Alerta contra el fraude: las nuevas formas de phishing y el peligro que representan para su empresa

ndice
Introduccin El phishing no conoce lmites El phishing en China: la actividad creciente de APT1 Los servidores virtuales compartidos siguen en el punto de mira de los atacantes Los spammers siguen estando ms activos en vacaciones y durante eventos internacionales La situacin econmica actual es terreno frtil para el phishing Amenazas que combinan phishing y software malicioso Estafas de phishing con mensajes de texto a travs del celular Cmo pueden afectar los ataques de phishing a su empresa Proteja su empresa Ensee a sus clientes y empleados a protegerse contra el fraude Glosario Ms informacin Informacin sobre Thawte 3 3 4 4 4 5 5 5 5 5 6 7 7 7

2013 Thawte, Inc. Todos los derechos reservados. Thawte, el logotipo de Thawte y otras marcas comerciales, marcas de servicio y diseos son marcas comerciales o marcas registradas de Thawte, Inc. y sus filiales en Estados Unidos y en otros pases. El resto de las marcas comerciales pertenecen a sus respectivos propietarios.

Alerta contra el fraude: las nuevas formas de phishing y el peligro que representan para su empresa
E
Introduccin El phishing no conoce lmites
El phishing el arte de atraer a internautas ingenuos para apoderarse de datos confidenciales, tales como nombres de usuario, contraseas y nmeros de tarjetas de crdito mediante comunicados electrnicos en apariencia legtimos sigue suponiendo una gravsima amenaza en todo el mundo de la que prcticamente nadie est a salvo. Segn datos del APWG (Anti-Phishing Working Group), en el primer semestre de 2012 se registraron en todo el mundo 93462 ataques de phishing distintos que afectaron a 200dominios de primer nivel. En el primer semestre de 2011, segn la misma fuente, se produjeron 83 083 ataques de phishing. Este aumento considerable se atribuye a la preponderancia de ataques a los servidores virtuales compartidos. En la primera mitad de 2012, se han visto afectados 64 204 nombres de dominio pertenecientes a 486instituciones (vase la Figura 1).4 n todo el mundo, el phishing (suplantacin de la identidad) sigue poniendo en peligro a empresas y clientes, y la amenaza que representa es cada vez mayor. En el primer semestre de 2012 hubo en todo el mundo un 19 % ms de ataques de phishing que en los seis meses anteriores, y se calcula que, de enero de 2011 a junio de 2012, el phishing hizo perder a las empresas unos 2100 millones de dlares estadounidenses.1 El aumento es consecuencia de dos factores: (1) los ataques de phishing son relativamente fciles de llevar a cabo y (2) por lo general, suelen lograr su cometido. Hoy en da, no hace falta ser ningn experto en hacking para poner manos a la obra. Gracias a los llamados kits de phishing que circulan por el floreciente ecosistema de la ciberdelincuencia, basta con tener pocos escrpulos y querer aprovecharse de otras personas. Es ms, los delincuentes informticos estn utilizando un nuevo modelo de negocio conocido como MaaS (software malicioso como servicio), en el que los autores de los kits de intrusin ofrecen servicios adicionales a sus clientes, adems del kit propiamente dicho.2 A diario se envan unos 156 millones de mensajes de correo electrnico que son intentos de phishing. De los que pasan los filtros de seguridad (unos 16 millones), unos 8 millones llegan a abrirse, y 800 000 destinatarios acaban haciendo clic en un enlace daino. No estamos hablando de 800 000 afectados al ao, sino al da.3 Ante semejante avalancha de correo malicioso, estar al tanto de las nuevas tcnicas que utilizan los ciberdelincuentes es ms importante que nunca, ya que solo as sabr qu medidas tomar para proteger su empresa del fraude. En este documento analizaremos qu tipos de phishing se emplean en la actualidad, nos detendremos en las amenazas recientes procedentes de China y, por ltimo, le indicaremos los medios tecnolgicos ms eficaces para garantizar la seguridad de su empresa y la de sus clientes. Figura 1. Los ataques de phishing siguen aumentando.
1. Phishing and the Social World, RSA, octubre de 2012. 2.  VeriSign iDefense 2012 Cyber Threats and Trends White Paper, Verisign, enero de 2012. 3.  Phishing How Many Take the Bait?, Get Cyber Safe, febrero de 2013.

