SlideShare a Scribd company logo

Symantec ultimas tácticas de phishing para las empresas en 2012

Eugenio Velazquez
Eugenio Velazquez
1 of 9
Download to read offline
TÁCTICAS DE PHISHING WHITE PAPER: White Paper Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012
Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 ÍNDICE Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 El phishing no conoce límites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Los phishers chinos, cada vez más agresivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 El auge de los ataques a los servidores virtuales compartidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Los spammers siguen siendo más activos en vacaciones y durante acontecimientos internacionales . . . 4 La actual situación económica es terreno abonado para el phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Amenazas que combinan phishing y malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Ataques «Man in the Middle» (MitM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Estafas de phishing con mensajes de texto a través del móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Cómo pueden afectar los ataques de phishing a su empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Proteja su empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Enseñe a sus clientes y empleados a protegerse contra el fraude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Los phishers, unos adversarios camaleónicos y duros de pelar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2
Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Introducción El phishing, o la suplantación de identidad, uno de los delitos con más auge en la Red durante los últimos años, supone una importante amenaza para particulares y empresas. Se calcula que en 2011 este tipo de ataques aumentó en un 37 por ciento con respecto a 2010.1 Hoy en día no hace falta ser ningún experto para cometer un fraude por Internet. Está al alcance de cualquier hacker que se lo proponga, gracias a las herramientas estándar de phishing que circulan por el floreciente ecosistema de la ciberdelincuencia. Es más, los delincuentes informáticos están evolucionando hacia un nuevo modelo de negocio conocido como MaaS (‘malware como servicio’), en el que los autores de los kits de intrusión ofrecen servicios adicionales a sus clientes, además del kit propiamente dicho.2 Las consecuencias para las empresas pueden ser realmente graves. Según ha calculado RSA en su informe de fraudes publicado en octubre de 2011, solo en el primer semestre de 2011 las pérdidas a nivel internacional causadas por los ataques de phishing costaron más de 520 millones de dólares.3 Cualquiera que sea la amenaza —ya sea que los empleados o clientes sean víctimas de un engaño, o que el sitio web de la empresa sufra una intrusión—, la suplantación de identidad es un problema que hay que tener muy en cuenta. Las empresas deben estar al corriente de los modernos métodos empleados por los atacantes y adoptar las medidas preventivas necesarias para protegerse contra el fraude. En este artículo se aborda el auge y las tendencias de las actuales estrategias de phishing, las consecuencias que tales prácticas tienen para las empresas y las posibles soluciones tecnológicas que las empresas pueden implantar para protegerse a sí mismas y a sus clientes. El phishing no conoce límites El phishing —el arte de atraer a internautas ingenuos para apoderarse de datos confidenciales, tales como nombres de usuario, contraseñas y números de tarjetas de crédito, mediante comunicados electrónicos en apariencia legítimos—, supone una grave amenaza tanto para los particulares como para las empresas. Este tipo de fraude ha proliferado con rapidez desde su aparición hace diez años: se calcula que diariamente se cometen unos ocho millones de intentos de phishing en todo el mundo.4 En 2011, uno de cada 300 correos electrónicos enviados por la Red estaba relacionado con la práctica del phishing.5 APWG (Anti-Phishing Working Group) cuantificó en nada menos que 112 472 los ataques únicos de phishing recibidos en los dominios de primer nivel durante la primera mitad de 2011 en todo el mundo.6 Aunque esta cifra supera con creces los 42 624 ataques que APWG observó en la segunda mitad de 2010, no llegó a los 126 697 registrados durante la segunda mitad de 2009, cuando la red zombi Avalanche se encontraba en pleno apogeo. Aun así, en estos ataques se utilizaron 79 753 nombres de dominio únicos, el mayor registro desde 2007 (véase la Figura 1). 1 RSA: October Fraud Report, RSA, octubre de 2011. 2 Verisign iDefense 2012 Cyber Threats and Trends, Verisign, 2012. 3 RSA: October Fraud Report, RSA, octubre de 2011. 4 Counterfeiting & Spear Phishing — Growth Scams of 2009, Trade Me, Infonews.co.nz, 2 de marzo de 2009. 5 RSA: October Fraud Report, RSA, octubre de 2011. 6 Global Phishing Survey 1H2011: Trends and Domain Name Use, Anti-Phishing Working Group. 3
Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Este incremento se atribuye a dos tendencias nuevas: por un lado, los phishers chinos han estado registrando una gran cantidad de nombres de dominio y, por otro, los hackers instigaron una campaña masiva contra los servidores en los que se alojan una gran cantidad de dominios. Estadísticas básicas 140 000 Nombres de dominio de phishing 120 000 100 000 Ataques 80 000 60 000 40 000 20 000 0 1.ª mitad 2009 2.ª mitad 2009 1.ª mitad 2010 2.ª mitad 2010 1.ª mitad 2011 Figura 1: Sigue la tendencia al alza de los ataques de phishing y los nombres de dominio utilizados.* Los phishers chinos, cada vez más agresivos Los ataques perpetrados por phishers chinos aumentaron sustancialmente en la segunda mitad de 2010 y la primera de 2011.7 Se les atribuye nada menos que el 70 por ciento de los nombres de dominio que se registraron en el mundo con fines ilícitos. En la primera mitad de 2011, los ataques de phishing chinos aumentaron en un 44 por ciento con respecto a la segunda mitad de 2010.8 El auge de los ataques a los servidores virtuales compartidos Aunque los hackers siempre se las ingenian para usar nuevas técnicas de phishing, esta en concreto es una estrategia antigua —aunque poco conocida— que ha vuelto a cobrar protagonismo en la actualidad. En este tipo de ataques, el phisher irrumpe en un servidor web donde están alojados una gran cantidad de dominios y coloca el contenido malicioso en cada uno de ellos, de manera que todos los dominios del servidor exhiben páginas de phishing. De este modo, son capaces de infectar miles de sitios web simultáneamente. APWG identificó 42 448 ataques únicos que siguieron esta estrategia, lo que representa el 37 por ciento de todos los ataques de phishing registrados en el mundo.9 Los spammers siguen estando más activos en vacaciones y durante acontecimientos internacionales En los días previos al periodo navideño de 2011, los spammers engañaron a un buen número de comerciantes legítimos ofreciéndoles «jugosos descuentos» en toda una serie de productos. Asimismo, se detectaron numerosas campañas de phishing relacionadas con el terremoto de Japón de 2011, el movimiento de la primavera árabe y otros acontecimientos internacionales importantes. Tras el habitual embate del día de San Valentín, los expertos prevén un alud de correos electrónicos los días antes de las Olimpiadas de Londres.10 Los ataques dirigidos a organizaciones concretas, aunque ya no aparecen tanto en la prensa como en años anteriores, aumentan considerablemente durante los periodos vacacionales, cuando las empresas tienen menos personal velando por las operaciones de seguridad. De esta forma, los delincuentes tienen muchas más posibilidades de lograr su objetivo. Cabría hacer la salvedad de que la tendencia parece menos acusada durante las vacaciones navideñas. Una posible explicación a este hecho es que, aunque hay menos técnicos en la empresa dedicados a la seguridad, también es cierto que hay muchos menos empleados trabajando, por lo que también son menores las posibilidades de que alguien abra archivos adjuntos fraudulentos. 7 Ibid. 8 Ibid. 9 Ibid. 10 Symantec Intelligence Report, Symantec, enero de 2012. * Fuente: APWG 4
Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 La actual situación económica es terreno abonado para el phishing El clima de incertidumbre económica ofrece a los delincuentes muchas más oportunidades para llevar a cabo sus fechorías. Por ejemplo, una de las estafas más habituales consiste en recibir un correo electrónico que simula provenir de una entidad bancaria que recientemente ha adquirido el banco o caja de ahorros de la víctima, por lo que supuestamente pasa a convertirse en acreedor del préstamo, hipoteca, etc.11 La gran cantidad de fusiones y adquisiciones del sector genera confusión entre los consumidores, agravada por el hecho de que los clientes no reciben la información que debieran. En tales circunstancias, los phishers están en su salsa. Amenazas que combinan phishing y malware Para aumentar las posibilidades de éxito, algunos ataques combinan técnicas de phishing y malware en lo que podríamos llamar un modelo de ataque mixto. Por ejemplo, supongamos que la posible víctima recibe el enlace a una postal electrónica en un correo electrónico aparentemente legítimo. Al hacer clic en el enlace para ver la tarjeta, la víctima en realidad accede a un sitio web fraudulento que descarga un troyano en su ordenador (o, por ejemplo, muestra un mensaje instándole a descargar una determinada actualización de software para poder ver la tarjeta). Y la víctima confiada descarga el software, que no es otra cosa que un keylogger, un programa intruso que registra las pulsaciones del teclado. Los keyloggers utilizados en la suplantación de identidad incorporan unos componentes de rastreo que hacen un seguimiento de acciones concretas (y de organizaciones concretas, como en el caso de instituciones financieras y comercios en línea) para sustraer datos confidenciales, tales como números de cuentas, nombres de usuario y contraseñas. Otro tipo de troyanos con los que se puede obtener información confidencial son los redireccionadores, unos programas que redirigen el tráfico de los usuarios a un sitio fraudulento. Ataques «Man in the Middle» (MitM) En 2008 apareció un nuevo tipo de malware con el que se podía falsificar una sesión cifrada. Se trata de una variante del clásico ataque «Man in the Middle» («con intermediario», en castellano) que utilizan los delincuentes para acceder a contraseñas o a información confidencial que circula de forma desprotegida por la Red. Estafas de phishing con mensajes de texto a través del móvil Haciéndose pasar por una institución financiera real, los atacantes utilizan los mensajes SMS como alternativa al correo electrónico para tratar de robar datos confidenciales de las cuentas bancarias. En una práctica que se conoce como smishing, la estafa típica consiste en informar al titular del teléfono móvil de que alguien ha entrado en su cuenta sin su consentimiento o que su tarjeta de crédito ha sido desactivada. Acto seguido, se explica a la víctima que para reactivar la tarjeta debe llamar a un determinado número de teléfono o visitar un sitio web que es naturalmente falso. Una vez en el sitio, o mediante un sistema telefónico automatizado, se le solicita el número de la tarjeta, su código PIN o el número de la cuenta. Cómo pueden afectar los ataques de phishing a su empresa Aunque el sector financiero sigue siendo uno de los objetivos preferidos por los atacantes, en realidad no es el único vulnerable a las amenazas. Los sitios web de subastas, servicios de pago, comercios y redes sociales también son objetivos habituales de la delincuencia en la Red. APWG ha constatado un aumento exponencial de los ataques dirigidos a operadoras y a fabricantes de teléfonos móviles. En resumidas cuentas, ningún negocio ni ninguna marca está completamente a salvo. 11 FTC Consumer Alert: Bank Failures, Mergers and Takeovers: A Phish-erman’s Special, www.ftc.gov. 5
Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Los ataques que suplantan el sitio web oficinal de una empresa perjudican su imagen de marca en Internet y disuaden a los clientes de utilizar sus servicios por temor a ser víctimas de un fraude. Además de los costes directos de las pérdidas por fraude, las empresas cuyos clientes son víctimas de una estafa de phishing también se exponen a otros riesgos: • Caída de los ingresos por Internet o menor uso de los servicios debido a la pérdida de confianza de los clientes • Posibles sanciones administrativas si se ponen en peligro los datos confidenciales de los clientes Incluso los ataques dirigidos a marcas ajenas pueden afectar al propio negocio. El temor de los clientes puede hacer que dejen de realizar transacciones con empresas en las que no confíen plenamente. Proteja su empresa Aunque no existe ninguna solución milagrosa, hay tecnologías que pueden proteger su empresa y a sus clientes. Muchas de las técnicas de phishing actuales se basan en atraer a los clientes a sitios web fraudulentos para robar información confidencial. Las tecnologías como Secure Sockets Layer (SSL) y SSL con Extended Validation (EV) son fundamentales para combatir la suplantación de identidad y otras estafas en la Red, ya que cifran la información confidencial y ayudan a los clientes a autenticar el sitio web. Las prácticas de seguridad recomendadas exigen implantar los máximos niveles de cifrado y autenticación posibles para protegerse contra el fraude online y fomentar la confianza del cliente en la marca. La tecnología SSL, el estándar mundial de seguridad en Internet, cifra y protege la información que se transmite a través de la Red mediante el protocolo HTTPS, cuyo uso está enormemente extendido. Esta tecnología protege los datos en tránsito, ya que cuando se envían sin cifrar corren el riesgo de que alguien los intercepte y manipule. Es compatible con los principales sistemas operativos, navegadores, aplicaciones de Internet y hardware de servidores. Para evitar que los ataques de phishing logren sus objetivos y mermen la confianza de los clientes, las empresas también necesitan un modo de demostrar a los clientes que son un negocio legítimo. Los certificados SSL con Extended Validation (EV) son la mejor solución, ya que ofrecen el máximo grado de autenticación posible y proporcionan una prueba tangible a los usuarios de que efectivamente se trata de un sitio web legítimo. SSL con Extended Validation proporciona a los visitantes del sitio una manera fácil y fiable de fomentar la confianza online: el navegador muestra la barra de direcciones en color verde, en la que consta el nombre de la empresa titular del certificado SSL y el nombre de la autoridad emisora. La Figura 2 muestra el aspecto que tiene la barra de direcciones de color verde en Internet Explorer. 6
Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Figura 2. Barra de direcciones de color verde, característica del certificado SSL con EV Gracias a esta característica barra, los visitantes pueden asegurarse de que la transacción está cifrada y de que la empresa ha sido autenticada con las normas más rigurosas del sector. Así, los atacantes ya no pueden beneficiarse del hecho de que los visitantes no se den cuenta de que la sesión no es segura. Los estafadores son expertos a la hora de crear réplicas exactas de sitios web legítimos pero, sin el certificado SSL con EV emitido para la empresa, no podrán hacer que el nombre de esta aparezca en la barra de direcciones, ya que no es algo que puedan controlar. Y tampoco pueden obtener los certificados SSL con EV de la empresa legítima debido al riguroso proceso de autenticación. Enseñe a sus clientes y empleados a protegerse contra el fraude Además de implantar la tecnología SSL con EV, las empresas deben seguir enseñando a sus clientes y empleados a protegerse contra el fraude en Internet. Explíqueles los típicos indicios de un ataque de phishing, por ejemplo: • Errores ortográficos (menos habituales a medida que los ataques se van sofisticando) • Saludos genéricos en lugar de personalizados, enlaces que urgen a realizar alguna acción • Amenazas relativas al estado de una cuenta • Solicitud de datos personales • Nombres de dominio o enlaces falsos Asimismo, antes de solicitar a sus clientes información personal o confidencial, explíqueles que hay modos de asegurarse de que un sitio web es legítimo y seguro, por ejemplo: • La barra de direcciones es de color verde • La URL va precedida de HTTPS • Al hacer clic en el icono del candado, se puede comprobar que la información del certificado se corresponde con el sitio web que quieren visitar Facilitar este tipo de información a los clientes es un aspecto esencial que refuerza la confianza para vencer el temor a caer en la trampa del phishing. Si pueden determinar por sí mismos que al visitar el sitio web están en buenas manos, los beneficios para su empresa son incuestionables, ya que podrá aumentar los ingresos, diferenciarse de la competencia y ahorrarse costes operativos al generar más transacciones online. 7
Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Los phishers, unos adversarios camaleónicos y duros de pelar Los ataques de phishing no dejarán de adoptar nuevas formas que se aprovechen de sentimientos tan humanos como la compasión, la confianza o la curiosidad. Proteger su empresa y su marca frente a estos ataques requiere una gran dosis de rigor y perseverancia, pero las ventajas que conlleva no se limitan a que las pérdidas por fraude sean mucho menores. Si enseña a los clientes a defenderse y les proporciona el máximo nivel de protección que garantizan los certificados SSL con EV, fomentará su confianza en los servicios de su empresa. Afianzar el liderazgo de su empresa en la seguridad online le servirá para atraer a más clientes y generar nuevas fuentes de ingresos. Para obtener la información más reciente sobre las tendencias de phishing en el mundo, visite nuestro Symantec Monthly Intelligence Report. Glosario Autoridad de certificación (CA): Empresa externa de confianza que emite certificados digitales, como por ejemplo los certificados Secure Sockets Layer (SSL), después de verificar la información incluida en los certificados. Cifrado: Proceso de alterar un mensaje para hacerlo ininteligible, de modo que solo puedan acceder a él las personas a las que va destinado. La tecnología Secure Sockets Layer (SSL) establece un canal de comunicación privado en el que los datos se transmiten cifrados por Internet para proteger la información confidencial frente a las interceptaciones electrónicas. Certificado SSL con Extended Validation (EV): Requiere unas exigentes normas de verificación para los certificados SSL establecidas por una entidad externa, el CA/Browser Forum. En Microsoft® Internet Explorer 7 y otros navegadores seguros utilizados habitualmente, en los sitios web protegidos mediante certificados SSL con Extended Validation la barra de direcciones URL aparece en color verde. HTTPS: Las páginas web cuya URL empieza por HTTPS en lugar de HTTP garantizan la transmisión segura de la información a través del protocolo HTTP seguro. HTTPS es una medida de seguridad en la que los usuarios se deben fijar a la hora de enviar o compartir información confidencial, como por ejemplo números de tarjetas de crédito, registros de datos privados o información de empresas asociadas. Tecnología Secure Sockets Layer (SSL): Tanto la tecnología SSL como su sucesora, la tecnología TLS (Transport Layer Security), utilizan la criptografía para garantizar la protección de las transacciones realizadas por Internet. La tecnología SSL utiliza dos claves para cifrar y descifrar datos: una clave pública conocida y otra privada o secreta que solo conoce el destinatario del mensaje. Certificado SSL: Los certificados SSL incorporan una firma digital que vincula una clave pública con una identidad. Sirven para cifrar la información confidencial durante las transacciones online y, en el caso de los certificados con validación de la empresa, también sirven como prueba fehaciente de la identidad del propietario del certificado. 8
Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Más información Visite nuestro sitio web http://go.symantec.com/ssl-certificates Para contactar con un especialista en nuestros productos Llame al 900 93 1298 o al +41 26 429 7727. Acerca de Symantec Symantec es líder mundial en soluciones de gestión de sistemas, almacenamiento y seguridad. Su objetivo es ayudar a empresas y particulares a gestionar y proteger sus datos en un mundo cada vez más dominado por la información. Nuestros servicios y programas garantizan una protección más completa y eficaz frente a una mayor cantidad de riesgos, lo que es sinónimo de tranquilidad sea cual sea el medio donde se utilice o almacene la información. Symantec Spain S.L. Parque Empresarial La Finca – Somosaguas, Paseo del Club Deportivo, Edificio 13, oficina D1, 28223, Pozuelo de Alarcón, Madrid, España www.symantec.es Copyright © 2012 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec y el emblema del círculo con la marca de verificación son marcas comerciales o marcas registradas de Symantec Corporation o sus filiales en los Estados Unidos y otros países. VeriSign, VeriSign Trust y otras marcas relacionadas son marcas comerciales o marcas registradas de VeriSign, Inc., sus filiales o subsidiarias en los Estados Unidos y otros países, otorgadas bajo licencia a Symantec Corporation. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.

