• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Fundamentos de anatomía digital: "6 pasos esenciales antes de hacer click"

Fundamentos de anatomía digital: "6 pasos esenciales antes de hacer click"

7 abril, 2016 Por Hispasec 3 comentarios

A lo largo de las escasas 24 horas que tiene un día tomamos cientos de decisiones. No es un número estable. Para algunos serán miles mientras que a otros les bastan unas pocas decenas. La mayoría de esas decisiones son triviales. ¿Papel higiénico acolchado, perfumado, con estampaciones de flores silvestres? Mientras que otras disyuntivas, sin percibir su justo peso, pueden condenar al decisor a una penitencia doble. Por un lado el pago que conlleva las consecuencias de una mala opción y por otro el amargo sabor a derrota que se siente cuando se rememora el momento en el que se tomó la vía equivocada. Somos esclavos de nuestro tiempo y el tiempo es alimento de la historia, lástima que ésta viaje en un solo sentido y nos impida rectificar la huella de nuestras imperfecciones.
Una decisión que ha traído a muchos de cabeza, es ese momento en el que otorgaron un inocente y bienintencionado ‘click‘ a un enlace que les prometía una recompensa en maravedíes o por el contrario, les conminaba a hacerlo bajo la amenaza del cadalso digital. Naturalmente hablamos del phishing.
Aunque tradicionalmente lo asociamos al fraude bancario, ni de lejos es exclusivo su uso para tales menesteres. Es más (y ahora nos ponemos de pie, arrastramos la silla hacia atrás y nos llevamos la palma de la mano al pecho), incluso nosotros mismos lo usamos en nuestras tribulaciones, cuando nos encargan un test de penetración (si, suena gracioso cuando no estás habituado a escuchar el término) y nos permiten usar ingeniería social.
El antiguo arte de engañar
Porque realmente, el mecanismo de funcionamiento de un phishing se basa en la ingeniería social. En el engaño, estafa, argucia, ardid, fraude, artimaña, señuelo, falsedad, confusión, burla, embuste, etc. (Tampoco vamos a engañaros en este punto, es evidente que hemos usado un diccionario de sinónimos). El arte del engaño es tan antiguo como su padre, el arte de codiciar lo ajeno.Estos dos nacen como respuesta a una pregunta que nace a su vez de la necesidad congénita del ser humano de simplificar y optimizar los procesos vitales: «¿Por qué esforzarme lo mismo que el otro si puedo enajenar lo que él tiene con menos esfuerzo?«. Bendita economía.
Bien, pues ya que hemos instalado la idea de una mala decisión y construido el canal por el que queremos plasmar la concreción en un ejemplo, pasemos a ver qué defensas podemos levantar contra la toma de una pésima alternativa o un decálogo de medidas a tomar antes de pulsar un maldito enlace que nos lleve a la perdición en forma de ransomware o un derrame pecuniario en nuestros haberes bancarios.
1) Si no eres capaz de demostrar que no es un phishing, entonces ES UN PHISHING.
En Barrio Sésamo todos eran buenos
Me encantaba «Barrio Sésamo«. Era un lugar donde el mal no tenía cabida. Todo era felicidad y buen rollo encantador. De hecho no veréis en ningún episodio a un personaje echando la llave a una puerta (¿Julián el del kiosco quizás?). Nadie era malo allí. ¿Cómo pensar mal de un puercoespín rosa de dos metros con la capacidad humana del habla y la movilidad óptica de un cenicero de bronce?
Al menos en lo que respecta a tus correos entrantes no habituales, piensa mal por defecto. Si ves un correo de tu banco. Demuéstrate a ti mismo que realmente viene de tu banco. Quizás te llamen paranoico pero siempre puedes responderles que cuenten con los dedos de una mano a cuantos paranoicos conocen que hayan sido timados. En la mayoría de los casos les sobraran cinco dedos. Seis o más en caso de padecer polidactilia. No falla.
Recuerda, el principio de inocencia no se aplica a los activos digitales. Es culpable por defecto, demuestra su inocencia. Esa es la actitud.
2) Lee el correo. En serio, lee el correo.
Lee el correo con alguien como él
Da igual el idioma que hables. Un correo verdadero y corporativo debería llegar con una perfección ortográfica y gramatical que cuando termines de leerlo llores de emoción o tu corazón palpite entregado a los placeres de la prosa.