ESTADSTICAS BSICAS
1.er semestre de 2012 2. semestre de 2011 1.er semestre de 2011 2. semestre de 2010 1.er semestre de 2010

Nombres de dominio de phishing Ataques

64 204 93 462

50 298 83 083

79 753 115 472

42 624 67 677

28 646 48 244

120 000

100 000

80 000

60 000

40 000

20 000 1S2010 2S2010 1S2011 2S2011 1S2012

Ataques

Nombres de dominio de phishing

4. G  lobal Phishing Survey 1H2012: Trends and Domain Name Use, Anti-Phishing Working Group, octubre de 2012.

2013 Thawte, Inc. Todos los derechos reservados. Thawte, el logotipo de Thawte y otras marcas comerciales, marcas de servicio y diseos son marcas comerciales o marcas registradas de Thawte, Inc. y sus filiales en Estados Unidos y en otros pases. El resto de las marcas comerciales pertenecen a sus respectivos propietarios.

El phishing en China: la actividad creciente de APT1

En los ltimos tiempos, todo apunta a que la mayora de los ataques de phishing provienen de China. En la primera mitad de 2011, se cree que los phishers chinos estuvieron detrs del 70 % de los nombres de dominio que se registraron en el mundo con fines ilcitos.5 En febrero de 2013, Mandiant public un informe sobre APT1, un grupo de phishers especialmente destructivos que operaban supuestamente desde China. Muchos han padecido sus actividades de ciberespionaje desde 2006 (o quiz antes), y hay indicios fundados de que los ataques forman parte de una campaa del gobierno chino orquestada por el Ejrcito Popular de Liberacin. Segn el informe de Mandiant, APT1 ha robado cientos de terabytes de datos a por lo menos 141 empresas u organizaciones y cuenta con los medios necesarios para robar a decenas de organizaciones a la vez. El mtodo de ataque es tan avanzado que permite a sus artfices acceder a las redes afectadas durante 356 das en promedio (en un caso, incluso durante cuatro aos consecutivos).6 Mandiant ha develado gran parte de las tcticas utilizadas por el grupo, su forma de actuar y los lugares desde los que opera. En ms del 97 % de los casos en los que los intrusos de APT1 se conectaron a su infraestructura de ataque, usaron direcciones IP registradas en Shanghai y sistemas configurados en chino simplificado. En 767 ocasiones, la comunicacin entre las direcciones IP (todas ellas registradas en China) y los sistemas de las vctimas se realiz mediante la herramienta de transmisin de paquetes HUC, conocida por la abreviatura HTRAN.7 La actividad de APT1 supera en envergadura y complejidad a la de ningn otro grupo. No cabe duda de que estamos ante una red extensa, integrada posiblemente por cientos de individuos (conocedores de idiomas, expertos destacados del sector y creadores de software malicioso, entre otros) que administran una infraestructura de ataque con ms de 1000 servidores.8 Ante una amenaza de tal magnitud, solo hay una respuesta: extremar las medidas de proteccin para que su empresa y sus clientes permanezcan a salvo. Redline, la herramienta de investigacin de Mandiant gratuita basada en host, permite descargar ms de 3000 indicadores para combatir los ataques de APT1: nombres de dominio, direcciones IP, hashes MD5, etc. Le recomendamos que empiece a usarla lo antes posible.

