jueves, 7 de abril de 2016

Fundamentos de anatomía digital: "6 pasos esenciales antes de hacer click"

A lo largo de las escasas 24 horas que tiene un día tomamos cientos de decisiones. No es un número estable. Para algunos serán miles mientras que a otros les bastan unas pocas decenas. La mayoría de esas decisiones son triviales. ¿Papel higiénico acolchado, perfumado, con estampaciones de flores silvestres? Mientras que otras disyuntivas, sin percibir su justo peso, pueden condenar al decisor a una penitencia doble. Por un lado el pago que conlleva las consecuencias de una mala opción y por otro el amargo sabor a derrota que se siente cuando se rememora el momento en el que se tomó la vía equivocada. Somos esclavos de nuestro tiempo y el tiempo es alimento de la historia, lástima que ésta viaje en un solo sentido y nos impida rectificar la huella de nuestras imperfecciones.

Una decisión que ha traído a muchos de cabeza, es ese momento en el que otorgaron un inocente y bienintencionado 'click' a un enlace que les prometía una recompensa en maravedíes o por el contrario, les conminaba a hacerlo bajo la amenaza del cadalso digital. Naturalmente hablamos del phishing.

Aunque tradicionalmente lo asociamos al fraude bancario, ni de lejos es exclusivo su uso para tales menesteres. Es más (y ahora nos ponemos de pie, arrastramos la silla hacia atrás y nos llevamos la palma de la mano al pecho), incluso nosotros mismos lo usamos en nuestras tribulaciones, cuando nos encargan un test de penetración (si, suena gracioso cuando no estás habituado a escuchar el término) y nos permiten usar ingeniería social.

El antiguo arte de engañar
Porque realmente, el mecanismo de funcionamiento de un phishing se basa en la ingeniería social. En el engaño, estafa, argucia, ardid, fraude, artimaña, señuelo, falsedad, confusión, burla, embuste, etc. (Tampoco vamos a engañaros en este punto, es evidente que hemos usado un diccionario de sinónimos). El arte del engaño es tan antiguo como su padre, el arte de codiciar lo ajeno. Estos dos nacen como respuesta a una pregunta que nace a su vez de la necesidad congénita del ser humano de simplificar y optimizar los procesos vitales: "¿Por qué esforzarme lo mismo que el otro si puedo enajenar lo que él tiene con menos esfuerzo?". Bendita economía.

Bien, pues ya que hemos instalado la idea de una mala decisión y construido el canal por el que queremos plasmar la concreción en un ejemplo, pasemos a ver qué defensas podemos levantar contra la toma de una pésima alternativa o un decálogo de medidas a tomar antes de pulsar un maldito enlace que nos lleve a la perdición en forma de ransomware o un derrame pecuniario en nuestros haberes bancarios.

1) Si no eres capaz de demostrar que no es un phishing, entonces ES UN PHISHING.

En Barrio Sésamo todos eran buenos
Me encantaba "Barrio Sésamo". Era un lugar donde el mal no tenía cabida. Todo era felicidad y buen rollo encantador. De hecho no veréis en ningún episodio a un personaje echando la llave a una puerta (¿Julián el del kiosco quizás?). Nadie era malo allí. ¿Cómo pensar mal de un puercoespín rosa de dos metros con la capacidad humana del habla y la movilidad óptica de un cenicero de bronce?

Al menos en lo que respecta a tus correos entrantes no habituales, piensa mal por defecto. Si ves un correo de tu banco. Demuéstrate a ti mismo que realmente viene de tu banco. Quizás te llamen paranoico pero siempre puedes responderles que cuenten con los dedos de una mano a cuantos paranoicos conocen que hayan sido timados. En la mayoría de los casos les sobraran cinco dedos. Seis o más en caso de padecer polidactilia. No falla.

Recuerda, el principio de inocencia no se aplica a los activos digitales. Es culpable por defecto, demuestra su inocencia. Esa es la actitud.

2) Lee el correo. En serio, lee el correo.

