Sobre phishing y otras ciberestafas (I)

No tengo a mano datos concretos sobre denuncias de phishing. Tampoco sobre estimaciones acerca de ataques exitosos que no son denunciados que, a buen seguro, contribuirían significativamente a incrementar el número total de casos. Lo que sí sé es que por los rincones de la red cuelgan y seguirán colgando numerosos anzuelos y que hay y seguirá habiendo personas que los muerdan. Voy a reflexionar, con este y otras entradas que le seguirán, sobre algunos factores que contribuyen a ello.

En primer lugar.

A cualquiera le puede costar entender y distinguir entre un mensaje de warning correcto y un falso positivo. Y cuando digo cualquiera, quiero decir exactamente eso. A menudo, no hay una manera inmediata o sencilla de saber si una alerta de nuestro navegador corresponde a un «ataque» real, una mala configuración, un certificado caducado, un navegador sin actualizar, etc. Lo que ocurre a menudo es que el usuario «de a pie» se encuentra navegando tranquilamente por la red y no sabe qué significa ni, por tanto, qué hacer cuando se le muestra en pantalla una ventana como ésta:

O esta:

La mayoría de los usuarios, ya sean usuarios experimentados o no de Internet, no sabrá elegir si pinchar en “Sí” o “No”. Y si por alguna casualidad pinchan en “Ver certificado” y les da por fijarse en el número de serie o en el algoritmo hash o si se deciden por ver la ruta de certificación, no va a entender nada. Por lo hablar de que si entran a ver la huella digital o la clave pública entonces sí que quedan absolutamente empanados…

Este hecho nos expone a dos riesgos que podríamos llamar de primera y segunda especie. A la primera corresponde seguir adelante con una consulta o transacción del tipo que sea cuando el warning es real y por tanto la mejor elección hubiera sido un “No” (lo cual nos podría conllevar a una serie de problemas y disgustos), mientras que la segunda es el hecho de que un usuario cancele la navegación ante una buena oportunidad ofrecida en una web real, seria y segura, a pesar de lo que diga el navegador.

Con esto, tenemos la Conclusión 1: la mayoría de las personas no son capaces de entender los mensajes relacionados con posibles problemas de seguridad que se les muestran en pantalla cuando navegan por la red. Y me atrevo a decir que por lo general, son tan numerosos, que el usuario los ignora sin ni siquiera leerlos.

Continuemos.

La s de https hay mucha gente que no tiene ni idea de qué significa o pretende significar, ni siquiera de que existe. Y del hecho de que pueda ir acompañada de uno u otro color de fondo y que aparezca o no un candadito minúsculo en la pantalla podemos decir lo mismo. Por otro lado, los que sí han oído hablar de la s y del candadito y de lo que en teoría su presencia significa, son muy libres de pensar que la presencia de una s, de un candadito o de un fondo de uno u otro color de fondo en la barra del navegador no nos protege necesariamente de absolutamente nada, pues puede entenderse como algo trivial. Después de todo, es lógico que se piense así; si mi ordenador es capaz de mostrarme todo tipo de gráficos, fotografías de alta calidad, películas en alta definición y con un sonido impecable y un sinfín de auténticas virguerías tecnológicas… ¿no va ser capaz de mostrarme una simple s o de pintar un candadito de colorines?

Aquí tenemos la Conclusión 2: la mayoría de las personas no saben identificar signos de seguridad mostrados en pantalla cuando navegan, y los que sí saben identificarlos tienen razones para desconfiar de ellos por triviales y porque no les dan sensación de seguridad. Porque, no lo olvidemos, una cosa es la seguridad y otra muy diferente es la sensación de seguridad; deberían ir de la mano pero muchas veces se las encuentra a la primera sin la segunda o lo que es peor, la segunda sin la primera…

Más cosas.

Partiendo de la base de que hoy en día es muy fácil, casi trivial, crear un sitio web y sacarlo a la luz podemos concluir que es igual de fácil de crear y sacar a la luz un sitio web falso. E igual de trivial es darle una buena apariencia y cierto empaque incluyendo un poco de publicidad, unos iconos de Facebook y de Twitter, ofreciendo varias opciones de pago (VISA, Mastercard, American Express, etc.) e incluso un enlace a una supuesta campaña de colaboración con una ONG según la cual se destina un porcentaje de las “ventas” a alguna buena acción. Para que el usuario termine por tirarse a la piscina cabría aquí ofrecerle una buena dosis de sensación de seguridad incluyendo un logotipo de VeriSign o de Internet Shopping is Safe, por ejemplo, o incluso de PayPal.

¡Es tan fácil!

Con esto, tenemos la Conclusión 3: en el cibermundo es muy fácil la imitación.

Y por si fuera poco luego te enteras de que a la mismísima VeriSign, coloso de la seguridad online, les hacen un roto en sus sistemas (página 34) o de que el logo de la Policía Nacional es usado por un virus como señuelo para estafas. Por poner algunos ejemplos…

Una última cuestión.

Una vez conocemos un producto que nos gusta, ¿cuántas veces decidimos su adquisición ya sólo basándonos en su precio? Respuesta: casi todas. ¿Cuántas veces simplemente quedamos a la espera de una gran oferta de algo que deseamos y que tarde o temprano acabará cayendo? A esto hay que añadir que una gran cantidad de gente, y más aún hoy en día, sólo tienen la vía de los grandes descuentos y las oportunidades únicas e irrepetibles para acceder a ciertos bienes o servicios que, en general, no se pueden permitir.

La Conclusión 4 es que cuando se nos crea una necesidad “imperiosa” del tipo que sea (una cámara de fotos, una tablet, unos pantalones de marca, un gran viaje, lo último en gafas de sol, un smartphone con una pantalla increíble…) y nos pintan la ocasión calva automáticamente perdemos buena parte de la perspectiva y pasamos a estar dispuestos, de una manera más o menos consciente, a asumir un mayor nivel de riesgo.

Como corolario final de las conclusiones 1, 2, 3 y 4 y partiendo de la base de que, por su propia naturaleza, no son aspectos que vayan a cambiar en el corto/medio plazo podríamos deducir que el phishing está a la orden del día y lo seguirá estando ya que a) la inmensa mayoría de los usuarios no dispone de las herramientas y conocimientos necesarios para distinguir el bien del mal sobre la pantalla de su ordenador, b) las señales de seguridad no son todo lo sencillas y a la vez sofisticadas que muchas veces sería deseable, c) el cibermundo es fácilmente imitable y d) cuando la ocasión la pintan calva estamos dispuestos casi automáticamente a asumir más riesgos de los necesarios.

¿Qué podemos hacer? Lo dejamos para un próximo post. Se admiten sugerencias.

[Sobre el autor]