Un nuevo estudio de la firma de seguridad Trusteer muestra que, una vez que los usuarios han sido atraídos a un sitio de phishing, un 45% de ellos termina introduciendo sus datos de identificación.

Se trata de datos tomados durante un análisis durante tres meses con una muestra de 3 millones de usuarios, clientes de bancos tanto estadounidenses como europeos.

Cada ataque de phishing perjudica a un número muy pequeño de clientes (0,000564%), pero debido a la gran cantidad de ataques de phishing que se producen, el número total de usuarios comprometidos es significativo. En el estudio, un 0,47% de los clientes de bancos son víctimas de este tipo de ataques de phishing cada año, lo que se traduce en unaspérdidas estimadas de entre 2,4 y 9,4 millones de dólares.

Con esta cantidad de dinero en juego, es capital que los usuarios tanto profesionales como de consumo aprendan a reconocer los correos electrónicos de phishing en el momento en el que les llegan a las bandejas de entrada.

En los entornos empresariales, este proceso debería comenzar con la formación. Por ejemplo, las empresas deberían enseñar a la gente a través de la experiencia, con ejercicios de simulación de phishing.

Cada día que pasa los ataques de phishing son más sofisticados, pero es fundamental tener en cuenta que ningún banco o caja de ahorros real nos enviará un mensaje de correo electrónico solicitando nuestros datos personales.

Enfoque Seguro

VÍA: eWeek

¿Qué apariencia tiene el mercado negro de Internet?

Comunidades criminales

El breve análisis que Symantec realizó del mundo de las comunidades de estafadores en Internet se centró en las comunidades activas de criminales que utilizan la red de conversaciones interactivas por Internet (IRC) como medio de comunicación. Estos foros eran, en su mayor parte, paneles de mensajes en línea, que podían ver únicamente los miembros registrados, a diferencia de las subastas en línea organizadas por ShadowCrew. Las redes de IRC investigadas por Symantec permitían el acceso de cualquier persona que conociera de su existencia y de la dirección de uno o más de sus servidores. Si bien a estos paneles de mensajes no pueden verlos los miembros no registrados, la verificación que hacen de los nuevos registros no va más allá de comprobar la validez de la dirección de correo electrónico que se utiliza para registrar la cuenta. De este modo, es posible registrarse con una dirección de correo electrónico anónima para poder explorar todos los paneles de mensajes. Sin lugar a dudas, existen otros grupos más herméticos en el mercado negro en Internet que ponen gran cuidado en ocultarse de la ley.

En estas comunidades, los estafadores venden sus servicios, comparten sugerencias e intercambian información, a fin de mantener conversaciones más privadas sin utilizar la red de IRC (p. ej.: mediante mensajería instantánea o correo electrónico). Los atacantes principiantes pueden usar los paneles de mensajes para encontrar instrucciones detalladas sobre el arte del fraude en línea (p. ej.: cómo obtener números de tarjetas de crédito, dónde comprar artículos en línea mediante el uso de datos fraudulentos, etcétera). Los estafadores más experimentados ofrecen servicios especializados y, por lo general, participan de algo que se parece a una división del trabajo; la mayoría de estos atacantes no realiza los ataques de principio a fin, sino que colaboran de alguna manera con otros miembros de la comunidad de estafadores. A continuación, se enumeran las distintas funciones que desempeñan los miembros del mercado negro.

Como era de esperar, el honor brilla por su ausencia entre los ladrones de Internet. Los paneles de mensajes también se utilizan para desenmascarar a los miembros de la comunidad de estafadores que roban a otros miembros, ya sea mediante el incumplimiento del pago acordado por los datos robados o bien simplemente porque se guardan la información sin pagar al proveedor. Estos estafadores de mala fama se conocen con el nombre de “rippers” (tramposos), un insulto muy fuerte en el mercado negro.

