lunes, 10 de noviembre de 2014

Todo sobre el Phishing: tan sencillo como peligroso

Sábado por la mañana. Te levantas tranquilo, a sabiendas que hoy no tienes que trabajar, y recorres los escasos metros del pasillo hacia la cocina, con intención de preparar el desayuno. Mientras la leche se calienta, decides revisar tu correo, y te encuentras algo que sin lugar a dudas no esperabas.


Apple te avisa de que ha procedido correctamente a cambiar el correo de recuperación a un email que desconoces. En caso de que no hayas sido tú, tienes la opción de verificarlo. Por supuesto, pinchas en él, insertas los datos, y cancelas el cambio. O espera... ¿Has revisado el dominio desde donde se envió el email? ¿Te has cerciorado que la página que visitas tenga un certificado CA válido?

Ya te lo adelantamos nosotros. En este caso, has sido víctima de un fraude electrónico, de un phishing, y lo primero que deberías hacer es entrar en la página oficial de Apple y cambiar todas las contraseñas y emails y/o herramientas de segundo factor de autenticación que tengas activos. Y para la próxima, ser tu propio CSI, y dedicarle unos pocos segundos para tener la certeza de que el email es enviado por la compañía que corresponda.

El hijacking (secuestro) de cuentas de correo es una de las técnicas más efectivas de robo de información. Si alguien tiene acceso a nuestro correo, en general, puede tener acceso al resto de servicios que tenemos. Y de entre todas las técnicas de hijacking habidas y por haber, el Phishing Manual es el más sencillo y útil para los ciberdelincuentes. En el reciente estudio publicado por Google llegan a la conclusión de que este tipo de phishing, que no utiliza automatismos de ningún tipo, sino pura ingeniería social, aunque sea más lento y requiera de mayores recursos, tiene una de las probabilidades más altas de éxito. Suele saltarse todos los controles y filtro anti-spam de GMail, y está enfocado y segmentado a cada víctima.

A la vista de que no siempre el sistema es capaz de marcarlo como peligroso, y que lamentablemente en nuestro día a día no hay tiempo para pararse y analizar aspectos técnicos del mensaje, al menos lo correcto cuando recibimos un email es aplicar el sentido común. Si la compañía se pone en contacto con nosotros, seguramente nos llamará por nuestro nombre o nick, y no por un impersonal Sir/Madam. Estará bien editado, sin faltas de ortografía, y en cualquier caso, no nos pedirán datos, ya que ellos ya cuentan con acceso a sus propios servidores para obtenerlos.

A nivel de auditores de seguridad, resulta interesante estar al día de herramientas que permiten analizar los servicios y aplicaciones para actualizarse a las nuevas amenazas que afectan al ciberespacio. Palo Alto Networks liberaba esta mañana un nuevo reporte con la situación vivida en 2014.

Y a nivel de empresa, resulta inconcebible que todavía en la actualidad el análisis del riesgo no esté alineado con los gastos del departamento de IT en la mayoría de compañías. Precisamente este análisis permitiría optimizar los gastos, enfocando recursos donde sí se necesitan y quitándolos de elementos no tan críticos para el negocio. No se trata de crear un búnker inexpugnable en cualquier escenario, sino una fortaleza que proteja tanto de los ataques habituales como de las posibles eventualidades y tendencias del sector.

Son todas herramientas que nos permiten disfrutar de las ventajas de las nuevas tecnologías minimizando el riesgo a ser víctima de sus escasos inconvenientes. Aplica la lógica, y vigila dónde pones tus datos.

0 comentarios:

Publicar un comentario