ICT & Business: Phishing y Spoofing: las nuevas fronteras de la seguridad y la calidad en la Ingeniería Web (2010)

1. Antecedentes desde la Ingeniería Web

No es posible pensar en comercio electrónico o en cualquiera de los negocios electrónicos que se sustentan en al web hoy en día sin pensar en la tecnología web y en los sistemas confiables que les dan vida (web engineering). En el campo de las Telecomunicaciones y la Ingeniería de Software, es imprescindible conocer el sustrato tecnológico y de procedimientos y técnicas ligados al espacio de la Web, por cuanto hoy en día no puede concebirse casi ninguna tecnología informática sin un acceso y convivencia y concurrencia con un entorno o una infraestructura web.

Así se aprecia que en años recientes han aparecido muchos estándares y tecnologías gracias al surgimiento de la Web. Su impacto en todos los desarrollos informáticos es de tal magnitud que no pueden producirse productos informáticos sin una arquitectura “web-based”. Sin embargo, por esa misma velocidad de crecimiento ha tenido la tendencia a no ser controlada o mirada desde el punto de vista de ingeniería. Por esta razón, conocer las tecnologías y el enfoque de ingeniería aplicable a la web es necesario para crear aplicaciones y productos efectivos y que cumplan con los estándares seguridad y calidad.

Este artículo revisa uno de los aspectos de seguridad considerados de gran relevancia en el mundo web y que claramente afecta la calidad de los servicios que se ofrecen: Phishing y Spoofing partiendo del hecho que:

Phishing es un tipo de delito dentro de las estafas informáticas cometido desde de la ingeniería social con el intento adquirir información confidencial de forma fraudulenta.
Spoofing: alude a técnicas de suplantación de identidad.

Con estas definiciones en mente, hay que decir que quizá uno de los factores más difíciles de resolver en una aplicación y más aún en las aplicaciones web es que aunque tenemos control sobre la infraestructura, no tenemos control sobre lo que hacen los usuarios. Muchas de las fallas de seguridad se dan en base a los hábitos y respuestas de los seres humanos, por ello aunque no podemos controlarlo, sí podemos advertir y establecer ciertos parámetros de trabajo para evitar problemas y reducir la incidencia de problemas en nuestras aplicaciones.

Debemos recordar que aún cuando la falla pueda haber sido generada de forma externa a nuestro sistema de información web, debemos preocuparnos de mantener una imagen frente al mundo, pues si la percepción de nuestros usuarios es que la aplicación o el sitio web falló, no será fácil demostrar lo contrario y probablemente seamos nosotros quienes debamos cargar con el costo.

2. Técnicas de hurto de información más comunes

El problema de hurto de información no le pertenece exclusivamente al mundo de los sistemas de información basados en web, pero se han distribuido de manera mucho más rápido a causa de la facilidad de transmisión de información que presentan estos sistemas. Las técnicas utilizadas de forma más común son la captura de presión de teclas (Keyloggers), la recolección de información no autorizada (Spyware) y el almacenamiento de información sobre el usuario sin notificación.

Keyloggers.- Un keylogger puede ser implementado a través de software o a través de hardware, la función que cumple es la de capturar todas las teclas que se presionan, almacenarlas en un archivo que luego pueder ser accedido por el atacante o ser enviado directamente a través de la red, en este archivo buscará patrones de texto para encontrar contraseñas, números de tarjeta de crédito e información importante sobre el usuario.Los keyloggers de software se instalan de manera oculta y permiten suelen ser tratados como variantes de virus, los keyloggers de hardware se instalan entre el conector del teclado y el computador de manera oculta, estos dispositivos normalmente almacenan internamente la información y pueden ser retirados luego, la principal limitación de estos últimos es que se requiere tener acceso a la máquina de la víctima durante dos ocasiones, para la instalación y para el retiro del dispositivo.

Spyware.- Nacen también como variantes de los virus, con la diferencia de que en lugar de buscar dañar al computador que logran tener acceso, buscan reproducirse a través de la red simplemente para poder recolectar información sobre los usuarios, con esta información se puede conocer patrones de uso que puede luego ser retransmitida a empresas de marketing y publicidad que utilizan esos datos para enviarnos publicidad no solicitada. Muchas veces este tipo de programas se dedica también a investigar nuestro correo para obtener más direcciones de contacto e intentar propagarse hasta esos usuarios, también puede utilizar esa información para encontrar relaciones entre las máquinas que ha infectado.