Funciones en el mercado negro

El lanzamiento y el aprovechamiento satisfactorios de un ataque de phishing es, por lo general, una actividad de grupo en la que cada persona desempeña un papel diferente. Muy a menudo, los atacantes no cuentan con las habilidades necesarias para efectuar todos estos ataques por sí solos y deben ayudarse entre sí y recurrir a otros miembros especializados en áreas concretas. Por fortuna, muchos de los phishers no disponen de conocimientos técnicos suficientemente avanzados para aprovechar las defectos del software e irrumpir en los sistemas, y son pocos los que parecen ser capaces de automatizar con eficacia sus estafas mediante el uso de software bot o utilidades especializadas.

A continuación, exponemos las diferentes funciones necesarias para que el ataque tenga éxito:

• “Spammers” o emisores de spam: son los responsables de enviar los correos electrónicos de phishing a tantas direcciones de correo electrónico como sea posible.
• Diseñadores web: son los responsables de crear sitios web malintencionados como una apariencia lo más legítima posible.
• Explotadores: suelen ser atacantes principiantes conocidos como “script kiddies” (crackers jóvenes e inexpertos) que recopilan equipos víctima (denominados “roots”) que serán utilizados para albergar sitios de phishing o como plataforma para el envío de spam. En algunos casos, los explotadores irrumpen directamente en las bases de datos de tarjetas de crédito para recabar datos de las tarjetas, sin pasar por la fase de phishing.
• Cajeros: son los responsables de retirar fondos de una tarjeta de crédito o una cuenta bancaria en peligro para luego convertirlos en dinero en efectivo para los phishers.
• “Droppers”: estos miembros, una especie de repartidores, se encargan de recibir los artículos comprados mediante el uso de los datos de tarjetas de crédito robadas en un punto de recolección imposible de localizar. Los productos adquiridos con los datos procedentes de una tarjeta de crédito o una tarjeta bancaria robada se describen con el término inglés “carded” (adquirido con tarjeta) y los estafadores que llevan a cabo esta actividad también suelen ser conocidos como “carders” (hackers que utilizan las tarjetas de crédito en forma fraudulenta).

Productos del mercado negro

Productos que los phishers y estafadores intercambian entre ellos. A continuación, aparece una lista parcial de elementos considerados de valor:

• números de tarjetas de crédito: por lo general se necesitan también los números CVV2 (números de 3 o 4 dígitos que aparecen en la parte posterior de una tarjeta) para que éstos tengan algún valor.
• acceso administrativo o a la raíz de los servidores: los estafadores utilizan con frecuencia servidores pirateados a los que pueden acceder a su antojo para alojar sitios web de phishing, comúnmente denominados por los participantes de estas salas de conversación y foros como “roots” (raíces).
• listas de direcciones de correo electrónico: se utilizan para el envío de spam publicitario o para buscar víctimas de estafas de phishing.
• cuentas bancarias en línea.
• cuentas de servicios de pago en línea, como e-gold. E-gold es un servicio muy utilizado por los estafadores, porque pueden enviarse fondos de manera instantánea y, por lo general, son difíciles de localizar.
• dinero falsificado: el dinero falsificado se imprime y se envía por correo postal. Éste es un ejemplo de alguien que solicita dinero falsificado:
• [Jamal] necesito a alguien para que haga muchos
• billetes de 20 dólares
• [Jamal] porque vivo en Canadá
• [Jamal] podemos ganar un montón de
• dinero si lo haces
• [Jamal] lo utilizaré en otras
• tiendas y devolveré el artículo
• [Jamal] si puedes hacer copias
• del billete y mandármelas,
• yo las cambiaré por dinero
• real y te enviaré la mitad
• por medio de Western Union
• Cuentas de Western Union: Western Union se utiliza mucho porque pueden enviarse fondos en el acto y no pueden localizarse ni recuperarse.