Recommended

Términos instrucción pai
Términos instrucción paiTérminos instrucción pai
Términos instrucción paiMichael Castillo
 
Vishing
VishingVishing
Vishingtatimantilla
 
Phishing
PhishingPhishing
Phishing99i
 
Phishing
PhishingPhishing
Phishingwalkeralarcon
 
Vishing[1]
Vishing[1]Vishing[1]
Vishing[1]emily061193
 
sexting y sus consecuencias
sexting y sus consecuencias sexting y sus consecuencias
sexting y sus consecuenciaslaurablanco123
 
Sexting
SextingSexting
SextingDaniela Mejía ʚĭɞ
 
El sexting
El sextingEl sexting
El sextingacuesta0914
 

Recommended

Términos instrucción pai
Términos instrucción paiTérminos instrucción pai
Términos instrucción paiMichael Castillo
 
Vishing
VishingVishing
Vishingtatimantilla
 
Phishing
PhishingPhishing
Phishing99i
 
Phishing
PhishingPhishing
Phishingwalkeralarcon
 
Vishing[1]
Vishing[1]Vishing[1]
Vishing[1]emily061193
 
sexting y sus consecuencias
sexting y sus consecuencias sexting y sus consecuencias
sexting y sus consecuenciaslaurablanco123
 
Sexting
SextingSexting
SextingDaniela Mejía ʚĭɞ
 
El sexting
El sextingEl sexting
El sextingacuesta0914
 
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWordÍndice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWordTelefónica
 
libro blanco dev 2017.pdf
libro blanco dev 2017.pdflibro blanco dev 2017.pdf
libro blanco dev 2017.pdfGermaineSperbergDuha
 
Informe de Digitalización de Autónomos y Pymes - España 2016
Informe de Digitalización de Autónomos y Pymes - España 2016Informe de Digitalización de Autónomos y Pymes - España 2016
Informe de Digitalización de Autónomos y Pymes - España 2016Alvaro Alfonso
 
