EL phishing es una de las prácticas fraudulentas más peligrosas de la Red. Se trata de engañar a un usuario para lograr robarle información muy importante, como su contraseña de acceso a su cuenta bancaria o de correo electrónico. Para ello, suelen enmascarar sus intenciones y se presentan como legítimas empresas que buscan, por ejemplo, actualizar sus registros. Un caso típico es el de un usuario que recibe un mail de su banco, en el cual se le solicita que actualice su información por Internet. El usuario cliquea sobre la dirección que es incluida en el mensaje, y es dirigido a la página del banco. Todo parece verse normal; incluso la dirección que aparece en la barra de navegación es la usual. El problema es que todo es falso: el mail y la página han sido creados imitando las comunicaciones oficiales de la empresa, y todo para engañar al usuario y robarle su dinero. Las consecuencias pueden ir más allá de lo económico, ya que los estafadores pueden usar esos datos privados para cometer delitos, e involucrarnos en problemas legales.

No se conoce a ciencia cierta cuál es el verdadero significado de "phishing", aunque hay quienes sostienen que viene de "password harvesting fishing". O sea, algo así como "pesca de contraseñas". Como verán, se trata de una sofisticada forma de ingeniería social, una táctica de robo de datos que ya tiene muchos años en la Red. Lo que se busca es aprovechar la ingenuidad del usuario para lograr que él mismo brinde los datos de acceso a sus cuentas privadas.

¿Cómo hacen estos estafadores para esconder su verdadera dirección y que en la barra de navegación aparezca la dirección del banco? En algunos casos, se aprovechan de vulnerabilidades en los distintos navegadores, y de esa manera engañan al usuario. Por ejemplo, hace algunas semanas, los desarrolladores de Mozilla Firefox y Opera tuvieron que lanzar rápidas actualizaciones de seguridad para sus productos, ya que se los podía engañar para que mostraran direcciones web que no eran correctas.

En otros casos, parte de la dirección es verdadera, y otra redirige a un dominio diferente. Por ejemplo, www.tubanco.com@phishing.com. La arroba es un elemento importante en este caso; presten atención a este tipo de direcciones. En otros casos, los ladrones son menos sofisticados, y el enlace incluido en el mensaje apunta a una dirección IP no asociada a ningún dominio. Además, es posible que el servidor original tuviera vulnerabilidades de seguridad no atendidas, y que personas interesadas en usarlos para cometer delitos hayan logrado instalar aplicaciones en él para engañar a los usuarios.

La táctica de hospedar sitios fraudulentos se conoce como pharming. Según Antiphishing Working Group una asociación de empresas de seguridad que combate este tipo de prácticas en la Red, para marzo de 2005 había nada menos que 2870 sitios fraudulentos en Internet, de los cuales el 31% tenía alguna táctica para mostrar direcciones falsificadas en la barra de direcciones. Entre julio de 2004 y marzo de 2005, esta organización detectó que la cantidad de ataques de phishing se había quintuplicado. Se estima que en la actualidad hay más de 13.000 variantes diferentes circulando. El informe completo se puede bajar de http://antiphishing.org/APWG_Phishing_Activity_Report_March_2005.pdf. Ahora, para poder combatir este tipo de prácticas ilegales que causan pérdidas muy importantes a los usuarios y a las empresas, esta organización se propone construir una base centralizada de intentos de fraudes ligados al phishing. Un grupo con temática similar es Phish Report Network, que está financiado por Microsoft, eBay y Paypal. Estas dos últimas empresas están entre las más afectadas por estas prácticas ilegales.

Los problemas no se limitan a las cuentas de los bancos. El phishing también va más allá, y alcanza a las empresas de subastas, como eBay o Mercado Libre, o las firmas que gestionan micropagos, como la conocida PayPal. Desde ya, en estos casos también la intención es robar las cuentas de los usuarios, para luego usar la tarjeta de crédito para comprar diversos elementos, o para apoderarse del dinero que tienen depositado. Siempre que recibamos correos por parte de estas empresas, en el texto se incluirá nuestro nombre real de usuario, y no frases generales del tipo "Estimado usuario". Suele ser una buena forma para comenzar a identificar los engaño.

Ahora bien: ¿cómo puede reconocer un usuario un mail o una página hecha con fines maliciosos? Visualmente, pueden ser iguales que la verdadera. El primer consejo válido es jamás hacer clic en los links que lleguen en un determinado correo electrónico, sino escribir la dirección de manera manual en la barra de direcciones.

Pero, por desgracia, no todo es tan sencillo. Como las computadoras suelen ser usadas por distintos tipos de usuarios, cada vez se vuelve más importante tener algún tipo de protección extra, y de esa manera prevenir el phishing. Aquí algunas soluciones.

Arranquemos con un sencillo programa que se integra a los navegadores más difundidos en la actualidad, Mozilla Firefox e Internet Explorer: Spoofstick. En el caso del primer navegador, se trata de una extensión de apenas 15 KB que se instala como cualquier otro plug-in. Su uso es muy sencillo. Una vez que la instalamos, reiniciamos Firefox y vamos a Ver/Barra de Herramientas/Personalizar. Allí definimos el tamaño en que aparecerá el aviso de Spoofstick, el color, etc. Una vez configurado, nos mostrará la verdadera dirección del sitio que estamos visitando; de esa manera, evitaremos caer en manos de los estafadores que falsifican la URL para robar nuestros datos.

FraudEliminator es una barra de herramientas que también se encuentra disponible para Mozilla Firefox e Internet Explorer. En este caso, ocupa mucho más lugar que el Spoofstick, pero muestra bastante más información. Apenas lo instalamos, nos preguntará si queremos usar la versión paga o la gratuita. Al menos en Mozilla, su funcionamiento no es óptimo; por ejemplo, el navegador funciona más lentamente en el caso de ingresar en páginas seguras, como las que usan los bancos. Además, hizo algo poco amable: cuando lo desinstalamos, eliminó todo el resto de extensiones de Firefox. No lo recomendamos para usuarios de ese navegador.

Otra barra destinada a evitar el fraude online es provista ya desde hace tiempo por la compañía Netcraft. Al igual que en los casos anteriores, se ofrecen versiones para los dos navegadores más populares del mercado. En este caso, se ofrece información muy relevante sobre el sitio que estamos visitando. No sólo se nos señala cuál es el riesgo de que esa página sea un fraude cuanto más verde la barra, menor riesgo, sino que, además, se nos brinda un dato muy importante: desde cuándo está en funcionamiento el sitio. Es que, por lo general, las páginas que intentan engañar al usuario apenas si tienen días funcionando, y cambian constantemente, lo cual no es algo razonable si realmente se tratara, por ejemplo, de la homepage de un banco muy conocido. Hay más información adicional sobre el dominio, como cuál es su hosting e incluso la historia completa de donde estuvo almacenado y cuál es su lugar entre las páginas más visitadas de la Red. Realmente, la barra de Netcraft es una excelente solución para aquellos que creen necesitar una ayuda en el tema del phishing. Es una lástima que ocupe tanto espacio en la interfaz del navegador.