 Todos estos artículos se intercambian y se venden por medio de conversaciones improvisadas en IRC o en forma más organizada por medio de foros en línea en los que el vendedor puede hacerse con la cuenta de un “proveedor” y hacer negocios. De este modo, pueden publicar una lista de precios estructurada para los futuros compradores. Los usuarios proporcionan comentarios de sus experiencias con los “proveedores” de fraude, lo que les permite elaborar una especie de sistema de clasificación de confianza que desanima a los posibles “rippers” (tramposos). Es posible que los proveedores también tengan que pagar una cuota de entrada y someterse a un proceso básico de verificación antes de que puedan actuar como proveedores en los foros de crimen cibernético.

 
http://www.symantec.com/es/mx/norton/cybercrime/blackmarket.jsp

2.- Internet es un sistema de comunicación utilizado por personas: precaución y respeto por quién está al otro lado.

3.- Internet se parece a la vida física más de lo que creemos, desconfía de aquello que te haría desconfiar en la calle (por ejemplo, la imagen de una tienda o la personalidad de un desconocido).

4.- Internet es información, para saber si es o no útil, si es o no verdad, siempre debe ser contrastada. Solicita consejo a un adulto de confianza antes de actuar.

5.- Internet dispone de todo lo que insertamos en sus redes, debemos evitar ofrecerle demasiada información sobre nosotros mismos, y ser conscientes de lo fácil que es perder el control sobre ello.

6.- Internet no es ilegal, pero puede ser el escaparate de la comisión de un delito, estate atento a lo que te llega a través de sus redes y, desconfiar de lo que tenga un origen incierto.

7.- Internet es paralela a la vida real, no ajena, lo que en ella ocurre suele tener un reflejo directo en el ámbito personal y físico de los implicados.

8.- Internet permite manejar dinero sin necesidad de tocarlo, las transacciones que realices, que sean con permiso seguro del banco en que confías. Desconfía de los envíos de dinero que no pasan por una entidad bancaria o una administración pública estatal.

9.- Internet pone a nuestra disposición más datos de los que podemos asumir y, de la misma forma que ocurre en la vida real, necesitamos filtrar aquello que sobra para un desarrollo personal pleno, ya sea con el sentido común, ya lo sea con ayuda de dispositivos técnicos de filtrado.

10.- Existen leyes que castigan las actividades ilícitas en Internet, y también existen leyes que protegen a sus usuarios de una mala utilización de Internet, especialmente cuando afecta a sus derechos fundamentales (intimidad, secreto de las comunicaciones, datos personales, libertad de expresión, etc.).

Enfoque Seguro

VÍA: Inter

En muchas empresas los empleados tienen acceso libre a internet. Durante sus horas de trabajo pueden consultar correos personales, leer las noticias, chatear o incluso ver videos y descargar aplicaciones de música y juegos. Algunos empresarios basan estos privilegios en la confianza a los hacia sus trabajadores y en una expectativa de que éstos llegaran a sus resultados independientemente de que se les concedan o limiten los permisos. Se trata de que los empleados sepan qué es lo que deben hacer y lo realicen en tiempo y forma, y cada uno sea responsable de los minutos (u horas) que asigna a actividades no relacionadas con su desempeño laboral. Es, pues, una cuestión de conciencia.

En otras empresas optan por limitar estos permisos, ya sea por política corporativa para evitar tentaciones, o porque los empleados han demostrado una merma en su productividad relacionada con el tiempo que invierten en asuntos personales, conversaciones vía chat o descarga de aplicaciones. Sea por falta de confianza de los empresarios o como resultado de las acciones de los trabajadores, algunos empresarios optan por colocar filtros y controles para evitar que los empleados hagan uso de mensajería instantánea o ingresen a sitios de noticias o correos personales durante el horario laboral.

Algunas otras empresas aplican controles con un cierto nivel de permisos, concediendo a los empleados acceso a sus correos personales durante ciertos minutos al día o en el horario de la comida.

Como sea, estos permisos no suelen ser suficientes. Y cuando no hay la libertad de comunicarse a toda hora, los empleados buscan la manera de brincarse los controles. Páginas como www.ebuddy.com permiten el acceso a diversos mensajeros instantáneos desde internet, sin necesidad de abrir la aplicación en su máquina, lo cual es como abrir un puente sobre la prohibición del uso del Messenger.

