Breve Historia Del Phishing: Part I

TEMAS DE SEGURIDAD

Breve historia del phishing

El phishing es una amenaza en la que los atacantes utilizan mecanismos de ingeniería social de forma automatizada con intención de engañar a la víctima para que revele datos confidenciales que posteriormente se puedan usar para suplantar la identidad de la víctima en un sitio web o en una transacción financiera.

Phishing: una retrospectiva

En 2007, DigiCert celebró su 25.º aniversario como empresa líder mundial en protección de los clientes frente a las amenazas que están en constante evolución y que todavía están presentes en la actualidad. De hecho, muchas de las amenazas a las que se enfrenta a diario DigiCert prácticamente ni se conocían durante los comienzos.

Si bien gran parte de la actividad de entonces se centraba en virus y otras formas de código malicioso diseñadas para sembrar el caos en los ordenadores personales de los clientes, en el panorama actual existen nuevas amenazas que pueden desestabilizar las vidas personales de los clientes, robarles el dinero y también su identidad. Una de estas amenazas es el phishing.

Si bien la ingeniería social lleva tiempo siendo una de las armas de los atacantes, los primeros casos de ataques de phishing tal y como los conocemos en la actualidad tuvieron lugar a mediados de los 90 y fueron dirigidos a America Online (AOL). Los atacantes solían utilizar el correo electrónico o la mensajería instantánea para conseguir que los usuarios divulgaran sus contraseñas de AOL. Las víctimas proporcionaban esa información a los atacantes y estos, a su vez, la aprovechaban para tomar el control de sus cuentas de AOL. Esas cuentas se podían utilizar para enviar spam y realizar otras actividades similares.

Las nuevas estrategias del phishing

El phishing en las finanzas

AOL se tomó muy en serio el problema del phishing y adoptó varias medidas eficaces. Aunque sigue habiendo ataques de phishing en AOL, la cantidad es relativamente baja. Al mismo tiempo, dado que los atacantes vieron que sus métodos tenían potencial, empezaron a ampliarlos a otras organizaciones.

Esta nueva ola de phishing volvió a copar los titulares de los medios. Afortunadamente, los atacantes seguían siendo solo unos aficionados. La gran cantidad de errores gramaticales en sus mensajes y sitios web revelaba que no se trataba de entidades legítimas y que se debía proceder con cautela.

Aun así, por desgracia muchas víctimas no detectaron esos indicios y siguieron facilitándoles sus contraseñas o sus números de tarjetas de crédito. La cantidad de sitios web y mensajes de phishing con un diseño deficiente era tal que los usuarios se dedicaban a buscar errores ortográficos o gramaticales para diferenciar los sitios de phishing de los sitios legítimos. Sin embargo, visto en perspectiva, esto podría haber generado en los usuarios una falsa sensación de seguridad.

Los atacantes de phishing se vuelven profesionales

Aunque la presencia de errores ortográficos o de otro tipo es un indicio claro de que se trata de un atacante de phishing, los usuarios empezaron a pensar erróneamente que cualquier sitio web con una ortografía y una gramática impecables debía de ser legítimo. Nada más lejos de la realidad.

Hoy en día, muchas campañas de phishing están organizadas por profesionales. Los atacantes de phishing suelen trabajar con kits preparados con páginas web y mensajes de correo electrónico de ejemplo, y otras herramientas necesarias para montar los ataques.

Las páginas web a menudo son réplicas exactas de las páginas que se están falsificando. Además, los mensajes de phishing no solo están bien redactados, sino que incluyen toda una serie de mecanismos para evitar los filtros de spam.

Lo que es evidente es que el perfil del típico atacante de phishing ha cambiado. Mientras que al principio los atacantes solían ser adolescentes haciendo "travesuras" a las dos de la mañana desde el sótano de la casa de sus padres, los atacantes de phishing actuales están bastante organizados y sus motivaciones son puramente económicas.

¿Quiénes son?

Al igual que las grandes empresas tradicionales, son individuos que buscan de forma activa modos de maximizar su rentabilidad. Además, los atacantes de phishing de hoy en día parecen estar activos sobre todo entre semana, como si fueran empleados de una empresa. (DigiCert ha observado una caída de más de un 20 % en el número de mensajes de phishing enviados durante el fin de semana). El phishing ya no requiere de conocimientos técnicos para llevarse a cabo. De hecho, la mayoría de las operaciones de phishing se pueden subcontratar.

En los mercados clandestinos, los atacantes también pueden "alquilar" un servidor web vulnerable en el que alojar sus páginas de phishing. Además, pueden externalizar todavía más el proceso alquilando otro equipo afectado desde el cual enviar sus mensajes de phishing. Los alquileres de equipos no suelen ser muy caros y si los atacantes necesitan una lista de direcciones de correo electrónico de víctimas potenciales, también la pueden comprar. Con cinco dólares, es posible comprar unas treinta mil direcciones de correo electrónico.

Cómo lo hacen

En cuanto el atacante obtiene números de tarjetas de crédito y otras credenciales de sus víctimas, no le resulta difícil sacarles partido económicamente. Esos datos también pueden venderse en los mercados negros.

Dichos mercados existen desde hace un tiempo, como evidencia la evolución de la terminología específica utilizada en las conversaciones entre los delincuentes que intentan negociar con esa información. Incluso hay convenciones y protocolos bien definidos para efectuar dichas transacciones. Algunos integrantes de estos canales clandestinos se han forjado una reputación y tratan a sus interlocutores con un sentido de la justicia que resulta irónico al tratarse de delincuentes realizando transacciones entre sí.