ReflexioneapartirdelaLecturaAPENDICEC(materialque encontrar a continuacin) y responda a las siguientes cuestiones: 1.Hasidoalgunavezvctimadeunataqueporphising?Ha recibidoalgncorreosolicitandoinformacinsobresuaccesoa cuentas bancarias? Cul fue su reaccin? 2.Creequelabancaelectrnicaactualeslosuficientemente segura para hacer frente a este tipo de ataques? 3.Compruebahabitualmentesilossitioswebalosqueaccede estn protegidos mediante certificado y encriptacin? 4.Qu mecanismos de seguridad de los estudiados en la asignatura resultaran aplicables a este problema? 5.Cmo puede afectar el riesgo de phising al desarrollo de negocio delabancaoelcomercioelectrnicos?Cmosepuedenpaliar sus efectos negativos? Presentacin decasos reales o prcticosGESTI NYSEGURI DADDEREDES FUNDACIN UNIVERSITARIA IBEROAMERICANA1APNDICE C: NAVEGADORES, PHISING Y DISEO DE INTERFACES DEUSUARIONOTA: Este estudio est basado en el artculo de Scott Granneman, Browsers,phishing, and user interface design publicado en Security Focus.C1.1 Porqu funciona el phishingEl phishing funciona por tantas razones, que es necesario redefinir el diseo detanto los navegadores como de las interfaces de usuario para proporcionar unaseguridad real y efectiva al usuario medio que no ve o no entiende las sealesde peligro.En ocasiones, el criminal es tan inteligente que resulta admirable, inclusoaunque se desee que pase el resto de su vida encarcelado. En el otro extremode la escala estn los phishers. Indeseables de la web, los phishers se dedican aspamear correos electrnicos a todos los millones de personas a las que puedanllegar, esperando que unos pocos respondan a sus fraudulentas solicitudes deactualizacin de informacin en PayPal, eBay o su banco habitual. Se trata deun grave problema, y no mejora con el tiempo. En el artculo Why the phishing works (por Rachna Dhamija, J. D. Tygar, yMarti Hearst), en escasamente 10 pginas muestra a qu gran problema seenfrentan tanto en pblico general como el personal de seguridad que debeprotegerlo. El artculo trata de un experimento en el que los investigadoressentaron a un grupo de personas a probar pginas web. Algunas de ellas eranwebs falsas creadas por el equipo, y otras eran pginas vlidas. Tras observarel comportamiento de los participantes con las pginas web, los investigadoresconsultaron a los usuarios por la motivacin de su comportamiento. Losresultados fueron reveladores y se comentan a continuacin.C1.2 Las caractersticas del navegador no son una garantaCuando apareci Firefox 1.0, una de sus caractersticas diferenciadoras era quecambiaba el color de fondo de la barra de direcciones cuando se acceda a unapgina utilizando HTTPS volvindose de color dorado. Es decir, adems de laindicacin del candado dorado, la barra de direcciones completa se coloreaba2 GESTI NYSEGURI DADDEREDES FUNDACIN UNIVERSITARIA IBEROAMERICANAas, de manera que se haca an ms obvio que se estaba entrando en una websegura. Y eso adems de los otros tres indicadores que ya ofreca Firefox.Sin embargo, en el estudio de Dhamija se observa que el 23% de los usuariosni siquiera miran estos indicadores proporcionados por el navegador, como ladireccin o la barra de estado. Muchos no tienen ni idea sobre lo que significael i conodel candado, dehecho, unodel osparti ci pantesconfesconfidencialmente que el candado indica que el sitio web no es capaz de enviarcookies.En lugar de fijarse en los indicadores de seguridad, lo que los usuarios mirabanera la propia pgina. Si tena un buen aspecto o si no les ola mal. Si tenalogos de VeriSign en la pgina, animaciones, si pareca fidedigna. En algunoscasos, el icono del candado en la propia pgina era suficiente para convencer alusuario de que la pgina era segura, incluso ms que si el candado estaba en labarra de direcciones.C1.3 Las url tampoco funcionan con todosAlgunos usuarios prestan atencin al hecho de que la barra de direccionescambia a medida que navegan por un sitio web, pero no tiene ni idea sobre loque la propia URL significa. Y esto tambin se aplica a HTTPS. Sin embargo, lasdirecciones IP levantan sospechas,... aunque los usuarios tampoco saben losque significan. Simplemente encuentran los nmeros sospechosos.C1.4 Los usuarios se fijan en las cosas ms insospechadasHubo una pgina, la del Bank of the West, que enga a todos los participantesen el experimento menos uno. En esa pgina se introdujo un video con unaanimacin sobre un oso. Evidentemente, eso atrajo la curiosidad de variosusuarios, que recargaron la pgina varias veces para volver a ver ese osoanimado. De hecho, algunos participantes afirmaron que la animacin era unaevidencia de que el sitio era legtimo, ya que supondra mucho esfuerzocopiarlo!Los participantes del estudio ordinarios tambin descubrieron que la pginacontena publicidad, lo cual aumentaba su percepcin de que no se trataba deun engao. De la misma forma, la presencia de un favicon (pequeo iconoque aparece en la barra de direcciones a la izquierda de la URL) se estimabacomo un indicativo de que se trataba de un sitio que no iba a robar su dinero oidentidad. C1.5 Es increiblemente fcil engaar a la genteAlgunos de los participantes del estudio no estaban familiarizados siquiera conel trmino phishing, pero tambin se sorprendan incluso de que alguien tuvieraesos hbitos delictivos. Frente a ese nivel de ignorancia, no cabe duda de queel phishing funciona. 