Cookies inseguras.- El método más básico y sin embargo también el más olvidado, las cookies en su formato original son pequeños archivos de datos manejados por el navegador que permiten almacenar información de forma local para poder guardar datos simples como preferencias con respecto a una página, sin embargo si no son apropiadamente aseguradas estas pueden emplearse para obtener información sobre hábitos del usuario e información privada. Al ser un sistema tan básico no existe mayor protección sobre estos archivos, en programación lo único que podemos habilitar para evitar que sean alterados o manipulados es habilitar el uso de cookies únicamente cuando se encuentren a través de una conexión segura que cuente con encriptación, en caso contrario la información allí almacenada viajará a través de la red en forma de texto plano y podrá ser capturada y analizada en cualquier nodo de la ruta.

3. Phishing y Spoofing

El término phishing, se origina del vocablo inglés “fish”, lo que en español quiere decir pescar, en otras palabras tratamos de “pescar usuarios”. La idea básica es utilizar los conceptos de ingeniería social para engañar a las personas para que sin darse cuenta accedan a entregarnos información privada pensando que somos una entidad autorizada para pedirles datos personales.

Aún cuando puede sonar como un mecanismo elaborado, es el método más básico y más utilizado a nivel mundial para hurto de información, y sigue siendo el más efectivo pues no requiere de mayores conocimientos técnicos, sino más bien se requiere del conocimiento de hábitos y tendencias de las personas.

El esquema de phishing más utilizado es el de ‘impersonar’ a un representante una empresa y tratar de convencer a la persona a quien se quiere afectar que acepte entregarnos información sensible, ya sea esto bajo la promesa de algún tipo de premio o como parte de una verificación de datos. Este tipo de engaño suele ser realizado normalmente a través de correo electrónico, recordemos que el protocolo SMTP de manera básica no puede hacer la verificación de la creación del encabezado del mensaje, basta con que el emisor tenga autorización a enviar mensajes de ese servidor para crear un encabezado con los valores que escoja.

El spoofing en redes se refiere a la falsificación de identidad de una máquina, normalmente a través de la dirección IP. Una de las formas más básicas de Web Spoofing busca simular la apariencia de una página o servicio web ampliamente utilizado que internamente realice la captura y manipulación de la información y luego de esto redireccione esos datos al creador de esta página que suplanta a la original, para mantener la ilusión se reenvía luego al usuario a la página original, haciéndole creer que fue simplemente un error.

Muchos navegadores de Internet en la actualidad incluyen herramientas de detección de phishing y spoofing para tratar de proteger a los usuarios, pero dichas herramientas sólo son válidas si son apropiadamente alimentadas, este proceso es manual y funciona en base a denuncias previas o con verificaciones básicas sobre los dominios.

Dos ejemplos de estos tipos de intentos de violación a la seguridad se pueden encontrar en:

Phishing al Banco Pichincha. Web site: http://www.cavaju.com/2009/08/18/phishing-al-banco-pichincha-ecuador/ [Leído Octubre 20, 2009]
Banca on line: primeras denuncias de suplantación de identidad en Ecuador. Web site: http://www.coberturadigital.com/2009/02/18/banca-on-line-primeras-denuncias-de-suplantacion-de-identidad-en-ecuador/ . [Leído Octubre 20, 2009]

4. Reflexiones

Como reflexión final podemos decir que es importante tener mecanismos de seguridad, pero eso no impide «caer» en este tipo de trampas por simple ingenuidad. No se puede garantizar evitarlas, pero si contar con mecanismos de detección y notificación a los usuarios certero y eficiente. Igualmente esto cualquier contramedida desde la Ingeniería Social demanda contar con mecanismo legales y administrativos que protejan a los usuarios ante errores en que incurran por este tipo de técnicas y que les permitan salvaguardar sus intereses.

Algunas de las medidas adoptadas principalmente por las entidades bancarias se basan en campañas de concienciación y educación en cuanto a seguridad de información. Enfrentar el tema desde el punto de vista de la ingeniería no es tarea sencilla, pues como dijimos, podemos controlar el software y controlar el medio, pero no podemos controlar a los usuarios. Se está trabajando sobre métodos adicionales de aseguramiento de la información tales como contraseñas de “un solo uso”, es decir que sólo son válidas durante un momento o bajo condiciones específicas, para así tratar de minimizar el impacto en los usuarios en el caso de robo de información.

___________________________________________

Escrito preparado en conjunto con Iván Campaña (visita su blog). Publicado en

Campaña, Iván; y, Estay, Christian. (2010). Artículo por invitación Pishing y Spofing: las nuevas fronteras de la seguridad y la calidad de la ingeniería web. Revista CRIEEL (Colegio Regional de Ingenieros Eléctricos y Electrónicos del Litoral). Marzo 2010 – Mayo 2010, Año XLIII, pp. 8-10.

____________

Otros relacionados