Documentos de Académico
Documentos de Profesional
Documentos de Cultura
y apellidos del alumno, login (Ejemplo: CP - Metodología de Investigación Científica-Juan Carlos Cruz
Arrieta-ESDDMRC125367). El caso práctico que no cumpla con las condiciones de identificación no
será corregido.
La revisión de los casos prácticos tendrá lugar en el plazo máximo de 10 días hábiles a su realización.
Pasados esos diez días, el alumno deberá revisar este apartado para conocer el resultado de la
revisión.
En el artículo “ Why the phishing works” (por Rachna Dhamija, J. D. Tygar, y Marti
Hearst), en escasamente 10 páginas muestra a qué gran problema se enfrentan
tanto en público general como el personal de seguridad que debe protegerlo. El
artículo trata de un experimento en el que los investigadores sentaron a un grupo
de personas a probar páginas web. Algunas de ellas eran webs falsas creadas por
el equipo, y otras eran páginas válidas. Tras observar el comportamiento de los
participantes con las páginas web, los investigadores consultaron a los usuarios
por la motivación de su comportamiento. Los resultados fueron reveladores y se
comentan a continuación.
Cuando apareció Firefox 1.0, una de sus características diferenciadoras era que
cambiaba el color de fondo de la barra de direcciones cuando se accedía a una
página utilizando HTTPS volviéndose de color dorado. Es decir, además de la
indicación del candado dorado, la barra de direcciones completa se coloreaba
GE S T I ำ N Y S E G U R I D A D D E R E D E S 1
así, de manera que se hacía aún más obvio que se estaba entrando en una web
segura. Y eso además de los otros tres indicadores que ya ofrecía Firefox.
F U N D A C I ำ N UN I V E R S I T A R I A IB E R O A M E R I C A N A
a medida que navegan por un sitio web, pero no tiene ni idea sobre lo que la
propia URL significa. Y esto también se aplica a HTTPS. Sin embargo, las
direcciones IP levantan sospechas,... aunque los usuarios tampoco saben los que
significan. Simplemente encuentran los números sospechosos.
Hubo una página, la del Bank of the West, que engañó a todos los participantes
en el experimento menos uno. En esa página se introdujo un video con una
animación sobre un oso. Evidentemente, eso atrajo la curiosidad de varios
usuarios, que recargaron la página varias veces para volver a ver ese oso
animado. De hecho, algunos participantes afirmaron que la animación era una
evidencia de que el sitio era legítimo, ¡ya que supondría mucho esfuerzo copiarlo!
2 GE S T I ำ N Y S E G U R I D A D D E R E D E S
Otros usuarios pueden estar más concienciados respecto al phishing, pero bien lo
ignoran o no tienen muy claro cómo utilizar los indicadores proporcionados por los
navegadores. No es un hecho asombroso, considerando que aparecen mensajes
del tipo “¿Desea aceptar este certificado temporalmente para esta sesión?
Muchos usuario no tienen la más remota idea de lo que es un certificado o una
sesión.
Incluso los usuarios más sofisticados fueron engañados con la página falsa
www.bankofthevvest.com. Si se observa la dirección con atención, se detecta que
los investigadores utilizaron “vvest” con dos “v”, en lugar de “w”. Este trucó
consiguió despistar al 91% de los participantes. Incluso si se observa la barra de
direcciones de forma habitual, y se presta atención a los enlaces que se pinchan,
este tipo de engaños aún resultan efectivos.
GE S T I ำ N Y S E G U R I D A D D E R E D E S 3
Si se combina este hecho con la afirmación de los participantes del estudio de que
ellos pinchan habitualmente en los enlaces enviados por los conocidos, se puede
ver cómo se avecina el desastre.
¿Se deberían diseñar los navegadores para que simplemente no permitan a los
usuarios visitar sitios peligrosos o cuestionables? Ya existe una serie de iniciativas
F U N D A C I ำ N UN I V E R S I T A R I A IB E R O A M E R I C A N A
para crear una base de datos centralizada de sitios web malignos que el software
pueda referenciar. Un ejemplo es la Toolbar de Google. Los avisos antiphishing se
encuentran activados por defecto en los dos navegadores principales (IExplorer y
Firefox), lo cual es bueno, pero redireccionan a un mensaje que es fácilmente
ignorado por el usuario. Quizá esto no debería permitirse, o por lo menos, debería
dificultarse más el sorteamiento.
4 GE S T I ำ N Y S E G U R I D A D D E R E D E S