Los servidores virtuales compartidos siguen en el punto de mira de los atacantes

El ao pasado ya anunciamos que el nmero de ataques a servidores virtuales compartidos estaba aumentando de forma considerable. En este tipo de ataques, el phisher irrumpe en un servidor web donde estn alojados numerosos dominios y coloca el contenido malicioso en cada uno de ellos, de manera que todos los dominios del servidor exhiben pginas de phishing. Con esta tcnica, es posible infectar miles de sitios web simultneamente. Aunque los ataques disminuyeron en la segunda mitad de 2011, el problema se ha exacerbado en 2012: segn el APWG, solo en junio se produjeron 7000 ataques dirigidos a 44 servidores virtuales distintos, una cifra rcord.9

Los spammers siguen estando ms activos en vacaciones y durante eventos internacionales

En el perodo previo a la Navidad de 2012, los spammers volvieron a falsificar sitios web de un buen nmero de comerciantes legtimos ofreciendo jugosos descuentos, vales de regalo y otros incentivos engaosos. Algunos phishers, aprovechando que los estadounidenses suelen empezar a preocuparse por la declaracin de la renta a finales de ao, enviaron mensajes en los que suplantaban a la agencia tributaria (Internal Revenue Service, IRS).10 Y, como suele ocurrir, otros actos de relevancia internacional como los Juegos Olmpicos de verano de 2012, celebrados en Londres dieron pie a una avalancha de estafas. Los expertos, que prevean un alud de mensajes de correo electrnico maliciosos antes de las Olimpadas11, no se equivocaron en sus predicciones. Durante el verano, Zscaler lanz la alarma al percibir un aumento del nmero de sitios web dedicados a la venta de entradas falsas12, y Omniquad alert de una falsa lotera que, a primera vista, pareca una promocin de British Airways para los Juegos Olmpicos de Londres.13 Probablemente la Copa Confederaciones 2013 de la FIFA y otros actos deportivos previstos para 2014, como los Juegos Olmpicos de invierno de Sochi (Rusia) y la Copa Mundial de la FIFA Brasil 2014, sean tambin blanco de este fenmeno.

5. G  lobal Phishing Survey: Trends and Domain Name Use in 1H2011, APWG, noviembre de 2011. 6.  APT1: Exposing One of Chinas Cyber Espionage Units, Mandiant, febrero de 2013. 7. Ibid. 8. Ibid.

9.  Global Phishing Survey 1H2012: Trends and Domain Name Use, Anti-Phishing Working Group, octubre de 2012. 10. C  hristmas and End of Year Tax Phishing Scams, Northeastern University Information Services, diciembre de 2012. 11. Symantec Intelligence Report, Symantec, enero de 2012. 12. L  ondon Olympics: Stay Away from Scams, Data Theft, and Phishing, Zscaler, julio de 2012. 13.  Omniquad Warns Not to Fall for the London 2012 Olympic Email Scam Fraudulently Evoking Both the Games and Their Sponsors, Omniquad, agosto de 2012.

2013 Thawte, Inc. Todos los derechos reservados. Thawte, el logotipo de Thawte y otras marcas comerciales, marcas de servicio y diseos son marcas comerciales o marcas registradas de Thawte, Inc. y sus filiales en Estados Unidos y en otros pases. El resto de las marcas comerciales pertenecen a sus respectivos propietarios.

La situacin econmica actual es terreno frtil para el phishing

El clima de incertidumbre econmica ofrece a los delincuentes muchas ms oportunidades para actuar, aprovechndose de los temores de la gente. Por ejemplo, una de las estafas ms habituales consiste en enviar un correo electrnico que simula provenir de una entidad bancaria que recientemente ha adquirido el banco o caja de ahorros de la vctima, por lo que supuestamente pasa a convertirse en acreedor del prstamo, hipoteca, etc.14 En muchos casos, los consumidores no estn bien informados sobre estas fusiones y adquisiciones, un desconocimiento que los atacantes no dudan en explotar. Si su empresa se encuentra en una fase de cambio, sea claro con los clientes y mantngalos informados en todo momento. Esa es la mejor defensa, ya que cuanto ms al tanto estn de lo que ocurre, menor ser el riesgo de caer en una trampa.

