CASO PRÁCTICO

Instrucciones para el desarrollo de la actividad

Reflexione a partir de la Lectura (material que encontrará a continuación) y responda a

las siguientes cuestiones:

¿Ha sido alguna vez víctima de un ataque por phishing? ¿Ha recibido algún correo
solicitando información sobre su acceso a cuentas bancarias? ¿Cuál fue su
reacción?

¿Cree que la banca electrónica actual es lo suficientemente segura para hacer

frente a este tipo de ataques?

¿Comprueba habitualmente si los sitios web a los que accede están protegidos
mediante certificado y encriptación?

¿Qué mecanismos de seguridad de los estudiados en la asignatura resultarían

aplicables a este problema?

¿Cómo puede afectar el riesgo de phishing al desarrollo de negocio de la banca o

el comercio electrónicos? ¿Cómo se pueden paliar sus efectos negativos?

Elabore su respuesta a estas interrogantes basándose en el estudio de los materiales

de la asignatura y otras fuentes que considere oportuno consultar.

Una vez completadas las respuestas, haga entrega del documento a través del icono de
la actividad.

1
 CASO PRÁCTICO

NOTA: Este estudio está basado en el artículo de Scott Granneman, “Browsers, phishing, and user
interface design” publicado en Security Focus.

1. Por qué funciona el phishing

El phishing funciona por tantas razones, que es necesario redefinir el diseño de tanto los
navegadores como de las interfaces de usuario para proporcionar una seguridad real y efectiva
al usuario medio que no ve o no entiende las señales de peligro.

En ocasiones, el criminal es tan inteligente que resulta admirable, incluso aunque se desee que
pase el resto de su vida encarcelado. En el otro extremo de la escala están los phishers.
Indeseables de la web, los phishers se dedican a spamear correos electrónicos a todos los
millones de personas a las que puedan llegar, esperando que unos pocos respondan a sus
fraudulentas solicitudes de actualización de información en PayPal, eBay o su banco habitual.
Se trata de un grave problema, y no mejora con el tiempo.

En el artículo “Why the phishing works” (por Rachna Dhamija, J. D. Tygar, y Marti Hearst), en
escasamente 10 páginas muestra a qué gran problema se enfrentan tanto en público general
como el personal de seguridad que debe protegerlo. El artículo trata de un experimento en el
que los investigadores sentaron a un grupo de personas a probar páginas web. Algunas de ellas
eran webs falsas creadas por el equipo, y otras eran páginas válidas. Tras observar el
comportamiento de los participantes con las páginas web, los investigadores consultaron a los
usuarios por la motivación de su comportamiento. Los resultados fueron reveladores y se
comentan a continuación.

2. Las características del navegador no son una garantía

Cuando apareció Firefox 1.0, una de sus características diferenciadoras era que cambiaba el
color de fondo de la barra de direcciones cuando se accedía a una página utilizando HTTPS
volviéndose de color dorado. Es decir, además de la indicación del candado dorado, la barra de
direcciones completa se coloreaba así, de manera que se hacía aún más obvio que se estaba
entrando en una web segura. Y eso además de los otros tres indicadores que ya ofrecía Firefox.

Sin embargo, en el estudio de Dhamija se observa que el 23% de los usuarios ni siquiera miran
estos indicadores proporcionados por el navegador, como la dirección o la barra de estado.
Muchos no tienen ni idea sobre lo que significa el icono del candado, de hecho, uno de los
participantes confesó confidencialmente que el candado indica que el sitio web no es capaz de
enviar cookies.

En lugar de fijarse en los indicadores de seguridad, lo que los usuarios miraban era la propia
página. Si tenía un buen “aspecto” o si no “les olía mal”. Si tenía logos de VeriSign en la página,
animaciones, si parecía fidedigna. En algunos casos, el icono del candado en la propia página
era suficiente para convencer al usuario de que la página era segura, incluso más que si el
candado estaba en la barra de direcciones.

2
 CASO PRÁCTICO

3. Las url tampoco funcionan con todos

Algunos usuarios prestan atención al hecho de que la barra de direcciones cambia a medida
que navegan por un sitio web, pero no tiene ni idea sobre lo que la propia URL significa. Y esto
también se aplica a HTTPS. Sin embargo, las direcciones IP levantan sospechas, aunque los
usuarios tampoco saben los que significan. Simplemente encuentran los números sospechosos.

4. Los usuarios se fijan en las cosas más insospechadas

Hubo una página, la del Bank of the West, que engañó a todos los participantes en el
experimento menos uno. En esa página se introdujo un video con una animación sobre un oso.
Evidentemente, eso atrajo la curiosidad de varios usuarios, que recargaron la página varias
veces para volver a ver ese oso animado. De hecho, algunos participantes afirmaron que la
animación era una evidencia de que el sitio era legítimo, ¡ya que supondría mucho esfuerzo
copiarlo!