Hace unos días, en la compañía en la que trabajo, se formalizó la política que restringe el uso del Messenger. Esto, como resultado de un incremento en la carga laboral que exige mayor productividad por parte de los empleados, y ello demanda un mayor nivel de concentración. Francamente, aún cuando la política de no uso del Messenger en la oficina se dio a conocer hace meses, en casi todas las computadoras se ven tres o más ventanas de conversación abiertas de manera continua. Así pues, se determinó la implementación de controles. De inmediato, el administrador implementó las políticas en el sistema que evitan que los empleados podamos abrir la aplicación.

Como yo tengo Skype instalado, y mis contactos cercanos me buscan ya sea por teléfono, celular, correo electrónico o el mismo Skype, no tuve problema. De hecho, yo misma evito conectarme al Messenger en horarios laborales. Pero, como la Ley de Murphy nunca falla, no pasaron dos días antes de que tuviese la necesidad de contactar a ciertas personas a quienes es más fácil ubicar vía Messenger… la diseñadora, un par de colegas y hasta mi mamá, que está viviendo fuera de la Ciudad.

Así que recurrí a la famosa página del amiguito (ebuddy) para conectarme a ratos. Estando en línea, logré ver que varios de mis compañeros también estaban conectados, la mayoría desde su móvil, otros, como yo, de alguna forma se brincaron los controles.

El colmo vino cuando en una ocasión, a la hora de la comida, recibí un correo del propio administrador solicitándome que me conectara al mensajero, pues me había marcado al celular pero no le pude tomar la llamada en ese momento. Él utiliza una blackberry desde la cual tiene acceso a su mensajería vía móvil y se había percatado de que yo me las había ingeniado para brincarme la política y conectarme ocasionalmente.

Estoy consciente de que existe un nivel de confianza entre el administrador de sistemas hacia la labor que llevo a cabo, pero sigo preguntándome en cuántas empresas se pierde la visibilidad del número de empleados que se brincan los controles, o si en los grandes corporativos el personal de sistemas opta por “hacerse de la vista gorda” debido a la complejidad que implicaría el asegurarse de que nadie haga uso de la mensajería ni ingrese a sitios no autorizados durante el horario laboral.

Y esto me lleva a preguntarme hasta dónde y hasta cuándo conviene tolerar que los empleados no respetan las políticas que, a final de cuentas, se implementaron para asegurar el nivel de productividad que requiere una organización.

Por: Lizzette Pérez Arbesú

Enfoque Seguro

Una vez alguien dijo que la mejor protección en Internet es uno mismo, con lo que estamos completamente de acuerdo. Uno mismo debe estar consciente de sus limitaciones cuando navega, y no excederse en confianza porque es justamente en esos momentos cuando estamos más vulnerables.

Síntomas de adicción a Internet, según Hilarie Cash, directora ejecutiva del centro de rehabilitación ReSTART de las afueras de Seattle. Tres de los siguientes síntomas pueden reflejar abuso, cinco o más adicción:

• Uno pasa cada vez más tiempo en Internet.
• No consigue controlar esa dependencia.
• Sentimiento de euforia cuando está en Internet.
• Ansiedad por pasar más tiempo en Internet; desasosiego cuando no está allí.
• Desatención de familiares y amigos.
• Le miente a otros sobre el tiempo que le dedica a la red.
• El Internet interfiere con su trabajo o con los estudios.
• Sentimiento de culpa o vergüenza por la cantidad de tiempo que pasa en la red.
• Cambios en los hábitos de sueño.
• Cambios en el peso, dolores de la columna, dolores de cabeza, síndrome del túnel carpiano.
• Alejamiento de otras actividades.

Nota de Enfoque Seguro: A decir verdad ¿no es lo mismo con todas las adicciones? aunque la importancia de este tema es que ya se está tomando con seriedad el manejo de Internet.

Enfoque Seguro

Vía: El Nacional