Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Phishing Tactics Es W Newseal
Phishing Tactics Es W Newseal
LIBRO BLANCO
Libro blanco
Índice
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2
Últimas tácticas de phishing y sus posibles consecuencias para las empresas
Introducción
El phishing, o la suplantación de identidad, uno de los delitos con más auge en la
Red durante los últimos años, supone una importante amenaza para particulares
y empresas. Las cifras hablan por sí solas: en 2012 se llevaron a cabo más de
37 000 ataques al mes.1
Hoy en día no hace falta ser ningún experto para cometer un fraude por Internet.
Está al alcance de cualquier hacker que se lo proponga, gracias a las herramientas
estándar de phishing que circulan por el floreciente ecosistema de la ciberdelin
cuencia. Es más, los delincuentes informáticos están evolucionando hacia un nuevo
modelo de negocio conocido como MaaS («malware como servicio»), en el que los
autores de los kits de intrusión ofrecen servicios adicionales a sus clientes, además
del kit propiamente dicho.2
Las consecuencias para las empresas pueden ser realmente graves. Según ha cal
culado RSA en su informe de fraudes publicado en febrero de 2013, las pérdidas a
nivel mundial alcanzaron los 1500 millones de USD en 2012 y, si la duración media
de los ataques hubiera sido similar a la de 2011, podrían haber llegado a los 2000
millones de dólares.3 Cualquiera que sea la amenaza —ya sea que los empleados
o clientes sean víctimas de un engaño, o que el sitio web de la empresa sufra una
intrusión—, la suplantación de identidad es un problema que hay que tener muy en
cuenta. Las empresas deben estar al corriente de los modernos métodos emplea
dos por los atacantes y adoptar las medidas preventivas necesarias para proteger
se contra el fraude.
1
RSA: February Fraud Report, RSA, febrero de 2013.
2
Verisign iDefense 2012 Cyber Threats and Trends, Verisign, 2012.
3
RSA: February Fraud Report, RSA, febrero de 2013.
4
Counterfeiting & Spear Phishing — Growth Scams of 2009, Trade Me, Infonews.co.nz, 2 de marzo de 2009.
5
Symantec 2013 Internet Threat Report, Symantec.com/threatreport.
6
Global Phishing Survey 2H2012: Trends and Domain Name Use, Anti-Phishing Working Group.
3
Últimas tácticas de phishing y sus posibles consecuencias para las empresas
Otro tipo de troyanos con los que se puede obtener información confidencial son
los redireccionadores, unos programas que redirigen el tráfico de los usuarios a un
sitio fraudulento.
Los ataques que suplantan el sitio web oficial de una empresa perjudican su
imagen de marca en Internet y disuaden a los clientes de utilizar sus servicios por
temor a ser víctimas de un fraude. Además de los costes directos de las pérdidas
por fraude, las empresas cuyos clientes son víctimas de una estafa de phishing
también se exponen a otros riesgos:
• Caída de los ingresos por Internet o menor uso de los servicios debido a la pér
dida de confianza de los clientes
• Posibles sanciones administrativas si se ponen en peligro los datos confidencia
les de los clientes
Incluso los ataques dirigidos a marcas ajenas pueden afectar al propio negocio. El
temor de los clientes puede hacer que dejen de realizar transacciones con empre
sas en las que no confíen plenamente.
Proteja su empresa
Aunque no existe ninguna solución milagrosa, hay tecnologías que pueden prote
ger su empresa y a sus clientes. Muchas de las técnicas de phishing actuales se
basan en atraer a los clientes a sitios web fraudulentos para robar información
confidencial. Las tecnologías como Secure Sockets Layer (SSL) y SSL con Extended
Validation (EV) son fundamentales para combatir la suplantación de identidad y
otras estafas en la Red, ya que cifran la información confidencial y ayudan a los
clientes a autenticar el sitio web.
Para evitar que los ataques de phishing logren sus objetivos y mermen la confianza
de los clientes, las empresas también necesitan un modo de demostrar a los clien
tes que son un negocio legítimo. Los certificados SSL con Extended Validation (EV)
son la mejor solución, ya que ofrecen el máximo grado de autenticación posible y
proporcionan una prueba tangible a los usuarios de que efectivamente se trata de
un sitio web legítimo.