abiertas al SMiShing.17 (Google, una de las empresas alertadas, resolvi el problema en cuestin de semanas). La estafa tpica consiste en informar al titular del telfono celular de que alguien ha entrado en su cuenta bancaria sin su consentimiento o de que su tarjeta de crdito o de cajero automtico ha sido desactivada. Se le explica a la vctima que para reactivar la tarjeta debe llamar a un determinado nmero de telfono o visitar un sitio web, el cual es fraudulento. Una vez en el sitio, o mediante un sistema telefnico automatizado, se le solicita el nmero de la tarjeta, su cdigo PIN o el nmero de la cuenta.

Cmo pueden afectar los ataques de phishing a su empresa

Aunque el sector financiero sigue siendo uno de los objetivos preferidos por los atacantes, en realidad no es el nico vulnerable a las amenazas. Los sitios web de subastas, servicios de pago, comercios y redes sociales tambin son objetivos habituales de la ciberdelincuencia, al igual que los proveedores y fabricantes de telfonos celulares. En resumidas cuentas, ningn negocio o marca est completamente a salvo. Los ataques que suplantan el sitio web oficial de su empresa perjudican su imagen de marca en Internet y disuaden a los clientes de usar sus servicios por temor a ser vctimas de una estafa. En caso de fraude, la empresa no solo tendr que asumir los costos directos de las prdidas, sino que tambin se expondr a otros riesgos:

Amenazas que combinan phishing y software malicioso

Para aumentar las posibilidades de xito, algunos ataques combinan tcnicas de phishing y software malicioso en lo que podramos llamar un modelo de ataque mixto15. Por ejemplo, supongamos que la posible vctima recibe el enlace a una postal electrnica en un correo electrnico aparentemente legtimo. Al hacer clic en el enlace para ver la tarjeta, la vctima en realidad accede a un sitio web fraudulento que descarga un troyano en su equipo (o, por ejemplo, muestra un mensaje instndole a descargar una determinada actualizacin de software para poder ver la tarjeta). Y la vctima confiada descarga el software, que no es otra cosa que un keylogger, un programa intruso que registra las pulsaciones del teclado. Los keyloggers utilizados en la suplantacin de identidad incorporan unos componentes de rastreo que hacen un seguimiento de acciones concretas (y de determinadas organizaciones, como en el caso de instituciones financieras y tiendas en lnea) para sustraer datos confidenciales, tales como nmeros de cuentas, nombres de usuario y contraseas.

Cada de los ingresos por Internet o menor uso de los

servicios debido a la prdida de confianza de los clientes.

Posibles sanciones administrativas si se ponen en peligro

los datos confidenciales de los clientes.

Incluso los ataques dirigidos a marcas ajenas pueden afectar su negocio. El temor de los clientes puede hacer que dejen de realizar transacciones con empresas en las que no confen plenamente.

Estafas de phishing con mensajes de texto a travs del celular

Hacindose pasar por una institucin financiera real, los atacantes usan mensajes SMS como alternativa al correo electrnico para tratar de robar datos confidenciales de las cuentas bancarias. Esta prctica, que se conoce como SMiShing, aument en un 400 % durante el primer semestre de 2012.16 En noviembre, un grupo de investigadores de la North Carolina State University identific en varias plataformas Android distintas vulnerabilidades que dejaban las puertas
14.  FTC Consumer Alert: Bank Failures, Mergers and Takeovers: A Phish-ermans Special, www.ftc.gov 15.  New Wave of Phishing Attacks Serves Malware to PCs and Macs, ZDNet, marzo de 2012. 16.  How to Avoid Becoming a Victim of SMiShing (SMS Phishing), Network World, marzo de 2013.

Proteja su empresa
Aunque no existe ninguna solucin milagrosa, hay tecnologas que pueden proteger a su empresa y a sus clientes. Muchas de las tcnicas de phishing actuales se basan en atraer a los clientes a sitios web fraudulentos para robar informacin confidencial. Las tecnologas como Secure Sockets Layer (SSL) y SSL con Extended Validation (EV) son fundamentales para combatir la suplantacin de identidad y otras estafas en Internet, ya que cifran la informacin confidencial y autentican su sitio web.