Digitalización de Autónomos y pymes en España 2016
Digitalización de Autónomos y pymes en España 2016Digitalización de Autónomos y pymes en España 2016
Digitalización de Autónomos y pymes en España 2016Alfredo Vela Zancada
 
Informe sobre Digitalización de pymes en España
Informe sobre Digitalización de pymes en EspañaInforme sobre Digitalización de pymes en España
Informe sobre Digitalización de pymes en EspañaDelivery Media
 
AF INFORME DIGITALIZACION VODAFONE
AF INFORME DIGITALIZACION VODAFONEAF INFORME DIGITALIZACION VODAFONE
AF INFORME DIGITALIZACION VODAFONEJuan Mohedano
 
Estudio phishing observatorio_inteco
Estudio phishing observatorio_intecoEstudio phishing observatorio_inteco
Estudio phishing observatorio_intecoSonia Papapapaaya
 
Telefonia Movil Y Desarrollo Financiero En America Latina
Telefonia Movil Y Desarrollo Financiero En America LatinaTelefonia Movil Y Desarrollo Financiero En America Latina
Telefonia Movil Y Desarrollo Financiero En America LatinaDeepSmarts
 
16º Estudio del AIMC sobre navegantes en la red - Feb 2014
16º Estudio del AIMC sobre navegantes en la red - Feb 2014 16º Estudio del AIMC sobre navegantes en la red - Feb 2014
16º Estudio del AIMC sobre navegantes en la red - Feb 2014 GroupM Spain
 
Spam1
Spam1Spam1
Spam1maria emilia
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
Telefonia móvil y el desarrollo financiero en america latina
Telefonia móvil y el desarrollo financiero en america latinaTelefonia móvil y el desarrollo financiero en america latina
Telefonia móvil y el desarrollo financiero en america latinaMOMO BUENOSAIRES
 
Guia practica prevención morosidad
Guia practica prevención morosidadGuia practica prevención morosidad
Guia practica prevención morosidadIgnacio Jimenez
 
Guiapracticaprevencinmorosidadespanaindice 121217011749-phpapp01
Guiapracticaprevencinmorosidadespanaindice 121217011749-phpapp01Guiapracticaprevencinmorosidadespanaindice 121217011749-phpapp01
Guiapracticaprevencinmorosidadespanaindice 121217011749-phpapp01Pere Brachfield
 
Guia practica morosidad_espana_indice
Guia practica morosidad_espana_indiceGuia practica morosidad_espana_indice
Guia practica morosidad_espana_indiceDAVID DE LUCAS
 
Índice del libro "Ciberseguridad de tú a tú" de 0xWord
Índice del libro "Ciberseguridad de tú a tú" de 0xWordÍndice del libro "Ciberseguridad de tú a tú" de 0xWord
Índice del libro "Ciberseguridad de tú a tú" de 0xWordTelefónica
 
Guia gamers final 2
Guia gamers final 2Guia gamers final 2
Guia gamers final 2ESET Latinoamérica
 
Ipi final grupo 4
Ipi final grupo 4Ipi final grupo 4
Ipi final grupo 4MarlonPumaquispesaya
 
La evolucion de internet reducido
La evolucion de internet reducidoLa evolucion de internet reducido
La evolucion de internet reducidocpjk
 
Social media-ior-las-relaciones-como-moneda-de-rentabilidad-111002084244-phpa...
Social media-ior-las-relaciones-como-moneda-de-rentabilidad-111002084244-phpa...Social media-ior-las-relaciones-como-moneda-de-rentabilidad-111002084244-phpa...
Social media-ior-las-relaciones-como-moneda-de-rentabilidad-111002084244-phpa...Alaztxu
 
SafeDNS para INTEGRADORES
SafeDNS para INTEGRADORESSafeDNS para INTEGRADORES
SafeDNS para INTEGRADORESEugenio Velazquez
 
SafeDNS para EMPRESAS
SafeDNS para EMPRESASSafeDNS para EMPRESAS
SafeDNS para EMPRESASEugenio Velazquez
 

More Related Content

Similar to Symantec ultimas tácticas de phishing para las empresas en 2012

Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWordÍndice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWordTelefónica
 
Informe de Digitalización de Autónomos y Pymes - España 2016
Informe de Digitalización de Autónomos y Pymes - España 2016Informe de Digitalización de Autónomos y Pymes - España 2016
Informe de Digitalización de Autónomos y Pymes - España 2016Alvaro Alfonso
 
Digitalización de Autónomos y pymes en España 2016
Digitalización de Autónomos y pymes en España 2016Digitalización de Autónomos y pymes en España 2016
Digitalización de Autónomos y pymes en España 2016Alfredo Vela Zancada
 
Informe sobre Digitalización de pymes en España
Informe sobre Digitalización de pymes en EspañaInforme sobre Digitalización de pymes en España
Informe sobre Digitalización de pymes en EspañaDelivery Media
 
AF INFORME DIGITALIZACION VODAFONE
AF INFORME DIGITALIZACION VODAFONEAF INFORME DIGITALIZACION VODAFONE
AF INFORME DIGITALIZACION VODAFONEJuan Mohedano
 
Estudio phishing observatorio_inteco
Estudio phishing observatorio_intecoEstudio phishing observatorio_inteco
Estudio phishing observatorio_intecoSonia Papapapaaya
 
Telefonia Movil Y Desarrollo Financiero En America Latina
Telefonia Movil Y Desarrollo Financiero En America LatinaTelefonia Movil Y Desarrollo Financiero En America Latina
Telefonia Movil Y Desarrollo Financiero En America LatinaDeepSmarts
 
16º Estudio del AIMC sobre navegantes en la red - Feb 2014
16º Estudio del AIMC sobre navegantes en la red - Feb 2014 16º Estudio del AIMC sobre navegantes en la red - Feb 2014
16º Estudio del AIMC sobre navegantes en la red - Feb 2014 GroupM Spain
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
Telefonia móvil y el desarrollo financiero en america latina
Telefonia móvil y el desarrollo financiero en america latinaTelefonia móvil y el desarrollo financiero en america latina
Telefonia móvil y el desarrollo financiero en america latinaMOMO BUENOSAIRES
 
Guia practica prevención morosidad
Guia practica prevención morosidadGuia practica prevención morosidad
Guia practica prevención morosidadIgnacio Jimenez
 
Guiapracticaprevencinmorosidadespanaindice 121217011749-phpapp01
Guiapracticaprevencinmorosidadespanaindice 121217011749-phpapp01Guiapracticaprevencinmorosidadespanaindice 121217011749-phpapp01
Guiapracticaprevencinmorosidadespanaindice 121217011749-phpapp01Pere Brachfield
 
Guia practica morosidad_espana_indice
Guia practica morosidad_espana_indiceGuia practica morosidad_espana_indice
Guia practica morosidad_espana_indiceDAVID DE LUCAS
 
Índice del libro "Ciberseguridad de tú a tú" de 0xWord
Índice del libro "Ciberseguridad de tú a tú" de 0xWordÍndice del libro "Ciberseguridad de tú a tú" de 0xWord
Índice del libro "Ciberseguridad de tú a tú" de 0xWordTelefónica
 
