El phishing es un tipo de ingeniería social que intenta conseguir, mediante engaños, datos personales del usuario, ya sean contraseñas, datos bancarios, PINs... La forma más habitual para intentar engañar al usuario es mediante el envío de correos electrónicos donde se le invita a visitar alguna página web para actualizar sus datos o realizar alguna comprobación.
El enlace que se incluye hacia esa página web, aunque parezca que apunta al servidor real, redirige hacia otro servidor controlado por el atacante que simula ser el original, normalmente imitando su diseño y contenido, aunque los datos que introduzcamos en él se enviarán al phisher. Imaginemos los que puede hacer este si esos datos son los de acceso a nuestro banco, los de eBay o los de Paypal.
Desgraciadamente, los usuarios suelen caer en este tipo de engaños muy fácilmente, por diversas razones que se muestran en un estudio realizado por Rachna Dhamija, J. D. Tygar y Marti Hearst. Las razones son variadas y se basan básicamente en una falta de conocimiento por parte de los usuarios del funcionamiento real de los ordenadores, del software que utilizan y de Internet. En este estudio no se pretende culpar al usuario por caer en estas trampas o por ese desconocimiento, sino que intenta averiguar cuales son los principales problemas y como podría evitarse este tipo de ataques.
Dando un repaso a los resultados, vemos que un 23% de los participantes en el estudio solo se basan en el propio contenido de la página a la hora de analizar si esta es legítima o no, es decir, no miran la URL, ni si utiliza un protocolo seguro ni otros indicadores que ofrece el navegador. Otro 36% de participantes se fijan en la URL de la página actual, pero sin comprobar si utiliza el protocolo HTTPS. Un 9% de los participantes se fijan tanto en la URL como en en el uso de un protocolo seguro, pero sin comprobar el típico icono del candado que aparece cuando navegamos en este tipo de páginas. Un 23% comprueba el candado, aunque si este aparece en la propia página también lo dan por válido, mientras que solo el 9% restante comprobaba los certificados.
Nos plantamos pues ante un escenario bastante complicado, donde la mayoría de usuarios no disponen de ningún conocimiento de seguridad informática y, probablemente, tampoco quieran tenerlo (cosa que puede llegar a ser comprensible). Por tanto, la mayoría de medidas técnicas que se tomen, ya sea desde el navegador mediante avisos, uso de certificados,... no sirven para casi nada.
Es necesario apostar por una educación de los usuarios ante el uso de este tipo de servicios, de forma que estos sean conscientes de los riesgos que toman a la hora de navegar por Internet y de introducir sus datos.
El consejo más importante que se puede dar para evitar el phishing es no pulsar nunca en enlaces que nos lleguen a través de correo electrónico. Lo mejor es abrir una nueva ventana de nuestro navegador y escribir la dirección a la que queremos acceder a mano o desde nuestro marcadores si la tenemos almacenada. Esto puede evitarnos más de un problema.
Vía | Securityfocus. Estudio | Why Phishing Works (PDF).