17. S  mishing Vulnerability in Multiple Android Platforms (Including Gingerbread, Ice Cream Sandwich, and Jelly Bean), NC State University, noviembre de 2012

2013 Thawte, Inc. Todos los derechos reservados. Thawte, el logotipo de Thawte y otras marcas comerciales, marcas de servicio y diseos son marcas comerciales o marcas registradas de Thawte, Inc. y sus filiales en Estados Unidos y en otros pases. El resto de las marcas comerciales pertenecen a sus respectivos propietarios.

Las prcticas de seguridad recomendadas exigen implantar los mximos niveles de cifrado y autenticacin posibles para protegerse contra el fraude en lnea y fomentar la confianza del cliente en la marca. La tecnologa SSL, el estndar mundial de seguridad en Internet, cifra y protege la informacin que se transmite a travs de la red mediante el protocolo HTTPS, cuyo uso est enormemente extendido. Esta tecnologa protege los datos en trnsito, ya que cuando se envan sin cifrar corren el riesgo de que alguien los intercepte y manipule. Es compatible con los principales sistemas operativos, navegadores, aplicaciones de Internet y hardware de servidores. Para evitar que los ataques de phishing logren sus objetivos y mengen la confianza de los clientes, necesita un modo de demostrar a los clientes que es un negocio legtimo. Los certificados SSL con Extended Validation (EV) son la mejor solucin, ya que ofrecen el mximo grado de autenticacin posible y proporcionan una prueba tangible a los usuarios de que no se encuentran en un sitio web falso. La tecnologa SSL con Extended Validation es una manera fcil y confiable de ganarse la confianza de quienes visitan su sitio web. Al establecerse la conexin con el sitio, el navegador muestra la barra de direcciones en color verde, en la que consta el nombre de la empresa titular del certificado SSL y el nombre de la autoridad de certificacin emisora. Gracias a esta barra verde, los visitantes tienen la seguridad de que la transaccin est cifrada y de que su empresa ha sido autenticada con las normas ms rigurosas del sector. Los estafadores que crean rplicas de un sitio web no pueden hacer que el nombre de la empresa real aparezca en la barra de direcciones ni estn en condiciones de superar el riguroso proceso de autenticacin necesario para obtener un certificado SSL con EV legtimo. La proteccin que ofrecen los certificados con Extended Validation es inmune a sus estratagemas.

Ensee a sus clientes y empleados a protegerse contra el fraude

Adems de implantar la tecnologa SSL con EV, su empresa debe seguir enseando a sus clientes y empleados a protegerse frente al fraude en Internet. Explqueles los tpicos indicios de un ataque de phishing. Por ejemplo:

Errores ortogrficos (menos habituales a medida que los

ataques se van sofisticando).

Saludos genricos en lugar de personalizados, enlaces

que urgen a realizar alguna accin.

Amenazas relativas al estado de una cuenta. Solicitud de datos personales. Nombres de dominio o enlaces falsos.
Asimismo, explqueles a sus clientes y empleados cmo pueden saber que un sitio web legtimo y seguro antes de proporcionar informacin personal o confidencial. Por ejemplo:

La barra de direcciones es de color verde. La URL va precedida de las letras HTTPS. Al hacer clic en el cono del candado, se puede

comprobar que la informacin del certificado se corresponde con el sitio web que quieren visitar.

Facilitar informacin es esencial para reforzar la confianza. Si los clientes pueden determinar por s mismos que su sitio web es seguro, su empresa podr aumentar los ingresos, diferenciarse de la competencia y ahorrarse costos operativos al generar ms transacciones en lnea. No obstante, no hay que olvidar que los phishers son adversarios camalenicos y difciles de vencer. Sus ataques no dejarn de adoptar nuevas formas que se aprovechan de sentimientos tan humanos como la compasin, la confianza o la curiosidad. Proteger su empresa y su marca requiere una gran dosis de rigor y perseverancia. La clave es adoptar las tecnologas SSL ms recientes, estar siempre al tanto de las nuevas estafas y elegir una autoridad de certificacin que garantice el mximo nivel de proteccin en Internet. As ir siempre un paso ms adelante que los phishers y har avanzar su negocio.