La evolucion de internet reducido
La evolucion de internet reducidoLa evolucion de internet reducido
La evolucion de internet reducidocpjk
 
Social media-ior-las-relaciones-como-moneda-de-rentabilidad-111002084244-phpa...
Social media-ior-las-relaciones-como-moneda-de-rentabilidad-111002084244-phpa...Social media-ior-las-relaciones-como-moneda-de-rentabilidad-111002084244-phpa...
Social media-ior-las-relaciones-como-moneda-de-rentabilidad-111002084244-phpa...Alaztxu
 

Similar to Symantec ultimas tácticas de phishing para las empresas en 2012 (20)

Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWordÍndice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
 
libro blanco dev 2017.pdf
libro blanco dev 2017.pdflibro blanco dev 2017.pdf
libro blanco dev 2017.pdf
 
Informe de Digitalización de Autónomos y Pymes - España 2016
Informe de Digitalización de Autónomos y Pymes - España 2016Informe de Digitalización de Autónomos y Pymes - España 2016
Informe de Digitalización de Autónomos y Pymes - España 2016
 
Digitalización de Autónomos y pymes en España 2016
Digitalización de Autónomos y pymes en España 2016Digitalización de Autónomos y pymes en España 2016
Digitalización de Autónomos y pymes en España 2016
 
Informe sobre Digitalización de pymes en España
Informe sobre Digitalización de pymes en EspañaInforme sobre Digitalización de pymes en España
Informe sobre Digitalización de pymes en España
 
AF INFORME DIGITALIZACION VODAFONE
AF INFORME DIGITALIZACION VODAFONEAF INFORME DIGITALIZACION VODAFONE
AF INFORME DIGITALIZACION VODAFONE
 
Estudio phishing observatorio_inteco
Estudio phishing observatorio_intecoEstudio phishing observatorio_inteco
Estudio phishing observatorio_inteco
 
Telefonia Movil Y Desarrollo Financiero En America Latina
Telefonia Movil Y Desarrollo Financiero En America LatinaTelefonia Movil Y Desarrollo Financiero En America Latina
Telefonia Movil Y Desarrollo Financiero En America Latina
 
16º Estudio del AIMC sobre navegantes en la red - Feb 2014
16º Estudio del AIMC sobre navegantes en la red - Feb 2014 16º Estudio del AIMC sobre navegantes en la red - Feb 2014
16º Estudio del AIMC sobre navegantes en la red - Feb 2014
 
Spam1
Spam1Spam1
Spam1
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
 
Telefonia móvil y el desarrollo financiero en america latina
Telefonia móvil y el desarrollo financiero en america latinaTelefonia móvil y el desarrollo financiero en america latina
Telefonia móvil y el desarrollo financiero en america latina
 
Guia practica prevención morosidad
Guia practica prevención morosidadGuia practica prevención morosidad
Guia practica prevención morosidad
 
Guiapracticaprevencinmorosidadespanaindice 121217011749-phpapp01
Guiapracticaprevencinmorosidadespanaindice 121217011749-phpapp01Guiapracticaprevencinmorosidadespanaindice 121217011749-phpapp01
Guiapracticaprevencinmorosidadespanaindice 121217011749-phpapp01
 
Guia practica morosidad_espana_indice
Guia practica morosidad_espana_indiceGuia practica morosidad_espana_indice
Guia practica morosidad_espana_indice
 
Índice del libro "Ciberseguridad de tú a tú" de 0xWord
Índice del libro "Ciberseguridad de tú a tú" de 0xWordÍndice del libro "Ciberseguridad de tú a tú" de 0xWord
Índice del libro "Ciberseguridad de tú a tú" de 0xWord
 
Guia gamers final 2
Guia gamers final 2Guia gamers final 2
Guia gamers final 2
 
Ipi final grupo 4
Ipi final grupo 4Ipi final grupo 4
Ipi final grupo 4
 
La evolucion de internet reducido
La evolucion de internet reducidoLa evolucion de internet reducido
La evolucion de internet reducido
 
Social media-ior-las-relaciones-como-moneda-de-rentabilidad-111002084244-phpa...
Social media-ior-las-relaciones-como-moneda-de-rentabilidad-111002084244-phpa...Social media-ior-las-relaciones-como-moneda-de-rentabilidad-111002084244-phpa...
Social media-ior-las-relaciones-como-moneda-de-rentabilidad-111002084244-phpa...
 

More from Eugenio Velazquez

SafeDNS para NEGOCIOS y EMPRESA
SafeDNS para NEGOCIOS y EMPRESASafeDNS para NEGOCIOS y EMPRESA
SafeDNS para NEGOCIOS y EMPRESAEugenio Velazquez
 
Adobe Social Marketing para Search Marketers
Adobe Social Marketing para Search MarketersAdobe Social Marketing para Search Marketers
Adobe Social Marketing para Search MarketersEugenio Velazquez
 
Adobe Estrategias de e-Marketing
Adobe Estrategias de e-MarketingAdobe Estrategias de e-Marketing
Adobe Estrategias de e-MarketingEugenio Velazquez
 
Presentación de CorelDRAW Graphics Suite X5
Presentación de CorelDRAW Graphics Suite X5Presentación de CorelDRAW Graphics Suite X5
Presentación de CorelDRAW Graphics Suite X5Eugenio Velazquez
 
Reporte de tendencias del malware estimadas para 2011
Reporte de tendencias del malware estimadas para 2011Reporte de tendencias del malware estimadas para 2011
Reporte de tendencias del malware estimadas para 2011Eugenio Velazquez
 
ESET - Tendencias del Malware para 2011
ESET - Tendencias del Malware para 2011ESET - Tendencias del Malware para 2011
ESET - Tendencias del Malware para 2011Eugenio Velazquez
 
Ultimo Post de e-Volution en CNN Expansion
Ultimo Post de e-Volution en CNN ExpansionUltimo Post de e-Volution en CNN Expansion
Ultimo Post de e-Volution en CNN ExpansionEugenio Velazquez
 
Openbravo - Presentación de Producto
Openbravo - Presentación de ProductoOpenbravo - Presentación de Producto
Openbravo - Presentación de ProductoEugenio Velazquez
 

More from Eugenio Velazquez (18)

SafeDNS para INTEGRADORES
SafeDNS para INTEGRADORESSafeDNS para INTEGRADORES
SafeDNS para INTEGRADORES
 
SafeDNS para EMPRESAS
SafeDNS para EMPRESASSafeDNS para EMPRESAS
SafeDNS para EMPRESAS
 
PRESENTACION de SafeDNS
PRESENTACION de SafeDNSPRESENTACION de SafeDNS
PRESENTACION de SafeDNS
 
SafeDNS para NEGOCIOS y EMPRESA
SafeDNS para NEGOCIOS y EMPRESASafeDNS para NEGOCIOS y EMPRESA
SafeDNS para NEGOCIOS y EMPRESA
 
Tutorial de Evernote
Tutorial de EvernoteTutorial de Evernote
Tutorial de Evernote
 
EaseUS Todo Backup EDITIONS
EaseUS Todo Backup EDITIONSEaseUS Todo Backup EDITIONS
EaseUS Todo Backup EDITIONS
 
