Las vacaciones pueden resultar un momento propicio para captar datos bancarios de los usuarios conectados, según se puso manifiesto en el primer Encuentro Nacional de Internautas celebrado el 13 y 14 de julio en León, organizado por la Asociación de Internautas, con el patrocinio del Instituto Nacional de las Tecnologías de la Comunicación, INTECO, dependiente de la entidad pública Red.es.

Los expertos en seguridad coinciden en destacar la importancia de informar a los usuarios sobre los principales riesgos en Internet, especialmente sobre phising (suplantación de entidades para obtener contraseñas de los usuarios) y pharming (programas que redireccionan a páginas falsas). La información sigue siendo la herramienta más eficaz para prevenir incidentes, tanto virus informáticos como otras actuaciones ilícitas que utilizan Internet como herramienta.

Reconocer y evitar el Phising

Con respecto al phising, el Centro de Alerta Temprana sobre Virus y Seguridad Informática recuerda cómo detectar este tipo de correos: Los mensajes enviados para engañar al usuario utilizan todo tipo de argumentos relacionados con la seguridad de la propia entidad, para justificar la petición de los datos de acceso. Entre los ejemplos más comunes se encuentran:

• Problemas de carácter técnico.
• Recientes detecciones de fraude y urge un incremento del nivel de seguridad.
• Nuevas recomendaciones de seguridad para prevención del fraude.
• Cambios en la política de seguridad de la entidad.
• Promoción de nuevos productos de la entidad.
• Premios o regalos de todo tipo.

Además, estos mensajes intentan forzar al usuario a tomar una decisión de forma casi inmediata con amenazas de que si no realiza los cambios solicitados, en pocas horas o días su acceso quedará deshabilitado.

Ante estas prácticas, el centro recomienda seguir 5 normas de fácil aplicación:

• No atienda a correos electrónico escritos en idiomas que no hable: Su entidad financiera no se dirigirá a Ud. en ese idioma si antes no lo han pactado previamente.
• No atienda a correos enviados por entidades de las que no es cliente en los que le pidan datos personales o que afecten a su seguridad.
• No atienda a sorteos u ofertas económicas de forma inmediata e impulsiva.
• No atienda a correos que le avisen del cese de actividades financieras recibidos por primera vez y de forma sorpresiva.
• No atienda a correos de los que sospeche sin confirmarlos telefónica o personalmente con la entidad firmante.

¿Qué es el Pharming?

El pharming consiste en la redirección de la página solicitada por el usuario a otra predeterminada con el objetivo de hacerle creer que se encuentra en la original y actúe dentro de ella con total normalidad, e introduzca sus datos, que pasarán a estar en poder del atacante.

Estas redirecciones se pueden efectuar por varios métodos (alterando el fichero hosts, modificando las tablas del servidor DNS, cambiando el DNS asignado, etc.)

Conceptos básicos

Fichero HOSTS: Es un archivo de texto que se utiliza para resolver nombres de dominio en direcciones IP de forma local. Está compuesto por líneas del tipo:

“172.16.250.110 www.alerta-antivirus.red.es”

La primera parte es una dirección IP y la segunda un nombre de dominio asociado a esa dirección. De este modo, cuando en un navegador se teclee esa página, directamente la asociará con esa IP en lugar de ir a buscarla a un servidor DNS, ofreciendo por tanto una respuesta más veloz.

DNS (Domain Name System): Se puede considerar DNS como un sistema de resolución de nombres de dominio en direcciones IP de forma externa. Es como un fichero hosts distribuido al que pueden acceder múltiples clientes.

El ejemplo tipo sería aquel en el que un código malicioso entra en el sistema del usuario y realiza la siguiente modificación en su fichero hosts:
Cambia: 172.16.260.100 www.caja-bancoX.es
por: 194.69.274.54 www.caja-bancoX.es

La dirección 194.69.274.54 contiene una página falsa, similar a la auténtica de la entidad www.caja-bancoX.es y que está controlada por el atacante.

Cuando el usuario teclea en su navegador www.caja-bancoX.es, este busca en el fichero hosts y muestra la página 194.69.274.54, es decir, la falsa. El usuario introduce sus datos en la página falsa, el atacante los recibe y podrá usarlos en su propio beneficio.

Fuente: www.red.es