Los participantes del estudio ordinarios también descubrieron que la página contenía
publicidad, lo cual aumentaba su percepción de que no se trataba de un engaño. De la misma
forma, la presencia de un “favicon” (pequeño icono que aparece en la barra de direcciones a la
izquierda de la URL) se estimaba como un indicativo de que se trataba de un sitio que no iba a
robar su dinero o identidad.

5. Es increíblemente fácil engañar a la gente

Algunos de los participantes del estudio no estaban familiarizados siquiera con el término
phishing, pero también se sorprendían incluso de que alguien tuviera esos hábitos delictivos.
Frente a ese nivel de ignorancia, no cabe duda de que el phishing funciona.

Otros usuarios pueden estar más concienciados respecto al phishing, pero bien lo ignoran o no
tienen muy claro cómo utilizar los indicadores proporcionados por los navegadores. No es un
hecho asombroso, considerando que aparecen mensajes del tipo “¿Desea aceptar este
certificado temporalmente para esta sesión? Muchos usuarios no tienen la más remota idea de
lo que es un certificado o una sesión.

Incluso los usuarios más sofisticados fueron engañados con la página falsa
www.bankofthevvest.com. Si se observa la dirección con atención, se detecta que los
investigadores utilizaron “vvest” con dos “v”, en lugar de “w”. Este trucó consiguió despistar al
91% de los participantes. Incluso si se observa la barra de direcciones de forma habitual, y se
presta atención a los enlaces que se pinchan, este tipo de engaños aún resultan efectivos.

6. Los usuarios están convencidos de estar haciendo lo correcto

Quien no tiene conocimiento o habilidades en un área concreta, muchas veces no sólo no se da

cuenta, sino que incluso cree que es mejor de lo que realmente es. Cuanto más incompetente
es alguien para una tarea concreta, tanto menos cualificada está esa persona para evaluar las
capacidades de otra en esa área. Cuando alguien no consigue reconocer que se ha comportado
de forma incorrecta o mediocre, cree que lo está haciendo bien. Como resultado, el
incompetente tenderá a sobreestimar sus capacidades y habilidades.

3
 CASO PRÁCTICO

Estas afirmaciones fueron confirmadas por el estudio sobre phishing ya comentado, que
descubrió que los participantes casi siempre estaban muy seguros de su capacidad para
distinguir una web legítima de otra fraudulenta, y sin embargo, fueron embaucados hasta por
las páginas grotescamente incorrectas. Y hay que tener en cuenta que esto incluye a aquellos
que nunca miran la barra de direcciones para comprobar que están en una web HTTPS.

7. Lo peor está por venir

El profesor de informática John Aycock y su estudiante Nathan Friess publicaron un aviso sobre
la futura amenaza sobre “spam zombie del espacio exterior”. El título está inspirado en alguna
película de Ed Wood, pero el concepto que hay tras él no es tan divertido.

Estos nuevos zombies minarán el cuerpo de los correos electrónicos hallados en las máquinas
infectadas, utilizando los datos para automáticamente falsificar y enviar spam mejorado y más
convincente a otros destinatarios.

La nueva generación de spam puede ser enviada desde las direcciones de personas conocidas y
allegadas e incluso imitar el patrón de los mensajes que envían (como abreviaturas comunes,
faltas de ortografía o firmas personales), favoreciendo que el destinatario abra un archivo
adjunto o pinche un enlace.

Si se combina este hecho con la afirmación de los participantes del estudio de que ellos pinchan
habitualmente en los enlaces enviados por los conocidos, se puede ver cómo se avecina el
desastre.

8. ¿Qué se puede hacer?

La educación es una pieza fundamental de la solución a este problema, pero ¿cómo se ejecuta
de la forma más efectiva? El navegador y la web se han ido complicando con el tiempo, de forma
que el usuario medio actual tiene bastante más que aprender que los de la pasada década.

Claramente, utilizar más ventanas pop-up o cuadros de diálogo no es la solución. De hecho,

cada vez que aparece una ventana con un mensaje del navegador, más del 50% de los usuarios
pinchan en “Aceptar” sin siquiera leer lo que pone. También está claro que añadir avisos
adicionales del tipo a los iconos, coloración de la barra de direcciones, etc. no es de gran
utilidad, si la mayoría de los usuarios no se fijan en ellos.

¿Se deberían diseñar los navegadores para que simplemente no permitan a los usuarios visitar
sitios peligrosos o cuestionables? Ya existe una serie de iniciativas para crear una base de datos
centralizada de sitios web malignos que el software pueda referenciar. Un ejemplo es la Toolbar
de Google. Los avisos antiphishing se encuentran activados por defecto en los dos navegadores
principales (IExplorer y Firefox), lo cual es bueno, pero redireccionan a un mensaje que es
fácilmente ignorado por el usuario. Quizá esto no debería permitirse, o por lo menos, debería
dificultarse más el sorteamiento.