En septiembre de 2009, algunos visitantes desafortunados al sitio electrónico del periódico New York Times pulsaron sobre un anuncio publicitario que trató de instalar programas maliciosos. El anuncio mostró una ventana emergente que informaba a los lectores sobre una supuesta infección por virus de sus computadoras; la única manera de saber si el sistema estaba limpio era comprando un nuevo producto antivirus.
Posteriormente el periódico reconoció la estafa en una aclaración en su sitio de la Web: “Algunos lectores del NYTimes.com han visto un cuadro emergente advirtiéndoles de un virus y dirigiéndolos a un sitio que alega ofrecer software antivirus.… Si usted ve esta advertencia, le sugerimos no pulsarla. En vez, salga de su navegador de la Web y vuelva a entrar”. Los phishers y los estafadores emplean esta y otras tácticas nuevas para engañar a las víctimas.
PHISHING 2.0
El phishing se refiere al intento de extraer nombres de usuarios, contraseñas y datos de tarjeta de crédito haciéndose pasar por una entidad legítima de confianza. Frecuentemente, la decepción involucra un correo electrónico enviado desde una dirección de confianza. Originalmente, el phishing sólo aplicaba a la industria de pagos y los bancos, pero ahora se ha extendido al robo de credenciales para entrar en juegos y contraseñas personales para acceder redes sociales como Facebook y Twitter.
La mayoría de la gente no revelaría a un sitio extraño su número de seguro social ni el nombre de soltera de su madre. El software moderno de seguridad y los navegadores marcan ese contenido y le preguntan si está seguro que quiere enviarlo; algunos lo bloquean con una etiqueta de advertencia en color rojo y negro. Por lo tanto, los phishers han adoptado una nueva táctica.
EL SOFTWARE ANTIVIRUS FALSO ES UN PROBLEMA EMERGENTE
Los productos antivirus falsos están entre los instrumentos de phishing más recientes y muchos son bastante convincentes. Con nombres como Antivirus 2009, AntiVirmin 2009 y AntiSpyware 2009, tienen interfaces parecidas a las de aplicaciones antivirus verdaderas. Algunos falsos productos antivirus tienen sus propias palabras claves en los motores de búsqueda y citan evaluaciones ficticias que los recomiendan (vea find.pcworld.com/63915 para una que yo escribí supuestamente).
El antivirus ficticio que apareció en el sitio del New York Times instaló programas maliciosos que, de ejecutarse, hubieran rebajado el nivel de seguridad en Internet Explorer, ejecutado archivos, y alterando el Registro del sistema. Estas acciones realizadas por programas maliciosos de phishing son bastante comunes. Las aplicaciones verdaderas de seguridad las reconocen también: los vendedores legítimos de herramientas antivirus AVG, Comodo, Kaspersky, McAfee, Microsoft, Nod32 y Sophos (entre otros), detectaron este programa malicioso en particular, a las pocas horas.
Otra estratagema de phishing es una variación de una vieja estafa: Los pícaros envían una nota de correo electrónico a miles de personas (es decir, envían un correo indeseado), supuestamente desde un banco, que contiene una opción falsa de charla en línea.
En este ataque de “charlar por el medio”, tan pronto la víctima escribe una contraseña y nombre de usuario para entrar en el sitio en línea designado, se abre una ventana de charla y un estafador- que se hace pasar por un representante de servicio al cliente- pide la información bancaria personal para confirmar la identidad del propietario de la cuenta. Al proveer estos detalles, la víctima está dando datos cruciales al ladrón.
Roger Thompson, funcionario principal de investigaciones de AVG, dice que los productos antivirus falsos son comunes: “Los malhechores claramente ganan dinero con ellos”. Aparte de beneficiarse con la venta de un producto antivirus ficticio, cobran por información de tarjetas de crédito para futuros fraudes de identidad.
Jon Miller, director de Accuvant Labs, una firma de consultoría de seguridad que trabaja con las compañías de Fortune 500 y varios contratistas del gobierno de EE.UU., dice que el incidente del New York Times no es un caso inusual. Y apunta que él ha visto un salto en el uso de programas maliciosos adaptados a los clientes de bancos particulares y otras instituciones financieras.
PROTÉJASE
AVG desarrolla un producto gratuito llamado Linkscanner (find.pcworld.com/63911), que bloquea los nuevos ataques de phishing a la par que permite a los usuarios inspeccionar sin riesgo cualquier sitio de la Web. Para ataques de phishing como las sesiones de charla falsas y las palabra claves falsas, dice Thompson de AVG, los usuarios tienen que desarrollar una buena dosis de escepticismo y aprender a cerrar el navegador usando el Administrador de tareas. Esto no detendrá a las estafas basadas en la Web, pero le dará una opción para derrotar los ataques de ingeniería de social.
Miller de Accuvant recomienda varias estrategias antiphishing:
Emplee un navegador fuerte. Según Miller, Internet Explorer es el navegador más débil, mientras que Firefox y Google Chrome son relativamente fuertes.
Use una plataforma como Mac OS o Linux, más resistentes a programas maliciosos. Aunque ninguna es impenetrable a los ataques, al menos tendrán menos probabilidades de ser atacadas que un sistema operativo de corriente principal como lo es Windows.
Use software de antimalware; dice Miller que su programa favorito es Webroot Internet Security Essentials.
Es importante actualizar su software con rapidez y reagularidad, pero no dependa de las actualizaciones para asegurar su sistema. Como Miller observa, “los programas maliciosos tienden a adelantarse a la protección”.
Sea precavido y vigilante a la hora usar sitios reconocidos de redes sociales como Facebook y Twitter.
Posiblemente los disquetes estén obsoletos, pero usted puede dar una nueva vida a sus viejos disquetes, si los usa como una manera conveniente, barata y portátil de almacenar sus contraseñas. Aprenda a hacerlo en find.pcworld.com/63916.