6
Últimas tácticas de phishing y sus posibles consecuencias para las empresas
SSL con Extended Validation proporciona a los visitantes del sitio una manera
fácil y fiable de fomentar la confianza online: el navegador muestra la barra de
direcciones en color verde, en la que consta el nombre de la empresa titular del
certificado SSL y el nombre de la autoridad emisora. La Figura 1 muestra el aspecto
que tiene la barra de direcciones de color verde en Internet Explorer.
Figura 1. Barra de direcciones de color verde, característica del certificado SSL con EV
Los estafadores son expertos a la hora de crear réplicas exactas de sitios web legí
timos pero, sin el certificado SSL con EV emitido para la empresa, no podrán hacer
que el nombre de esta aparezca en la barra de direcciones, ya que no es algo que
puedan controlar. Y tampoco pueden obtener los certificados SSL con EV de la em
presa legítima debido al riguroso proceso de autenticación.
• Errores ortográficos (menos habituales a medida que los ataques se van sofisti
cando)
• Saludos genéricos en lugar de personalizados, enlaces que urgen a realizar
alguna acción
• Amenazas relativas al estado de una cuenta
• Solicitud de datos personales
• Nombres de dominio o enlaces falsos
7
Últimas tácticas de phishing y sus posibles consecuencias para las empresas
Facilitar este tipo de información a los clientes es un aspecto esencial que refuerza
la confianza para vencer el temor a caer en la trampa del phishing. Si pueden
determinar por sí mismos que al visitar el sitio web están en buenas manos, los
beneficios para su empresa son incuestionables, ya que podrá aumentar los ingre
sos, diferenciarse de la competencia y ahorrarse costes operativos al generar más
transacciones online.
8
Últimas tácticas de phishing y sus posibles consecuencias para las empresas
Glosario
Autoridad de certificación (CA): Empresa externa de confianza que emite certifi
cados digitales, como por ejemplo los certificados Secure Sockets Layer (SSL),
después de verificar la información incluida en los certificados.
Certificado SSL con Extended Validation (EV): Requiere unas exigentes normas
de verificación para los certificados SSL establecidas por una entidad externa, el
CA/Browser Forum. En Microsoft® Internet Explorer 7 y otros navegadores seguros
utilizados habitualmente, en los sitios web protegidos mediante certificados SSL
con Extended Validation la barra de direcciones URL aparece en color verde.
HTTPS: Las páginas web cuya URL empieza por HTTPS en lugar de HTTP garantizan
la transmisión segura de la información a través del protocolo HTTP seguro. HTTPS
es una medida de seguridad en la que los usuarios se deben fijar a la hora de enviar
o compartir información confidencial, como por ejemplo números de tarjetas de
crédito, registros de datos privados o información de empresas asociadas.
Tecnología Secure Sockets Layer (SSL): Tanto la tecnología SSL como su suceso
ra, la tecnología TLS (Transport Layer Security), utilizan la criptografía para garan
tizar la protección de las transacciones realizadas por Internet. La tecnología SSL
utiliza dos claves para cifrar y descifrar datos: una clave pública conocida y otra
privada o secreta que solo conoce el destinatario del mensaje.
Certificado SSL: Los certificados SSL incorporan una firma digital que vincula
una clave pública con una identidad. Sirven para cifrar la información confidencial
durante las transacciones online y, en el caso de los certificados con validación de
la empresa, también sirven como prueba fehaciente de la identidad del propietario
del certificado.
9
Últimas tácticas de phishing y sus posibles consecuencias para las empresas
Más información
Visite nuestro sitio web
www.symantec.es/ssl
Acerca de Symantec
Symantec es líder mundial en soluciones de gestión de sistemas, almacenamiento
y seguridad. Su objetivo es ayudar a empresas y particulares a gestionar y proteger
sus datos en un mundo cada vez más dominado por la información. Nuestros
servicios y programas garantizan una protección más completa y eficaz frente a
una mayor cantidad de riesgos, lo que es sinónimo de tranquilidad sea cual sea el
medio donde se utilice o almacene la información.
© 2013 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec y el emblema del círculo con la marca de verificación son marcas comerciales o marcas
registradas de Symantec Corporation o sus filiales en los Estados Unidos y otros países. VeriSign, VeriSign Trust y otras marcas relacionadas son marcas comerciales o marcas registradas
de VeriSign, Inc., sus filiales o subsidiarias en los Estados Unidos y otros países, otorgadas bajo licencia a Symantec Corporation. Los demás nombres pueden ser marcas comerciales de sus
respectivos propietarios.