Adobe Social Marketing para Search Marketers
Adobe Social Marketing para Search MarketersAdobe Social Marketing para Search Marketers
Adobe Social Marketing para Search Marketers
 
Adobe Estrategias de e-Marketing
Adobe Estrategias de e-MarketingAdobe Estrategias de e-Marketing
Adobe Estrategias de e-Marketing
 
Tutorial Prezi
Tutorial PreziTutorial Prezi
Tutorial Prezi
 
Presentación de CorelDRAW Graphics Suite X5
Presentación de CorelDRAW Graphics Suite X5Presentación de CorelDRAW Graphics Suite X5
Presentación de CorelDRAW Graphics Suite X5
 
Conecta tu Negocio
Conecta tu NegocioConecta tu Negocio
Conecta tu Negocio
 
ERP KEPLER
ERP KEPLERERP KEPLER
ERP KEPLER
 
Reporte de tendencias del malware estimadas para 2011
Reporte de tendencias del malware estimadas para 2011Reporte de tendencias del malware estimadas para 2011
Reporte de tendencias del malware estimadas para 2011
 
ESET - Tendencias del Malware para 2011
ESET - Tendencias del Malware para 2011ESET - Tendencias del Malware para 2011
ESET - Tendencias del Malware para 2011
 
Online conversions
Online conversionsOnline conversions
Online conversions
 
Ultimo Post de e-Volution en CNN Expansion
Ultimo Post de e-Volution en CNN ExpansionUltimo Post de e-Volution en CNN Expansion
Ultimo Post de e-Volution en CNN Expansion
 
WOT y CTN en Español
WOT y CTN en EspañolWOT y CTN en Español
WOT y CTN en Español
 
Openbravo - Presentación de Producto
Openbravo - Presentación de ProductoOpenbravo - Presentación de Producto
Openbravo - Presentación de Producto
 