Un truco que utilizo es leerlo con un señor como nuestro académico Pérez Reverte pero imaginario. Coges el texto del correo e imagina que el señor Pérez Reverte está sentado junto a ti leyendo el mismo correo. Cuando termines de leerlo (o terminéis) fíjate en su rostro y estate atento. Si se levanta, te da una palmadita en el hombro y se va, entonces el correo podría ser bueno. Si te lo imaginas agitado y desenvainando un sable del siglo dieciocho mientras brama improperios coetáneos del mismo con una tempestad de fondo. No falla. El correo tiene la validez equivalente a una promesa electoral. ES PHISHING.
3) Copia el enlace y compruébalo en sitios de reputación online.
Ten mucho cuidado al copiarlo. En serio, activar un enlace puede suponer que tu navegador se abra y se dirija a una fiesta organizada por un exploit kit. Así que deposita el cursor sobre el enlace lentamente, botón derecho, copiar y sepárate muy muy despacio de él. Poco a poco.
Ahora, con el enlace en el portapapeles, puedes comprobarlo en sitios web que van a decirte si la dirección está en una lista negra. Pero recuerda, y esta idea es importante: Estos sitios sólo demuestran que el enlace está en una lista negra. Es decir, si no aparece en la lista negra no significa que sea bueno, significa que no está incluido.
Recuerda. Estos sitios confirman una sospecha, no confirman una coartada.
¿Sitios? Hay muchísimos, unos pocos ejemplos.
https://www.virustotal.com/
https://sitecheck.sucuri.net/
http://www.malwareurl.com/listing-urls.php
Ya sabes. ¿Dominio en lista negra? ES PHISHING. ¿No está en lista negra? Entonces no está en lista negra.
4) Comprueba el dominio.
Suponemos que llegados a este paso, que has visto el correo y tu sentido común no te ha puesto en alerta. Lo has leído con tu imaginario escritor favorito a tu lado y le ha dado el visto bueno. Por último, el enlace no aparece en una lista negra. Bien, porque nos acercamos a una fase crítica. De la URL céntrate, de momento, en el dominio.
Pega la URL en tu editor de texto favorito. Disecciónala y quédate con el dominio. Hay lectores que tienen un nivel básico, no hay problema, todos tuvimos un primer día, el resto puede saltarse el ejemplo. Pongamos la URL de una «Una Al Día» cualquiera:
http://unaaldia.hispasec.com/2016/03/petya-un-nuevo-ransomware-que-impide-el.html
Comprueba el dominio
¿Veis las barras inclinadas a la derecha? Las /
Separan componentes. Parte la url en piezas tomando como referencia esas /
http:
unaaldia.hispasec.com
2016
03
petya-un-nuevo-ransomware-que-impide-el.html
Eso que está en negrita es el dominio. Eso se transformará en una dirección IP a la que se irá nuestro navegador de manera transparente para traerte una página web. El problema es que tu navegador web es incapaz de decidir si lo que vas a visitar es la banca online o un servidor controlado por un atacante y preparado para filibustearte los dineros.
¿Cuál es el dominio de tu banco? ¿Adónde te diriges cuando vas a visitar el sitio web de tu banco?
Coge la URL que usas habitualmente de tu banco y haz lo mismo. Compara los dominios. ¿Son idénticos? ¿No? ES PHISHING.
Es cierto que los subdominios pueden variar:
www.tubanco.com
logindetubanco.tubanco.com
Pero cuídate mucho de que la parte final, ese hispasec.com antes del primer punto sean iguales en ambos dominios. ¿No es así? ES PHISHING.
5) Comprueba el certificado SSL
Hubo un tiempo que el sinónimo de seguridad en la red era la presencia de un candadito amarillo en el navegador cuando visitabas un sitio «seguro«. Cuánto daño ha hecho esa frase en el subconsciente de los usuarios proporcionando una falsa sensación de seguridad.
Hubo incluso malware, que una vez instalado en el sistema, le endiñaba un candado amarillo por defecto al navegador, con el simple cometido de despreocupar al usuario de lo que iba a pasar a continuación. Bajar la guardia y ¡bum!
El dichoso candadito amarillo
Un candadito amarillo solo significaba que la conexión iba «cifrada» y que el sitio tenía un certificado SSL. Punto. Ahora pensad un momento. ¿Qué detiene a cualquiera de comprar un dominio, extender un certificado sobre ese dominio y poner a la escucha un servidor que ofrezca un canal cifrado?