Lee el correo con alguien como él
Da igual el idioma que hables. Un correo verdadero y corporativo debería llegar con una perfección ortográfica y gramatical que cuando termines de leerlo llores de emoción o tu corazón palpite entregado a los placeres de la prosa.

Un truco que utilizo es leerlo con un señor como nuestro académico Pérez Reverte pero imaginario. Coges el texto del correo e imagina que el señor Pérez Reverte está sentado junto a ti leyendo el mismo correo. Cuando termines de leerlo (o terminéis) fíjate en su rostro y estate atento. Si se levanta, te da una palmadita en el hombro y se va, entonces el correo podría ser bueno. Si te lo imaginas agitado y desenvainando un sable del siglo dieciocho mientras brama improperios coetáneos del mismo con una tempestad de fondo. No falla. El correo tiene la validez equivalente a una promesa electoral. ES PHISHING.

3) Copia el enlace y compruébalo en sitios de reputación online.

Ten mucho cuidado al copiarlo. En serio, activar un enlace puede suponer que tu navegador se abra y se dirija a una fiesta organizada por un exploit kit. Así que deposita el cursor sobre el enlace lentamente, botón derecho, copiar y sepárate muy muy despacio de él. Poco a poco.

Ahora, con el enlace en el portapapeles, puedes comprobarlo en sitios web que van a decirte si la dirección está en una lista negra. Pero recuerda, y esta idea es importante: Estos sitios sólo demuestran que el enlace está en una lista negra. Es decir, si no aparece en la lista negra no significa que sea bueno, significa que no está incluido.

Recuerda. Estos sitios confirman una sospecha, no confirman una coartada.

¿Sitios? Hay muchísimos, unos pocos ejemplos.

Ya sabes. ¿Dominio en lista negra? ES PHISHING. ¿No está en lista negra? Entonces no está en lista negra.

4) Comprueba el dominio.

Suponemos que llegados a este paso, que has visto el correo y tu sentido común no te ha puesto en alerta. Lo has leído con tu imaginario escritor favorito a tu lado y le ha dado el visto bueno. Por último, el enlace no aparece en una lista negra. Bien, porque nos acercamos a una fase crítica. De la URL céntrate, de momento, en el dominio.

Pega la URL en tu editor de texto favorito. Disecciónala y quédate con el dominio. Hay lectores que tienen un nivel básico, no hay problema, todos tuvimos un primer día, el resto puede saltarse el ejemplo. Pongamos la URL de una "Una Al Día" cualquiera:


Comprueba el dominio
¿Veis las barras inclinadas a la derecha? Las /

Separan componentes. Parte la url en piezas tomando como referencia esas /

http:


2016

03

petya-un-nuevo-ransomware-que-impide-el.html

Eso que está en negrita es el dominio. Eso se transformará en una dirección IP a la que se irá nuestro navegador de manera transparente para traerte una página web. El problema es que tu navegador web es incapaz de decidir si lo que vas a visitar es la banca online o un servidor controlado por un atacante y preparado para filibustearte los dineros.

¿Cuál es el dominio de tu banco? ¿Adónde te diriges cuando vas a visitar el sitio web de tu banco?

Coge la URL que usas habitualmente de tu banco y haz lo mismo. Compara los dominios. ¿Son idénticos? ¿No? ES PHISHING.

Es cierto que los subdominios pueden variar:

Pero cuídate mucho de que la parte final, ese hispasec.com antes del primer punto sean iguales en ambos dominios. ¿No es así? ES PHISHING.

5) Comprueba el certificado SSL

Hubo un tiempo que el sinónimo de seguridad en la red era la presencia de un candadito amarillo en el navegador cuando visitabas un sitio "seguro". Cuánto daño ha hecho esa frase en el subconsciente de los usuarios proporcionando una falsa sensación de seguridad.

Hubo incluso malware, que una vez instalado en el sistema, le endiñaba un candado amarillo por defecto al navegador, con el simple cometido de despreocupar al usuario de lo que iba a pasar a continuación. Bajar la guardia y ¡bum!