3 GESTI NYSEGURI DADDEREDES FUNDACIN UNIVERSITARIA IBEROAMERICANAOtros usuarios pueden estar ms concienciados respecto al phishing, pero bienlo ignoran o no tienen muy claro cmo utilizar los indicadores proporcionadospor los navegadores. No es un hecho asombroso, considerando que aparecenmensajes del tipo Desea aceptar este certificado temporalmente para estasesin? Muchos usuario no tienen la ms remota idea de lo que es uncertificado o una sesin.Incluso los usuarios ms sofisticados fueron engaados con la pgina falsawww.bankofthevvest.com. Si se observa la direccin con atencin, se detectaque los investigadores utilizaron vvest con dos v, en lugar de w. Estetruc consigui despistar al 91% de los participantes. Incluso si se observa labarra de direcciones de forma habitual, y se presta atencin a los enlaces quese pinchan, este tipo de engaos an resultan efectivos.C1.6 Los usuarios estn convencidos de estar haciendo lo correctoQuien no tiene conocimiento o habilidades en un rea concreta, muchas vecesno slo no se da cuenta, sino que incluso cree que es mejor de lo querealmente es. Cuanto ms incompetente es alguien para una tarea concreta,tanto menos cualificada est esa persona para evaluar las capacidades de otraen esa rea. Cuando alguien no consigue reconocer que se ha comportado deforma incorrecta o mediocre, cree que lo est haciendo bien. Como resultado,el incompetente tender a sobreestimar sus capacidades y habilidades.Estas afirmaciones fueron confirmadas por el estudio sobre phishing yacomentado, que descubri que los participantes casi siempre estaban muyseguros de su capacidad para distinguir una web legtima de otra fraudulenta, ysin embargo, fueron embaucados hasta por las pginas grotescamenteincorrectas. Y hay que tener en cuenta que esto incluye a aquellos que nuncamiran la barra de direcciones para comprobar que estn en una web HTTPS.C1.7 Lo peor est por venirEl profesor de informtica John Aycock y su estudiante Nathan Friesspublicaron un aviso sobre la futura amenaza sobre spam zombie del espacioexterior. El ttulo est inspirado en alguna pelcula de Ed Wood, pero elconcepto que hay tras l no es tan divertido.Estos nuevos zombies minarn el cuerpo de los correos electrnicos halladosen las mquinas infectadas, utilizando los datos para automticamentefalsificar y enviar spam mejorado y ms convincente a otros destinatarios.La nueva generacin de spam puede ser enviada desde las direcciones depersonas conocidas y allegadas e incluso imitar el patrn de los mensajes queenvan (como abreviaturas comunes, faltas de ortografa o firmas personales),favoreciendo que el destinatario abra un archivo adjunto o pinche un enlace.4 GESTI NYSEGURI DADDEREDES FUNDACIN UNIVERSITARIA IBEROAMERICANASi se combina este hecho con la afirmacin de los participantes del estudio deque ellos pinchan habitualmente en los enlaces enviados por los conocidos, sepuede ver cmo se avecina el desastre.C1.8 Qu se puede hacer?La educacin es una pieza fundamental de la solucin a este problema, perocmo se ejecuta de la forma ms efectiva? El navegador y la web se han idocomplicando con el tiempo, de forma que el usuario medio actual tienebastante ms que aprender que los de la pasada dcada.Claramente, utilizar ms ventanas pop-up o cuadros de dilogo no es lasolucin. De hecho, cada vez que aparece una ventana con un mensaje delnavegador, ms del 50% de los usuarios pinchan en Aceptar sin siquiera leerlo que pone. Tambin est claro que aadir avisos adicionales del tipo a losiconos, coloracin de la barra de direcciones, etc. no es de gran utilidad, si lamayora de los usuarios no se fijan en ellos.Se deberan disear los navegadores para que simplemente no permitan a losusuarios visitar sitios peligrosos o cuestionables? Ya existe una serie deiniciativas para crear una base de datos centralizada de sitios web malignos queel software pueda referenciar. Un ejemplo es la Toolbar de Google. Los avisosantiphishing se encuentran activados por defecto en los dos navegadoresprincipales (IExplorer y Firefox), lo cual es bueno, pero redireccionan a unmensaje que es fcilmente ignorado por el usuario. Quiz esto no deberapermitirse, o por lo menos, debera dificultarse ms el sorteamiento.