tal el caso de su proyección de colaboración con el gobierno de Australia en este sentido. Se creó también el Anti-Phishing Working Group, una asociación que aplica leyes contra el phishing.