El dichoso candadito amarillo
Un candadito amarillo solo significaba que la conexión iba "cifrada" y que el sitio tenía un certificado SSL. Punto. Ahora pensad un momento. ¿Qué detiene a cualquiera de comprar un dominio, extender un certificado sobre ese dominio y poner a la escucha un servidor que ofrezca un canal cifrado?

Hoy día puedes montar una infraestructura con un dominio, su certificado digital y un servidor con HTTPS establecido, de manera anónima y en menos tiempo del que llevas leyendo este artículo. Todo eso puede hacerse en cuestión de minutos e incluso de manera anónima, sin dejar rastro.

Una conexión segura lo único que te asegura es que el canal con el que te comunicas está cifrado y el certificado te dice que el dominio es de quien dice ser. Y eso lo podemos jurar siempre y cuando no salga un ataque criptográfico de última generación o a la certificadora de turno no le hayan trabuqueado un certificado raíz.

Así que el sitio web de tu banco tiene que presentar su dominio habitual, su certificado seguro, correcto, al día y asociado al dominio y una conexión cifrada de manera robusta. Si no es así, no hay duda: ES PHISHING.

Si el dominio es correcto, pero la conexión no es cifrada o el certificado no es válido entonces amigo, te están haciendo un hombre en el medio. Sal de ahí. Ya.

6) ES PHISHING

¡Templanza!
Este nivel requiere de una templanza propia de esos maestros sabios que aparecen en las películas de kung-fu de los 70 u 80.

El principio es muy sencillo. Da igual que el correo sea de tu banco o no. ES PHISHING. No se pincha en el enlace. No se visita ninguna URL. No se manda por fax ni correo ninguna documentación. No se contesta a ese correo. Ni se le hace caso.

Ya sabemos que puede sonar radical. Pero es tremendamente efectivo. Además te pone en una ventaja táctica. Usa una suerte de patrón Hollywood. Si quieren algo de ti y es importante, llámales tú a ellos. Ponte en contacto con tu banco a través de las líneas que tienen disponibles y coméntales lo que has recibido. Si es cierto te lo confirmarán y ya puestos arregla el marrón con ellos. Si es un phishing lo más probable es que hablando con ellos termines ayudando a otras personas desmontando el fraude cuanto antes.

Vosotros, nuestros lectores, tenéis un nivel de concienciación y técnico considerable. No todo el público posee ese nivel capaz de distinguir una estafa de una comunicación legítima. Incluso confesemos, hasta un ojo avezado y curtido en las amenazas puede ser engañado. Somos imperfectos.

Sin embargo el día a día avanza, las comunicaciones se tornan digitales y para bien de los árboles, el papel va siendo sustituido por un puñado de bits. No dejes que esos bits te estropeen un día o un mes o los ahorros de una década.

Esperamos que de una forma entretenida, con gotas de humor y unas pequeñas reglas, ayudemos a crear conciencia en usuarios menos entrenados, más confiados y por lo tanto más vulnerables.

Más información:

una-al-dia (03/06/2008) Mitos y leyendas: "Compruebe el candadito del navegador para estar seguro" I (Phishing)

una-al-dia (17/06/2008) Mitos y leyendas: "Compruebe el candadito del navegador para estar seguro" II (Troyanos)

una-al-dia (20/12/2004) Nueva técnica de "phishing" afecta a Internet Explorer

una-al-dia (12/07/2006) Troyanos bancarios y evolución del phishing


David García
Twitter: @dgn1729


3 comentarios:

  1. ¡Gracias!

    Un artículo para compartir profusamente.

    Saludos.

    ResponderEliminar
    Respuestas
    1. Estupendo, sí. Yo también lo voy a difundir. Gracias por la confección.

      Eliminar
  2. Una información magnífica y explicada de forma amena que compartiré. Os felicito por ello.
    Un saludo.

    ResponderEliminar