Roemil Fernandez Tiburcio
lunes, 18 de enero de 2010
viernes, 8 de enero de 2010
sábado, 3 de octubre de 2009
Robo de Información Personal Online
Visto este nuevo modelo de negocio en línea fueron apareciendo nuevos y mas complejos ataques en busca de obtener información confidencial de los usuarios, dando lugar a nuevas modalidades de estafas a pesar de que debido a las diferentes legislaciones de los paises existen casos donde no son considerados delitos mayores.
Dentro de las metodologías mas comunes para la obtención de esta información nos encontramos el “Phising”, que se vale de las técnicas de ingeniería social para lograr sus objetivos, Regularmente se presentan ante los usuarios en forma de correo electrónico masivo (spam), invitándolo a entrar a un sitio web que luce ser similar al de la entidad financiera con fines de solicitarle datos como usuario, contraseña, códigos de tarjetas de clave, etc. Comunmente se encuentran los casos de ataques basados en “Suplantación”, donde se envía al usuario a sitios webs que lucen ser similares a los reales pertenecientes a las entidades bancarias pero que se diferencian en los aspectos referenciales como son el nombre de dominio (www.bancoenlinea.com por www.bancoenlineas.com, diferencia en la S o donde se encuentre una O sustituir por un cero www.bancoenlinea.com por www.banc0enlinea.com), también la “Ofuscación” de URL cambiando por completo la dirección URL. Además del phishing, hoy día se cuenta con “Los Códigos Maliciosos” que se consideran los métodos más representativos cuando a robo de información se refiere; dentro de estos encontramos los Backdoors, Keyloggers, Troyanos Bancarios o Bankers, entre otros.
Existen medidas a tomarse en cuenta al momento de utilizar este tipo de servicios por parte de los usuarios. Además de enfatizar que las entidades financieras y bancarias jamás solicitan claves, cambios de ellas o información personal de los clientes a través del correo electrónico, es sumamente importante que los usuarios incorporen hábitos de navegación que permitan minimizar el impacto que provoca ser víctima de los ataques descriptos, tomando precaciones como las siguientes:
- Mantener el sistema operativo, el navegador y el antivirus con las últimas actualizaciones
- de seguridad disponibles.
- Instalar un antivirus con capacidades de detección proactiva.
- Hacer caso omiso a correos electrónicos de origen desconocido o a nombre de entidades
- financieras o bancarias.
- Evitar introducir datos personales y/o financieros en sitios desconocidos.
- Escribir con el teclado, la dirección de la entidad en la barra de navegación, no operar desde ambientes públicos.
- Verificar las medidas de seguridad del sitio web.
- Utilizar Claves Fuertes.
Inclusive bajo este escenario, las organizaciones o empresas de cualquier tipo no están exentas de ser víctimas de ataques de phishing o malware; por lo tanto, además de las pautas mencionadas, es necesario extremar las medidas de seguridad teniendo en cuenta aspectos como:
- Elaboración de políticas de seguridad claras.
- Ejecución de planes de seguridad.
- Implementación de soluciones antimalware.
Un tema muy importante que surge luego de la exposición a problemas de ataques de phishing y que muchos usuarios demandan, radica en cómo denunciar estos casos de estafas en línea. Si un usuario detecta un caso de phishing que afecte particularmente a clientes de alguna entidad de su país, una de las principales acciones que debería adoptar es denunciar el caso a la organización involucrada, para lo cual es aconsejable proveer la mayor cantidad de información posible relacionada al engaño. También existen comunidades que se encargan de facilitar esta labor poniendo a disposición de los usuarios diversos medios de denuncia. Uno de los ejemplos más representativos es el Anti-Phishing Working Group donde se pueden reportar casos de phishing a través del correo electrónico. Otro caso lo representa PhishTank que permite denunciar estos casos a través de su sitio web.
En definitiva, es indispensable que los usuarios tomen conciencia sobre la dimensión del problema que implica la utilización de datos sensibles en línea y la importancia de estar preparados para cualquier eventualidad o casos en que se trate de obtener su información de manera no adecuada.
Fuente: http://www.eset-la.com/press/informe/robo_informacion_online.pdf