Symantec ultimas tácticas de phishing para las empresas en 2012

  • 1. TÁCTICAS DE PHISHING WHITE PAPER: White Paper Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012
  • 2. Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 ÍNDICE Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 El phishing no conoce límites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Los phishers chinos, cada vez más agresivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 El auge de los ataques a los servidores virtuales compartidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Los spammers siguen siendo más activos en vacaciones y durante acontecimientos internacionales . . . 4 La actual situación económica es terreno abonado para el phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Amenazas que combinan phishing y malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Ataques «Man in the Middle» (MitM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Estafas de phishing con mensajes de texto a través del móvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Cómo pueden afectar los ataques de phishing a su empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Proteja su empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Enseñe a sus clientes y empleados a protegerse contra el fraude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Los phishers, unos adversarios camaleónicos y duros de pelar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2
  • 3. Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Introducción El phishing, o la suplantación de identidad, uno de los delitos con más auge en la Red durante los últimos años, supone una importante amenaza para particulares y empresas. Se calcula que en 2011 este tipo de ataques aumentó en un 37 por ciento con respecto a 2010.1 Hoy en día no hace falta ser ningún experto para cometer un fraude por Internet. Está al alcance de cualquier hacker que se lo proponga, gracias a las herramientas estándar de phishing que circulan por el floreciente ecosistema de la ciberdelincuencia. Es más, los delincuentes informáticos están evolucionando hacia un nuevo modelo de negocio conocido como MaaS (‘malware como servicio’), en el que los autores de los kits de intrusión ofrecen servicios adicionales a sus clientes, además del kit propiamente dicho.2 Las consecuencias para las empresas pueden ser realmente graves. Según ha calculado RSA en su informe de fraudes publicado en octubre de 2011, solo en el primer semestre de 2011 las pérdidas a nivel internacional causadas por los ataques de phishing costaron más de 520 millones de dólares.3 Cualquiera que sea la amenaza —ya sea que los empleados o clientes sean víctimas de un engaño, o que el sitio web de la empresa sufra una intrusión—, la suplantación de identidad es un problema que hay que tener muy en cuenta. Las empresas deben estar al corriente de los modernos métodos empleados por los atacantes y adoptar las medidas preventivas necesarias para protegerse contra el fraude. En este artículo se aborda el auge y las tendencias de las actuales estrategias de phishing, las consecuencias que tales prácticas tienen para las empresas y las posibles soluciones tecnológicas que las empresas pueden implantar para protegerse a sí mismas y a sus clientes. El phishing no conoce límites El phishing —el arte de atraer a internautas ingenuos para apoderarse de datos confidenciales, tales como nombres de usuario, contraseñas y números de tarjetas de crédito, mediante comunicados electrónicos en apariencia legítimos—, supone una grave amenaza tanto para los particulares como para las empresas. Este tipo de fraude ha proliferado con rapidez desde su aparición hace diez años: se calcula que diariamente se cometen unos ocho millones de intentos de phishing en todo el mundo.4 En 2011, uno de cada 300 correos electrónicos enviados por la Red estaba relacionado con la práctica del phishing.5 APWG (Anti-Phishing Working Group) cuantificó en nada menos que 112 472 los ataques únicos de phishing recibidos en los dominios de primer nivel durante la primera mitad de 2011 en todo el mundo.6 Aunque esta cifra supera con creces los 42 624 ataques que APWG observó en la segunda mitad de 2010, no llegó a los 126 697 registrados durante la segunda mitad de 2009, cuando la red zombi Avalanche se encontraba en pleno apogeo. Aun así, en estos ataques se utilizaron 79 753 nombres de dominio únicos, el mayor registro desde 2007 (véase la Figura 1). 1 RSA: October Fraud Report, RSA, octubre de 2011. 2 Verisign iDefense 2012 Cyber Threats and Trends, Verisign, 2012. 3 RSA: October Fraud Report, RSA, octubre de 2011. 4 Counterfeiting & Spear Phishing — Growth Scams of 2009, Trade Me, Infonews.co.nz, 2 de marzo de 2009. 5 RSA: October Fraud Report, RSA, octubre de 2011. 6 Global Phishing Survey 1H2011: Trends and Domain Name Use, Anti-Phishing Working Group. 3
  • 4. Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Este incremento se atribuye a dos tendencias nuevas: por un lado, los phishers chinos han estado registrando una gran cantidad de nombres de dominio y, por otro, los hackers instigaron una campaña masiva contra los servidores en los que se alojan una gran cantidad de dominios. Estadísticas básicas 140 000 Nombres de dominio de phishing 120 000 100 000 Ataques 80 000 60 000 40 000 20 000 0 1.ª mitad 2009 2.ª mitad 2009 1.ª mitad 2010 2.ª mitad 2010 1.ª mitad 2011 Figura 1: Sigue la tendencia al alza de los ataques de phishing y los nombres de dominio utilizados.* Los phishers chinos, cada vez más agresivos Los ataques perpetrados por phishers chinos aumentaron sustancialmente en la segunda mitad de 2010 y la primera de 2011.7 Se les atribuye nada menos que el 70 por ciento de los nombres de dominio que se registraron en el mundo con fines ilícitos. En la primera mitad de 2011, los ataques de phishing chinos aumentaron en un 44 por ciento con respecto a la segunda mitad de 2010.8 El auge de los ataques a los servidores virtuales compartidos Aunque los hackers siempre se las ingenian para usar nuevas técnicas de phishing, esta en concreto es una estrategia antigua —aunque poco conocida— que ha vuelto a cobrar protagonismo en la actualidad. En este tipo de ataques, el phisher irrumpe en un servidor web donde están alojados una gran cantidad de dominios y coloca el contenido malicioso en cada uno de ellos, de manera que todos los dominios del servidor exhiben páginas de phishing. De este modo, son capaces de infectar miles de sitios web simultáneamente. APWG identificó 42 448 ataques únicos que siguieron esta estrategia, lo que representa el 37 por ciento de todos los ataques de phishing registrados en el mundo.9 Los spammers siguen estando más activos en vacaciones y durante acontecimientos internacionales En los días previos al periodo navideño de 2011, los spammers engañaron a un buen número de comerciantes legítimos ofreciéndoles «jugosos descuentos» en toda una serie de productos. Asimismo, se detectaron numerosas campañas de phishing relacionadas con el terremoto de Japón de 2011, el movimiento de la primavera árabe y otros acontecimientos internacionales importantes. Tras el habitual embate del día de San Valentín, los expertos prevén un alud de correos electrónicos los días antes de las Olimpiadas de Londres.10 Los ataques dirigidos a organizaciones concretas, aunque ya no aparecen tanto en la prensa como en años anteriores, aumentan considerablemente durante los periodos vacacionales, cuando las empresas tienen menos personal velando por las operaciones de seguridad. De esta forma, los delincuentes tienen muchas más posibilidades de lograr su objetivo. Cabría hacer la salvedad de que la tendencia parece menos acusada durante las vacaciones navideñas. Una posible explicación a este hecho es que, aunque hay menos técnicos en la empresa dedicados a la seguridad, también es cierto que hay muchos menos empleados trabajando, por lo que también son menores las posibilidades de que alguien abra archivos adjuntos fraudulentos. 7 Ibid. 8 Ibid. 9 Ibid. 10 Symantec Intelligence Report, Symantec, enero de 2012. * Fuente: APWG 4
  • 5. Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 La actual situación económica es terreno abonado para el phishing El clima de incertidumbre económica ofrece a los delincuentes muchas más oportunidades para llevar a cabo sus fechorías. Por ejemplo, una de las estafas más habituales consiste en recibir un correo electrónico que simula provenir de una entidad bancaria que recientemente ha adquirido el banco o caja de ahorros de la víctima, por lo que supuestamente pasa a convertirse en acreedor del préstamo, hipoteca, etc.11 La gran cantidad de fusiones y adquisiciones del sector genera confusión entre los consumidores, agravada por el hecho de que los clientes no reciben la información que debieran. En tales circunstancias, los phishers están en su salsa. Amenazas que combinan phishing y malware Para aumentar las posibilidades de éxito, algunos ataques combinan técnicas de phishing y malware en lo que podríamos llamar un modelo de ataque mixto. Por ejemplo, supongamos que la posible víctima recibe el enlace a una postal electrónica en un correo electrónico aparentemente legítimo. Al hacer clic en el enlace para ver la tarjeta, la víctima en realidad accede a un sitio web fraudulento que descarga un troyano en su ordenador (o, por ejemplo, muestra un mensaje instándole a descargar una determinada actualización de software para poder ver la tarjeta). Y la víctima confiada descarga el software, que no es otra cosa que un keylogger, un programa intruso que registra las pulsaciones del teclado. Los keyloggers utilizados en la suplantación de identidad incorporan unos componentes de rastreo que hacen un seguimiento de acciones concretas (y de organizaciones concretas, como en el caso de instituciones financieras y comercios en línea) para sustraer datos confidenciales, tales como números de cuentas, nombres de usuario y contraseñas. Otro tipo de troyanos con los que se puede obtener información confidencial son los redireccionadores, unos programas que redirigen el tráfico de los usuarios a un sitio fraudulento. Ataques «Man in the Middle» (MitM) En 2008 apareció un nuevo tipo de malware con el que se podía falsificar una sesión cifrada. Se trata de una variante del clásico ataque «Man in the Middle» («con intermediario», en castellano) que utilizan los delincuentes para acceder a contraseñas o a información confidencial que circula de forma desprotegida por la Red. Estafas de phishing con mensajes de texto a través del móvil Haciéndose pasar por una institución financiera real, los atacantes utilizan los mensajes SMS como alternativa al correo electrónico para tratar de robar datos confidenciales de las cuentas bancarias. En una práctica que se conoce como smishing, la estafa típica consiste en informar al titular del teléfono móvil de que alguien ha entrado en su cuenta sin su consentimiento o que su tarjeta de crédito ha sido desactivada. Acto seguido, se explica a la víctima que para reactivar la tarjeta debe llamar a un determinado número de teléfono o visitar un sitio web que es naturalmente falso. Una vez en el sitio, o mediante un sistema telefónico automatizado, se le solicita el número de la tarjeta, su código PIN o el número de la cuenta. Cómo pueden afectar los ataques de phishing a su empresa Aunque el sector financiero sigue siendo uno de los objetivos preferidos por los atacantes, en realidad no es el único vulnerable a las amenazas. Los sitios web de subastas, servicios de pago, comercios y redes sociales también son objetivos habituales de la delincuencia en la Red. APWG ha constatado un aumento exponencial de los ataques dirigidos a operadoras y a fabricantes de teléfonos móviles. En resumidas cuentas, ningún negocio ni ninguna marca está completamente a salvo. 11 FTC Consumer Alert: Bank Failures, Mergers and Takeovers: A Phish-erman’s Special, www.ftc.gov. 5