Hoy día puedes montar una infraestructura con un dominio, su certificado digital y un servidor con HTTPS establecido, de manera anónima y en menos tiempo del que llevas leyendo este artículo. Todo eso puede hacerse en cuestión de minutos e incluso de manera anónima, sin dejar rastro.
Una conexión segura lo único que te asegura es que el canal con el que te comunicas está cifrado y el certificado te dice que el dominio es de quien dice ser. Y eso lo podemos jurar siempre y cuando no salga un ataque criptográfico de última generación o a la certificadora de turno no le hayan trabuqueado un certificado raíz.
Así que el sitio web de tu banco tiene que presentar su dominio habitual, su certificado seguro, correcto, al día y asociado al dominio y una conexión cifrada de manera robusta. Si no es así, no hay duda: ES PHISHING.
Si el dominio es correcto, pero la conexión no es cifrada o el certificado no es válido entonces amigo, te están haciendo un hombre en el medio. Sal de ahí. Ya.
6) ES PHISHING
¡Templanza!
Este nivel requiere de una templanza propia de esos maestros sabios que aparecen en las películas de kung-fu de los 70 u 80.
El principio es muy sencillo. Da igual que el correo sea de tu banco o no. ES PHISHING. No se pincha en el enlace. No se visita ninguna URL. No se manda por fax ni correo ninguna documentación. No se contesta a ese correo. Ni se le hace caso.
Ya sabemos que puede sonar radical. Pero es tremendamente efectivo. Además te pone en una ventaja táctica. Usa una suerte de patrón Hollywood. Si quieren algo de ti y es importante, llámales tú a ellos. Ponte en contacto con tu banco a través de las líneas que tienen disponibles y coméntales lo que has recibido. Si es cierto te lo confirmarán y ya puestos arregla el marrón con ellos. Si es un phishing lo más probable es que hablando con ellos termines ayudando a otras personas desmontando el fraude cuanto antes.
Vosotros, nuestros lectores, tenéis un nivel de concienciación y técnico considerable. No todo el público posee ese nivel capaz de distinguir una estafa de una comunicación legítima. Incluso confesemos, hasta un ojo avezado y curtido en las amenazas puede ser engañado. Somos imperfectos.
Sin embargo el día a día avanza, las comunicaciones se tornan digitales y para bien de los árboles, el papel va siendo sustituido por un puñado de bits.No dejes que esos bits te estropeen un día o un mes o los ahorros de una década.
Esperamos que de una forma entretenida, con gotas de humor y unas pequeñas reglas, ayudemos a crear conciencia en usuarios menos entrenados, más confiados y por lo tanto más vulnerables.
Más información:
una-al-dia (03/06/2008) Mitos y leyendas: «Compruebe el candadito del navegador para estar seguro» I (Phishing)
http://unaaldia.hispasec.com/2008/06/mitos-y-leyendas-el-candadito-del_03.html
una-al-dia (17/06/2008) Mitos y leyendas: «Compruebe el candadito del navegador para estar seguro» II (Troyanos)
http://unaaldia.hispasec.com/2008/06/mitos-y-leyendas-el-candadito-del.html
una-al-dia (20/12/2004) Nueva técnica de «phishing» afecta a Internet Explorer
http://unaaldia.hispasec.com/2004/12/nueva-tecnica-de-afecta-internet.html
una-al-dia (12/07/2006) Troyanos bancarios y evolución del phishing
http://unaaldia.hispasec.com/2006/07/troyanos-bancarios-y-evolucion-del.html
David García
dgarcia@hispasec.com
Twitter: @dgn1729

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Comentarios

  1. HenryGR dice

    8 abril, 2016 a las 10:14 am

    ¡Gracias!

    Un artículo para compartir profusamente.

    Saludos.

    Responder
  2. Ra dice

    11 abril, 2016 a las 11:58 am

    Estupendo, sí. Yo también lo voy a difundir. Gracias por la confección.

    Responder
  3. Javier dice

    20 abril, 2016 a las 10:10 am

    Una información magnífica y explicada de forma amena que compartiré. Os felicito por ello.
    Un saludo.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • Campañas de phishing utilizan Flipper Zero como cebo
  • USB Killer, el enchufable que puede freir tu equipo
  • Tamagotchi para hackers: Flipper Zero

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR