W

H
I
T
E

P
A
P
E
R
:
T

C
T
I
C
A
S

D
E

P
H
I
S
H
I
N
G
Alerta contra el fraude: ltimas tcticas
de phishing y sus posibles consecuencias
para las empresas en 2012
White Paper
Alerta contra el fraude: ltimas tcticas de phishing y sus posibles consecuencias para las empresas en 2012
2
Alerta contra el fraude: ltimas tcticas de phishing y sus posibles
consecuencias para las empresas en 2012
NDICE
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
El phishing no conoce lmites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Los phishers chinos, cada vez ms agresivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
El auge de los ataques a los servidores virtuales compartidos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Los spammers siguen siendo ms activos en vacaciones y durante acontecimientos internacionales . . . . 4
La actual situacin econmica es terreno abonado para el phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Amenazas que combinan phishing y malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Ataques Man in the Middle (MitM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Estafas de phishing con mensajes de texto a travs del mvil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Cmo pueden afectar los ataques de phishing a su empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Proteja su empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Ensee a sus clientes y empleados a protegerse contra el fraude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Los phishers, unos adversarios camalenicos y duros de pelar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Alerta contra el fraude: ltimas tcticas de phishing y sus posibles consecuencias para las empresas en 2012
3
Introduccin
El phishing, o la suplantacin de identidad, uno de los delitos con ms auge en la Red durante los ltimos
aos, supone una importante amenaza para particulares y empresas. Se calcula que en 2011 este tipo de
ataques aument en un 37 por ciento con respecto a 2010.
1
Hoy en da no hace falta ser ningn experto para cometer un fraude por Internet. Est al alcance de
cualquier hacker que se lo proponga, gracias a las herramientas estndar de phishing que circulan por el
floreciente ecosistema de la ciberdelincuencia. Es ms, los delincuentes informticos estn evolucionando
hacia un nuevo modelo de negocio conocido como MaaS (malware como servicio), en el que los autores de
los kits de intrusin ofrecen servicios adicionales a sus clientes, adems del kit propiamente dicho.
2
Las consecuencias para las empresas pueden ser realmente graves. Segn ha calculado RSA en su
informe de fraudes publicado en octubre de 2011, solo en el primer semestre de 2011 las prdidas a nivel
internacional causadas por los ataques de phishing costaron ms de 520 millones de dlares.
3
Cualquiera
que sea la amenaza ya sea que los empleados o clientes sean vctimas de un engao, o que el sitio web
de la empresa sufra una intrusin, la suplantacin de identidad es un problema que hay que tener muy
en cuenta. Las empresas deben estar al corriente de los modernos mtodos empleados por los atacantes y
adoptar las medidas preventivas necesarias para protegerse contra el fraude.
En este artculo se aborda el auge y las tendencias de las actuales estrategias de phishing, las
consecuencias que tales prcticas tienen para las empresas y las posibles soluciones tecnolgicas que las
empresas pueden implantar para protegerse a s mismas y a sus clientes.
El phishing no conoce lmites
El phishing el arte de atraer a internautas ingenuos para apoderarse de datos confidenciales, tales como
nombres de usuario, contraseas y nmeros de tarjetas de crdito, mediante comunicados electrnicos en
apariencia legtimos, supone una grave amenaza tanto para los particulares como para las empresas.
Este tipo de fraude ha proliferado con rapidez desde su aparicin hace diez aos: se calcula que
diariamente se cometen unos ocho millones de intentos de phishing en todo el mundo.
4
En 2011, uno de
cada 300 correos electrnicos enviados por la Red estaba relacionado con la prctica del phishing.
5
APWG (Anti-Phishing Working Group) cuantific en nada menos que 112 472 los ataques nicos de
phishing recibidos en los dominios de primer nivel durante la primera mitad de 2011 en todo el mundo.
6

Aunque esta cifra supera con creces los 42 624 ataques que APWG observ en la segunda mitad de 2010,
no lleg a los 126 697 registrados durante la segunda mitad de 2009, cuando la red zombi Avalanche se
encontraba en pleno apogeo. Aun as, en estos ataques se utilizaron 79 753 nombres de dominio nicos, el
mayor registro desde 2007 (vase la Figura 1).
1
RSA: October Fraud Report, RSA, octubre de 2011.
2
Verisign iDefense 2012 Cyber Threats and Trends, Verisign, 2012.
3
RSA: October Fraud Report, RSA, octubre de 2011.
4
Counterfeiting & Spear Phishing Growth Scams of 2009, Trade Me, Infonews.co.nz, 2 de marzo de 2009.
5
RSA: October Fraud Report, RSA, octubre de 2011.
6
Global Phishing Survey 1H2011: Trends and Domain Name Use, Anti-Phishing Working Group.
Alerta contra el fraude: ltimas tcticas de phishing y sus posibles consecuencias para las empresas en 2012
4
Este incremento se atribuye a dos tendencias nuevas: por un lado, los phishers chinos han estado
registrando una gran cantidad de nombres de dominio y, por otro, los hackers instigaron una campaa
masiva contra los servidores en los que se alojan una gran cantidad de dominios.
Estadsticas bsicas
Figura 1: Sigue la tendencia al alza de los ataques de phishing y los nombres de dominio utilizados.*

Los phishers chinos, cada vez ms agresivos
Los ataques perpetrados por phishers chinos aumentaron sustancialmente en la segunda mitad de 2010
y la primera de 2011.
7
Se les atribuye nada menos que el 70 por ciento de los nombres de dominio que
se registraron en el mundo con fines ilcitos. En la primera mitad de 2011, los ataques de phishing chinos
aumentaron en un 44 por ciento con respecto a la segunda mitad de 2010.
8

El auge de los ataques a los servidores virtuales compartidos
Aunque los hackers siempre se las ingenian para usar nuevas tcnicas de phishing, esta en concreto es
una estrategia antigua aunque poco conocida que ha vuelto a cobrar protagonismo en la actualidad.
En este tipo de ataques, el phisher irrumpe en un servidor web donde estn alojados una gran cantidad
de dominios y coloca el contenido malicioso en cada uno de ellos, de manera que todos los dominios
del servidor exhiben pginas de phishing. De este modo, son capaces de infectar miles de sitios web
simultneamente. APWG identific 42 448 ataques nicos que siguieron esta estrategia, lo que representa
el 37 por ciento de todos los ataques de phishing registrados en el mundo.
9

Los spammers siguen estando ms activos en vacaciones y durante acontecimientos internacionales
En los das previos al periodo navideo de 2011, los spammers engaaron a un buen nmero de
comerciantes legtimos ofrecindoles jugosos descuentos en toda una serie de productos. Asimismo,
se detectaron numerosas campaas de phishing relacionadas con el terremoto de Japn de 2011, el
movimiento de la primavera rabe y otros acontecimientos internacionales importantes. Tras el habitual
embate del da de San Valentn, los expertos prevn un alud de correos electrnicos los das antes de las
Olimpiadas de Londres.
10
Los ataques dirigidos a organizaciones concretas, aunque ya no aparecen tanto
en la prensa como en aos anteriores, aumentan considerablemente durante los periodos vacacionales,
cuando las empresas tienen menos personal velando por las operaciones de seguridad. De esta forma, los
delincuentes tienen muchas ms posibilidades de lograr su objetivo. Cabra hacer la salvedad de que la
tendencia parece menos acusada durante las vacaciones navideas. Una posible explicacin a este hecho
es que, aunque hay menos tcnicos en la empresa dedicados a la seguridad, tambin es cierto que hay
muchos menos empleados trabajando, por lo que tambin son menores las posibilidades de que alguien
abra archivos adjuntos fraudulentos.
7
Ibid.
8
Ibid.
9
Ibid.
10
Symantec Intelligence Report, Symantec, enero de 2012.
* Fuente: APWG
140 000
120 000
100 000
80 000
60 000
40 000
20 000
0
1. mitad 2009 2. mitad 2009 1. mitad 2010 2. mitad 2010 1. mitad 2011
Nombres de dominio de phishing
Ataques
Alerta contra el fraude: ltimas tcticas de phishing y sus posibles consecuencias para las empresas en 2012
5
11
FTC Consumer Alert: Bank Failures, Mergers and Takeovers: A Phish-ermans Special, www.ftc.gov.
La actual situacin econmica es terreno abonado para el phishing
El clima de incertidumbre econmica ofrece a los delincuentes muchas ms oportunidades para llevar a
cabo sus fechoras. Por ejemplo, una de las estafas ms habituales consiste en recibir un correo electrnico
que simula provenir de una entidad bancaria que recientemente ha adquirido el banco o caja de ahorros de
la vctima, por lo que supuestamente pasa a convertirse en acreedor del prstamo, hipoteca, etc.
11
La gran
cantidad de fusiones y adquisiciones del sector genera confusin entre los consumidores, agravada por
el hecho de que los clientes no reciben la informacin que debieran. En tales circunstancias, los phishers
estn en su salsa.
Amenazas que combinan phishing y malware
Para aumentar las posibilidades de xito, algunos ataques combinan tcnicas de phishing y malware en
lo que podramos llamar un modelo de ataque mixto. Por ejemplo, supongamos que la posible vctima
recibe el enlace a una postal electrnica en un correo electrnico aparentemente legtimo. Al hacer clic
en el enlace para ver la tarjeta, la vctima en realidad accede a un sitio web fraudulento que descarga un
troyano en su ordenador (o, por ejemplo, muestra un mensaje instndole a descargar una determinada
actualizacin de software para poder ver la tarjeta). Y la vctima confiada descarga el software, que no es
otra cosa que un keylogger, un programa intruso que registra las pulsaciones del teclado.
Los keyloggers utilizados en la suplantacin de identidad incorporan unos componentes de rastreo
que hacen un seguimiento de acciones concretas (y de organizaciones concretas, como en el caso de
instituciones financieras y comercios en lnea) para sustraer datos confidenciales, tales como nmeros de
cuentas, nombres de usuario y contraseas.
Otro tipo de troyanos con los que se puede obtener informacin confidencial son los redireccionadores,
unos programas que redirigen el trfico de los usuarios a un sitio fraudulento.
Ataques Man in the Middle (MitM)
En 2008 apareci un nuevo tipo de malware con el que se poda falsificar una sesin cifrada. Se trata de
una variante del clsico ataque Man in the Middle (con intermediario, en castellano) que utilizan los
delincuentes para acceder a contraseas o a informacin confidencial que circula de forma desprotegida
por la Red.
Estafas de phishing con mensajes de texto a travs del mvil