Figura 2. Barra de direcciones de color verde caracterstica del certificado SSL con EV, tal como aparece en Internet Explorer.

2013 Thawte, Inc. Todos los derechos reservados. Thawte, el logotipo de Thawte y otras marcas comerciales, marcas de servicio y diseos son marcas comerciales o marcas registradas de Thawte, Inc. y sus filiales en Estados Unidos y en otros pases. El resto de las marcas comerciales pertenecen a sus respectivos propietarios.

Glosario
Autoridad de certificacin (CA): empresa externa de confianza que emite certificados digitales, como por ejemplo los certificados Secure Sockets Layer (SSL), despus de verificar la informacin incluida en los certificados. Cifrado: proceso consistente en alterar un mensaje para hacerlo ininteligible, de modo que solo puedan acceder a l las personas a las que va destinado. La tecnologa Secure Sockets Layer (SSL) establece un canal de comunicacin privado en el que los datos se transmiten cifrados por Internet para proteger la informacin confidencial frente a las interceptaciones electrnicas. Certificado SSL con Extended Validation (EV): requiere unas exigentes normas de verificacin para los certificados SSL establecidas por una entidad externa, el CA/Browser Forum. En los sitios web protegidos mediante certificados SSL con Extended Validation, la barra de direcciones URL aparece en color verde en Microsoft Internet Explorer y otros navegadores seguros de uso extendido.

HTTPS: las pginas web cuya URL empieza por https en lugar de http garantizan la transmisin segura de la informacin a travs del protocolo HTTP seguro. https es una medida de seguridad en la que deben fijarse los usuarios a la hora de enviar o compartir informacin confidencial, como por ejemplo nmeros de tarjetas de crdito, registros de datos privados o informacin de empresas asociadas. Tecnologa Secure Sockets Layer (SSL): tanto la tecnologa SSL como su sucesora, la tecnologa TLS (Transport Layer Security), hacen uso de la criptografa para garantizar la proteccin de las transacciones realizadas por Internet. La tecnologa SSL emplea dos claves para cifrar y descifrar datos: una clave pblica conocida y otra privada o secreta que solo conoce el destinatario del mensaje. Certificado SSL: los certificados SSL incorporan una firma digital que vincula una clave pblica con una identidad. Sirven para cifrar la informacin confidencial durante las transacciones en lnea y, en el caso de los certificados con validacin de la empresa, tambin sirven como prueba fehaciente de la identidad del titular del certificado.

Ms informacin
Nmeros de telfono EE. UU. (n. gratuito): +1 888 484 2983 Reino Unido: +44 203 450 5486 Sudfrica: +27 21 819 2800 Alemania: +49 69 3807 89081 Francia: +33 1 57 32 42 68 Correo electrnico: sales@thawte.com Sitio web: https://www.thawte.com/ssl

Proteja su empresa y transmita confianza a sus clientes con los certificados digitales de alta seguridad de Thawte, el primer especialista del mundo en seguridad en Internet. Empresas de todo el mundo confan en nosotros por la confiabilidad y estabilidad de nuestra trayectoria de 17 aos, la eficacia demostrada de nuestra infraestructura y la calidad excepcional de nuestro servicio de asistencia al cliente.

2013 Thawte, Inc. Todos los derechos reservados. Thawte, el logotipo de Thawte y otras marcas comerciales, marcas de servicio y diseos son marcas comerciales o marcas registradas de Thawte, Inc. y sus filiales en Estados Unidos y en otros pases. El resto de las marcas comerciales pertenecen a sus respectivos propietarios.