martes, 13 de mayo de 2008

El phising evoluciona hacia el whaling, el tamaño del pez aumenta

Leo en DiarioTi un artículo donde se destaca la evolución de cierto tipo de phishing orientado ahora hacia los "peces gordos". Esta nueva técnica, denominada "Whaling" en relación a que el tamaño del pez ahora pasa a ser una ballena sigue utilizando la ingeniería social como mecanismo de engaño.
Tal como explica DiarioTi,
"los ciberdelincuentes han iniciado una nueva modalidad de ataque económico, que consiste en enviar a gerentes correo electrónico supuestamente remitido por tribunales de justicia, donde se solicita hacer clic en un enlace determinado con el fin de recibir una citación judicial.

El enlace en cuestión muestra un documento de aspecto oficial, que sin embargo contiene código maligno que es transferido al ordenador del usuario con el fin de captar información personal, y permitir al remitente asumir el control del sistema intervenido. El mensaje de correo electrónico está provisto de un sello y su texto está redactado en un formato oficial. Sólo hay pequeños detalles como el uso de dominios .com en lugar de .gov, que revelan su origen adulterado.

Expertos de seguridad informática califican esta nueva modalidad de fraude como “whaling"; en lugar del conocido “phishing", cuyo propósito es captar “peces pequeños" para redes zombi. La “caza de ballenas" está dirigida hacia usuarios acaudalados e influyentes.

El mensaje en cuestión hace referencia al nombre, estado civil, domicilio particular y otras informaciones personales de la potencial víctima, recabados mediante distintos métodos, tanto públicos como obtenidos mediante procedimientos de ingeniería social y robo de identidad."



Estos hechos ponen de manifiesto lo necesario que empieza a ser difundir y concienciar a ciudadanos sobre la "cultura de la seguridad". Quiero destacar entre las acciones acometidas por el INTECO su nueva campaña de sensibilización denominada "Sentido común" que ha sido recientemente difundida y cuya dirección de acceso es http://sentidocomun.inteco.es.

Como dice su pantalla de presentación "El sentido común es nuestro arma de intuición más poderosa para actuar ante la vida. ¿Por qué no lo aplicamos cuando usamos las nuevas tecnologías?
La respuestas intuitivas que se me ocurren son sencillas: por pura ignorancia de los riesgos o lo que llamo analfabeticazión digital. Si ignoras como funciona lo que utilizas y qué consecuencias puede tener las acciones que realizas, ¿Cómo va la intuición a avisarte de un peligro?

Ya comenté en el post "El modelo humano de gestión del riesgo" cómo funciona nuestra cabeza para detectar y gestionar el peligro. Por lo que parece, nuestro cerebro procesa el riesgo de dos maneras diferentes y complementarias:
  • La primera es intuitiva, emocional y basada en la experiencia. Tratamos de mitigar aquello que tememos o que no podemos controlar, basados tanto en la experiencia como en la intuición de lo que puede pasar. Este parece ser un mecanismo de supervivencia evolutiva. En presencia de incertidumbre, el miedo es una valiosa defensa. Nuestro cerebro reacciona emocionalmente pero sin realizar un análisis objetivo del riesgo potencial.

  • La segunda forma en mediante el análisis de riesgos: la utilización de probabilidad y estadística para anular, o por lo menos priorizar nuestro temor. Es decir, nuestro cerebro juega de abogado del diablo con su primera reacción intuitiva, y trata de justificar las probabilidades reales de que pase algo para tomar una decisión final.


Siempre he intentado huir del miedo para concienciar en seguridad. Me ha gustado informar en positivo tratando de capacitar al usuario y proporcionar criterio para saber cuando algo es correcto o sospechoso puesto que lo contrario sólo genera desconfianza y lleva a no utilizar lo desconocido, pero si la intuición se basa también en la experiencia, será porque entonces "la letra con sangre entra".
 
;