Hacindose pasar por una institucin financiera real, los atacantes utilizan los mensajes SMS como
alternativa al correo electrnico para tratar de robar datos confidenciales de las cuentas bancarias. En una
prctica que se conoce como smishing, la estafa tpica consiste en informar al titular del telfono mvil de
que alguien ha entrado en su cuenta sin su consentimiento o que su tarjeta de crdito ha sido desactivada.
Acto seguido, se explica a la vctima que para reactivar la tarjeta debe llamar a un determinado nmero
de telfono o visitar un sitio web que es naturalmente falso. Una vez en el sitio, o mediante un sistema
telefnico automatizado, se le solicita el nmero de la tarjeta, su cdigo PIN o el nmero de la cuenta.
Cmo pueden afectar los ataques de phishing a su empresa
Aunque el sector financiero sigue siendo uno de los objetivos preferidos por los atacantes, en realidad no
es el nico vulnerable a las amenazas. Los sitios web de subastas, servicios de pago, comercios y redes
sociales tambin son objetivos habituales de la delincuencia en la Red. APWG ha constatado un aumento
exponencial de los ataques dirigidos a operadoras y a fabricantes de telfonos mviles. En resumidas
cuentas, ningn negocio ni ninguna marca est completamente a salvo.
Alerta contra el fraude: ltimas tcticas de phishing y sus posibles consecuencias para las empresas en 2012
6
Los ataques que suplantan el sitio web oficinal de una empresa perjudican su imagen de marca en Internet
y disuaden a los clientes de utilizar sus servicios por temor a ser vctimas de un fraude. Adems de los
costes directos de las prdidas por fraude, las empresas cuyos clientes son vctimas de una estafa de
phishing tambin se exponen a otros riesgos:
Cada de los ingresos por Internet o menor uso de los servicios debido a la prdida de confianza de los
clientes
Posibles sanciones administrativas si se ponen en peligro los datos confidenciales de los clientes
Incluso los ataques dirigidos a marcas ajenas pueden afectar al propio negocio. El temor de los clientes
puede hacer que dejen de realizar transacciones con empresas en las que no confen plenamente.
Proteja su empresa
Aunque no existe ninguna solucin milagrosa, hay tecnologas que pueden proteger su empresa y a
sus clientes. Muchas de las tcnicas de phishing actuales se basan en atraer a los clientes a sitios web
fraudulentos para robar informacin confidencial. Las tecnologas como Secure Sockets Layer (SSL) y
SSL con Extended Validation (EV) son fundamentales para combatir la suplantacin de identidad y otras
estafas en la Red, ya que cifran la informacin confidencial y ayudan a los clientes a autenticar el sitio web.
Las prcticas de seguridad recomendadas exigen implantar los mximos niveles de cifrado y autenticacin
posibles para protegerse contra el fraude online y fomentar la confianza del cliente en la marca. La
tecnologa SSL, el estndar mundial de seguridad en Internet, cifra y protege la informacin que se
transmite a travs de la Red mediante el protocolo HTTPS, cuyo uso est enormemente extendido.
Esta tecnologa protege los datos en trnsito, ya que cuando se envan sin cifrar corren el riesgo de que
alguien los intercepte y manipule. Es compatible con los principales sistemas operativos, navegadores,
aplicaciones de Internet y hardware de servidores.
Para evitar que los ataques de phishing logren sus objetivos y mermen la confianza de los clientes, las
empresas tambin necesitan un modo de demostrar a los clientes que son un negocio legtimo. Los
certificados SSL con Extended Validation (EV) son la mejor solucin, ya que ofrecen el mximo grado de
autenticacin posible y proporcionan una prueba tangible a los usuarios de que efectivamente se trata de
un sitio web legtimo.
SSL con Extended Validation proporciona a los visitantes del sitio una manera fcil y fiable de fomentar la
confianza online: el navegador muestra la barra de direcciones en color verde, en la que consta el nombre
de la empresa titular del certificado SSL y el nombre de la autoridad emisora. La Figura 2 muestra el
aspecto que tiene la barra de direcciones de color verde en Internet Explorer.
Alerta contra el fraude: ltimas tcticas de phishing y sus posibles consecuencias para las empresas en 2012
7

Gracias a esta caracterstica barra, los visitantes pueden asegurarse de que la transaccin est cifrada y
de que la empresa ha sido autenticada con las normas ms rigurosas del sector. As, los atacantes ya no
pueden beneficiarse del hecho de que los visitantes no se den cuenta de que la sesin no es segura.
Los estafadores son expertos a la hora de crear rplicas exactas de sitios web legtimos pero, sin el
certificado SSL con EV emitido para la empresa, no podrn hacer que el nombre de esta aparezca en la
barra de direcciones, ya que no es algo que puedan controlar. Y tampoco pueden obtener los certificados
SSL con EV de la empresa legtima debido al riguroso proceso de autenticacin.
Ensee a sus clientes y empleados a protegerse contra el fraude
Adems de implantar la tecnologa SSL con EV, las empresas deben seguir enseando a sus clientes y
empleados a protegerse contra el fraude en Internet. Explqueles los tpicos indicios de un ataque de
phishing, por ejemplo:
Errores ortogrficos (menos habituales a medida que los ataques se van sofisticando)
Saludos genricos en lugar de personalizados, enlaces que urgen a realizar alguna accin
Amenazas relativas al estado de una cuenta
Solicitud de datos personales
Nombres de dominio o enlaces falsos
Asimismo, antes de solicitar a sus clientes informacin personal o confidencial, explqueles que hay modos
de asegurarse de que un sitio web es legtimo y seguro, por ejemplo:
La barra de direcciones es de color verde
La URL va precedida de HTTPS
Al hacer clic en el icono del candado, se puede comprobar que la informacin del certificado se
corresponde con el sitio web que quieren visitar
Facilitar este tipo de informacin a los clientes es un aspecto esencial que refuerza la confianza para
vencer el temor a caer en la trampa del phishing. Si pueden determinar por s mismos que al visitar el sitio
web estn en buenas manos, los beneficios para su empresa son incuestionables, ya que podr aumentar
los ingresos, diferenciarse de la competencia y ahorrarse costes operativos al generar ms transacciones
online.
Figura 2. Barra de direcciones de color verde, caracterstica del certificado SSL con EV
Alerta contra el fraude: ltimas tcticas de phishing y sus posibles consecuencias para las empresas en 2012
8
Los phishers, unos adversarios camalenicos y duros de pelar
Los ataques de phishing no dejarn de adoptar nuevas formas que se aprovechen de sentimientos tan
humanos como la compasin, la confianza o la curiosidad. Proteger su empresa y su marca frente a estos
ataques requiere una gran dosis de rigor y perseverancia, pero las ventajas que conlleva no se limitan a
que las prdidas por fraude sean mucho menores.
Si ensea a los clientes a defenderse y les proporciona el mximo nivel de proteccin que garantizan los
certificados SSL con EV, fomentar su confianza en los servicios de su empresa. Afianzar el liderazgo de su
empresa en la seguridad online le servir para atraer a ms clientes y generar nuevas fuentes de ingresos.
Para obtener la informacin ms reciente sobre las tendencias de phishing en el mundo, visite nuestro
Symantec Monthly Intelligence Report.
Glosario
Autoridad de certificacin (CA): Empresa externa de confianza que emite certificados digitales, como
por ejemplo los certificados Secure Sockets Layer (SSL), despus de verificar la informacin incluida en los
certificados.
Cifrado: Proceso de alterar un mensaje para hacerlo ininteligible, de modo que solo puedan acceder a
l las personas a las que va destinado. La tecnologa Secure Sockets Layer (SSL) establece un canal de
comunicacin privado en el que los datos se transmiten cifrados por Internet para proteger la informacin
confidencial frente a las interceptaciones electrnicas.
Certificado SSL con Extended Validation (EV): Requiere unas exigentes normas de verificacin para
los certificados SSL establecidas por una entidad externa, el CA/Browser Forum. En Microsoft Internet
Explorer 7 y otros navegadores seguros utilizados habitualmente, en los sitios web protegidos mediante
certificados SSL con Extended Validation la barra de direcciones URL aparece en color verde.
HTTPS: Las pginas web cuya URL empieza por HTTPS en lugar de HTTP garantizan la transmisin
segura de la informacin a travs del protocolo HTTP seguro. HTTPS es una medida de seguridad en la
que los usuarios se deben fijar a la hora de enviar o compartir informacin confidencial, como por ejemplo
nmeros de tarjetas de crdito, registros de datos privados o informacin de empresas asociadas.
Tecnologa Secure Sockets Layer (SSL): Tanto la tecnologa SSL como su sucesora, la tecnologa TLS
(Transport Layer Security), utilizan la criptografa para garantizar la proteccin de las transacciones
realizadas por Internet. La tecnologa SSL utiliza dos claves para cifrar y descifrar datos: una clave pblica
conocida y otra privada o secreta que solo conoce el destinatario del mensaje.
Certificado SSL: Los certificados SSL incorporan una firma digital que vincula una clave pblica con una
identidad. Sirven para cifrar la informacin confidencial durante las transacciones online y, en el caso de
los certificados con validacin de la empresa, tambin sirven como prueba fehaciente de la identidad del
propietario del certificado.
Ms informacin
Visite nuestro sitio web
http://go.symantec.com/ssl-certificates
Para contactar con un especialista en nuestros productos
Llame al 900 93 1298 o al +41 26 429 7727.
Acerca de Symantec
Symantec es lder mundial en soluciones de gestin de sistemas, almacenamiento y seguridad. Su objetivo
es ayudar a empresas y particulares a gestionar y proteger sus datos en un mundo cada vez ms dominado
por la informacin. Nuestros servicios y programas garantizan una proteccin ms completa y eficaz frente
a una mayor cantidad de riesgos, lo que es sinnimo de tranquilidad sea cual sea el medio donde se utilice
o almacene la informacin.
Symantec Spain S.L.
Parque Empresarial La Finca Somosaguas,
Paseo del Club Deportivo, Edificio 13, oficina D1, 28223, Pozuelo de Alarcn, Madrid, Espaa
www.symantec.es
Copyright 2012 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec y el emblema del crculo con la marca de verificacin son marcas comerciales o marcas
registradas de Symantec Corporation o sus filiales en los Estados Unidos y otros pases. VeriSign, VeriSign Trust y otras marcas relacionadas son marcas comerciales o marcas registradas de VeriSign, Inc.,
sus filiales o subsidiarias en los Estados Unidos y otros pases, otorgadas bajo licencia a Symantec Corporation. Los dems nombres pueden ser marcas comerciales de sus respectivos propietarios.
Alerta contra el fraude: ltimas tcticas de phishing y sus posibles consecuencias para las empresas en 2012