  • 6. Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Los ataques que suplantan el sitio web oficinal de una empresa perjudican su imagen de marca en Internet y disuaden a los clientes de utilizar sus servicios por temor a ser víctimas de un fraude. Además de los costes directos de las pérdidas por fraude, las empresas cuyos clientes son víctimas de una estafa de phishing también se exponen a otros riesgos: • Caída de los ingresos por Internet o menor uso de los servicios debido a la pérdida de confianza de los clientes • Posibles sanciones administrativas si se ponen en peligro los datos confidenciales de los clientes Incluso los ataques dirigidos a marcas ajenas pueden afectar al propio negocio. El temor de los clientes puede hacer que dejen de realizar transacciones con empresas en las que no confíen plenamente. Proteja su empresa Aunque no existe ninguna solución milagrosa, hay tecnologías que pueden proteger su empresa y a sus clientes. Muchas de las técnicas de phishing actuales se basan en atraer a los clientes a sitios web fraudulentos para robar información confidencial. Las tecnologías como Secure Sockets Layer (SSL) y SSL con Extended Validation (EV) son fundamentales para combatir la suplantación de identidad y otras estafas en la Red, ya que cifran la información confidencial y ayudan a los clientes a autenticar el sitio web. Las prácticas de seguridad recomendadas exigen implantar los máximos niveles de cifrado y autenticación posibles para protegerse contra el fraude online y fomentar la confianza del cliente en la marca. La tecnología SSL, el estándar mundial de seguridad en Internet, cifra y protege la información que se transmite a través de la Red mediante el protocolo HTTPS, cuyo uso está enormemente extendido. Esta tecnología protege los datos en tránsito, ya que cuando se envían sin cifrar corren el riesgo de que alguien los intercepte y manipule. Es compatible con los principales sistemas operativos, navegadores, aplicaciones de Internet y hardware de servidores. Para evitar que los ataques de phishing logren sus objetivos y mermen la confianza de los clientes, las empresas también necesitan un modo de demostrar a los clientes que son un negocio legítimo. Los certificados SSL con Extended Validation (EV) son la mejor solución, ya que ofrecen el máximo grado de autenticación posible y proporcionan una prueba tangible a los usuarios de que efectivamente se trata de un sitio web legítimo. SSL con Extended Validation proporciona a los visitantes del sitio una manera fácil y fiable de fomentar la confianza online: el navegador muestra la barra de direcciones en color verde, en la que consta el nombre de la empresa titular del certificado SSL y el nombre de la autoridad emisora. La Figura 2 muestra el aspecto que tiene la barra de direcciones de color verde en Internet Explorer. 6
  • 7. Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Figura 2. Barra de direcciones de color verde, característica del certificado SSL con EV Gracias a esta característica barra, los visitantes pueden asegurarse de que la transacción está cifrada y de que la empresa ha sido autenticada con las normas más rigurosas del sector. Así, los atacantes ya no pueden beneficiarse del hecho de que los visitantes no se den cuenta de que la sesión no es segura. Los estafadores son expertos a la hora de crear réplicas exactas de sitios web legítimos pero, sin el certificado SSL con EV emitido para la empresa, no podrán hacer que el nombre de esta aparezca en la barra de direcciones, ya que no es algo que puedan controlar. Y tampoco pueden obtener los certificados SSL con EV de la empresa legítima debido al riguroso proceso de autenticación. Enseñe a sus clientes y empleados a protegerse contra el fraude Además de implantar la tecnología SSL con EV, las empresas deben seguir enseñando a sus clientes y empleados a protegerse contra el fraude en Internet. Explíqueles los típicos indicios de un ataque de phishing, por ejemplo: • Errores ortográficos (menos habituales a medida que los ataques se van sofisticando) • Saludos genéricos en lugar de personalizados, enlaces que urgen a realizar alguna acción • Amenazas relativas al estado de una cuenta • Solicitud de datos personales • Nombres de dominio o enlaces falsos Asimismo, antes de solicitar a sus clientes información personal o confidencial, explíqueles que hay modos de asegurarse de que un sitio web es legítimo y seguro, por ejemplo: • La barra de direcciones es de color verde • La URL va precedida de HTTPS • Al hacer clic en el icono del candado, se puede comprobar que la información del certificado se corresponde con el sitio web que quieren visitar Facilitar este tipo de información a los clientes es un aspecto esencial que refuerza la confianza para vencer el temor a caer en la trampa del phishing. Si pueden determinar por sí mismos que al visitar el sitio web están en buenas manos, los beneficios para su empresa son incuestionables, ya que podrá aumentar los ingresos, diferenciarse de la competencia y ahorrarse costes operativos al generar más transacciones online. 7
  • 8. Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Los phishers, unos adversarios camaleónicos y duros de pelar Los ataques de phishing no dejarán de adoptar nuevas formas que se aprovechen de sentimientos tan humanos como la compasión, la confianza o la curiosidad. Proteger su empresa y su marca frente a estos ataques requiere una gran dosis de rigor y perseverancia, pero las ventajas que conlleva no se limitan a que las pérdidas por fraude sean mucho menores. Si enseña a los clientes a defenderse y les proporciona el máximo nivel de protección que garantizan los certificados SSL con EV, fomentará su confianza en los servicios de su empresa. Afianzar el liderazgo de su empresa en la seguridad online le servirá para atraer a más clientes y generar nuevas fuentes de ingresos. Para obtener la información más reciente sobre las tendencias de phishing en el mundo, visite nuestro Symantec Monthly Intelligence Report. Glosario Autoridad de certificación (CA): Empresa externa de confianza que emite certificados digitales, como por ejemplo los certificados Secure Sockets Layer (SSL), después de verificar la información incluida en los certificados. Cifrado: Proceso de alterar un mensaje para hacerlo ininteligible, de modo que solo puedan acceder a él las personas a las que va destinado. La tecnología Secure Sockets Layer (SSL) establece un canal de comunicación privado en el que los datos se transmiten cifrados por Internet para proteger la información confidencial frente a las interceptaciones electrónicas. Certificado SSL con Extended Validation (EV): Requiere unas exigentes normas de verificación para los certificados SSL establecidas por una entidad externa, el CA/Browser Forum. En Microsoft® Internet Explorer 7 y otros navegadores seguros utilizados habitualmente, en los sitios web protegidos mediante certificados SSL con Extended Validation la barra de direcciones URL aparece en color verde. HTTPS: Las páginas web cuya URL empieza por HTTPS en lugar de HTTP garantizan la transmisión segura de la información a través del protocolo HTTP seguro. HTTPS es una medida de seguridad en la que los usuarios se deben fijar a la hora de enviar o compartir información confidencial, como por ejemplo números de tarjetas de crédito, registros de datos privados o información de empresas asociadas. Tecnología Secure Sockets Layer (SSL): Tanto la tecnología SSL como su sucesora, la tecnología TLS (Transport Layer Security), utilizan la criptografía para garantizar la protección de las transacciones realizadas por Internet. La tecnología SSL utiliza dos claves para cifrar y descifrar datos: una clave pública conocida y otra privada o secreta que solo conoce el destinatario del mensaje. Certificado SSL: Los certificados SSL incorporan una firma digital que vincula una clave pública con una identidad. Sirven para cifrar la información confidencial durante las transacciones online y, en el caso de los certificados con validación de la empresa, también sirven como prueba fehaciente de la identidad del propietario del certificado. 8
  • 9. Alerta contra el fraude: Últimas tácticas de phishing y sus posibles consecuencias para las empresas en 2012 Más información Visite nuestro sitio web http://go.symantec.com/ssl-certificates Para contactar con un especialista en nuestros productos Llame al 900 93 1298 o al +41 26 429 7727. Acerca de Symantec Symantec es líder mundial en soluciones de gestión de sistemas, almacenamiento y seguridad. Su objetivo es ayudar a empresas y particulares a gestionar y proteger sus datos en un mundo cada vez más dominado por la información. Nuestros servicios y programas garantizan una protección más completa y eficaz frente a una mayor cantidad de riesgos, lo que es sinónimo de tranquilidad sea cual sea el medio donde se utilice o almacene la información. Symantec Spain S.L. Parque Empresarial La Finca – Somosaguas, Paseo del Club Deportivo, Edificio 13, oficina D1, 28223, Pozuelo de Alarcón, Madrid, España www.symantec.es Copyright © 2012 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec y el emblema del círculo con la marca de verificación son marcas comerciales o marcas registradas de Symantec Corporation o sus filiales en los Estados Unidos y otros países. VeriSign, VeriSign Trust y otras marcas relacionadas son marcas comerciales o marcas registradas de VeriSign, Inc., sus filiales o subsidiarias en los Estados Unidos y otros países, otorgadas bajo licencia a Symantec Corporation. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios.