Rachna Dhamija, J. D. Tygar, y Marti Hearst han publicado un interesante informe sobre el porqué del éxito del phishing. La prueba empírica, realizada sobre 22 estudiantes o personal de la universidad, ponía a prueba su capacidad de discernir entre la autenticidad de 20 páginas distintas. Varias reales, varias ataques típicos y otras copias realizadas expresamente y destinadas a engañarlos.

El informe es extenso y describe con detalle las situaciones (incluso
anécdotas) que se dieron durante el estudio. De entre ellas, llaman la atención poderosamente algunas creencias y actitudes de los usuarios.
Si bien 22 voluntarios no representa una cantidad como para extrapolar datos, me temo que refleja muy bien la actitud de miles de usuarios y, en cualquiera de los casos, explica el aumento de este tipo de ataques.

A grandes rasgos, las páginas de phishing engañaron al 90% de los participantes. Las alertas del navegador resultaron del todo ineficaces.
El 23% de los participantes ni siquiera observaron las diferencias en la barra de direcciones (usaron Firefox para la prueba), la barra de estado o cualquier otro indicador de seguridad. De media, los participantes fallaron el 40% de las veces. El estudio concluye que no se puede establecer una estadística clara en correlación con los estudios, edad, sexo o experiencia previa para hablar de exposición ante ataques phishing.

Hasta aquí, los datos sorprenderán más o menos, pero no dejan de ser un reflejo de lo que puede estar ocurriendo ahí fuera. Hay que tener en cuenta que el estudio pretende conocer qué capacidad de distinción entre páginas reales y fraudulentas tienen los usuarios, no averiguar quiénes contestarían alegremente a cualquier email que cayera en su casilla de correo pidiendo datos sensibles (forma habitual de que los ataques de phishing capten víctimas)

Lo interesante del estudio se encuentra en las pequeñas anécdotas y "técnicas antiphishing", propias de los usuarios, que salieron a la luz.
Varios de los participantes daban por sentado que el simple hecho de que la página tuviera un aspecto "profesional" garantizaba su legitimidad.
Anuncios e imágenes animadas eran prueba, para ellos, de que se trataba realmente de la página del lugar que esperaban ver.

Uno de los usuarios pensaba que el hecho de que apareciese un candado en el navegador indicaba que la página no podía leer contraseñas o incrustar cookies. Las alertas en forma de ventanas emergentes fueron cerradas por la mitad de los usuarios sin ser leídas. El 23% usaban sólo el contenido de la página para evaluar su autenticidad, ningún elemento del navegador que no fuera la propia página mostrada les resultaba útil o comprensible.

Dos participantes sólo desconfiaban de una página si les pedía datos más allá del usuario y la contraseña. Uno de ellos incluso introdujo en una de las muestras su usuario y contraseña para verificar que era la página donde tenía su cuenta. Esta estrategia obedecía a la lógica de que si fuese un sitio fraudulento pediría datos bancarios, pues las contraseñas no son lo importante, sino los datos bancarios en sí.

También fueron curiosas las reacciones ante una réplica exacta de la página de Bank of the West, bajo el dominio "www.bankofthevvest.com"
(con dos "v" en vez de una "w"). Al ser una réplica exacta, el hecho de que apareciera un simpático oso (hubiese sido muy complicado de copiar, dijo algún participante) en el diseño y su "look" profesional (en realidad era una copia exacta del original), convencieron a la mayoría de que era legítima. Sólo la usuaria de mayor edad sin conocimientos mínimos de seguridad, detectó el error en el nombre de dominio.

Incluso uno de los usuarios, que hacía caso a todos los mínimos requerimientos de seguridad para comprobar si una página era legítima (excepto examinar los certificados) juzgó mal una de las 19 páginas.

Lo peor es que en general, en una escala de 1 a 5, estaban bastante seguros de sus decisiones en un valor de media de 3. No sólo demostraron no saber lo que hacían, sino además, afirmaban estar suficientemente seguros de lo que estaban haciendo.

El experimento viene a recordar una vez más dónde se encuentra el punto débil de la cadena de seguridad. El desconocimiento en general de qué es un sistema informático en red, qué es Internet o cómo funciona la seguridad, es la causa principal de que otros muchos puedan robar impunemente los datos sensibles de usuarios incautos. No se puede luchar contra un problema del que no se tiene conciencia, aunque el problema afecte de lleno a un medio que se usa todos los días. Aunque alertas, navegadores más seguros y sistemas operativos más controlados ayuden a mitigar el problema, es imposible defenderse de algo que ni siquiera se conoce... de hecho, siete participantes nunca habían oído la palabra "phishing" antes del experimento.

Tambien le puede ayudar a obtener su error y solucionarlo pulsando en Obtención de ayuda de soporte técnico y a continuación haga clic en el enlace Intente resolver su problema con el Asistente para solución de problemas.

Códigos de Error mientras esta buscando actualizaciones...
• 0x8024402C
• 0x80072EE7
• 0x800A0046
• 0x8024502D
• 0x80248011
• 0x80070002
• 0x80248013


Códigos de Error mientras usa el sitio web de Windows Update ...
• 0x80072EFD
• 0x80072EE2  
• 0x80072F76

Otros códigos de Error...
• 0x8007045a
• 0x800a01ad
• 0x801901F6
• 0x800A1391
• 0x800C0002
• 0x800A138F  
• 0x80070052
• 80072EF7
• 0x80070020
• 0x8007007e
• 0x80070643
• 0x80070197
• 0x80040FF2
• 0x80070003
• 0x80070485
• 0x800a01b6
• 0x8007041D
• 0x8007F0CB
• 800703E7 (en inglés)
• 0x80200010
• 0x8DDD0018
• 0x80246008  
• 0x80070002
• 80070103 (en inglés)  
• 80246005
• 0x80004005
• 80070424 (en inglés)
• 8020002B
• 0x8007043C

Si su codigo de error no esta contemplado en esta lista puede obtener mas informacion en, artículos acerca de errores en Windows Update

Estos parámetros toman cada vez más cuerpo. Recientemente hemos visto cómo se ha propuesto un modelo de normativa ISO cuya denominación será ISO/IEC 27006 "Guidelines for information and communications technology disaster recovery services", específicamente orientada a la continuidad y a la recuperación, proporcionando guías específicas para los servicios de recuperación ante desastres, bien sean propios o externos. Esto no hace más que refrendar la teoría de que los modelos de gestión están cada vez más orientados a la seguridad de la información, como único mecanismo garante de que los procesos que reposan en las tecnologías de la información posean el tratamiento óptimo, en aras del beneficio conjunto de todo el mapa de procesos de la organización. Se prevé que ISO/IEC 27006 aparezca en torno a noviembre de 2007, y por lo que se puede ver en el borrador, se percibe una fuerte impregnación de la norma
SS507 - Singapore Standards for Business Continuity/Disaster Recovery
(BC/DR) Service Providers.

En Hispasec hemos hablado anteriormente sobre planes de recuperación y continuidad. No vamos a extendernos más en las definiciones teóricas que ya propusimos en nuestros boletines números 2278 y 2540, enlazados al pie. El objetivo de este boletín es incidir en medidas prácticas asociadas a los conceptos de recuperación y continuidad. Para ello hemos preparado un decálogo de acciones que pueden ayudarle a plantear el problema de una manera más cómoda y accesible. Son sólo algunas acciones básicas, que deben siempre complementarse con un plan específico diseñado y gestionado por expertos para cada caso, y están basadas en los artículos propuestos en el capítulo de "más información"

1.- Probar las copias de seguridad. Por obvio que resulte, las copias sólo tienen utilidad cuando pueden ser restauradas. Es recomendable que las organizaciones dediquen al menos un equipo a modo de "sandbox" o caja de arena de pruebas específicas de verificación de copias de respaldo, y que eventualmente, con una periodicidad programada, se verifiquen estas copias.

2. Escoja su software de backup con criterio. Elegir un sistema de copia y restauración puede requerir la intervención de un experto, sobre todo en entornos heterogéneos. Piense en la disponibilidad y en los tiempos cortos de recuperación como un activo rentable y extremadamente interesante. No tenga miedo a invertir en estos conceptos, bien sea en licencias, bien sea en servicios o en ambos.

3. Con una periodicidad adecuada, por ejemplo, semanalmente, desplace las copias de seguridad a sitios externos a la organización, de modo que prevenga así incidentes localizados, como robos, incendios, inundaciones, etc. Dentro de la organización opte por armarios ignífugos para la conservación como medida mínima de protección de las copias.
Dejarlas en lo alto del servidor o de una mesa no es la elección más adecuada en ninguno de los casos

4. Una medida interesante para prevenir la indisponibilidad y la gran mayoría de los problemas puede ser el aislamiento de las máquinas.
Disponer de cuartos específicos bajo llave donde ubicar los sistemas reduce mucho el riesgo de daños accidentales o intencionados. Las máquinas deben estar preferentemente en entornos climatizados y controlados, y a ser posible, en armarios tipo rack o equivalentes homologados, con un grado de protección adecuado en lo relativo a incendios, humedades y otros parámetros de catástrofe similares.

5. Escoger la ubicación de la sala de máquinas puede ser tan sencillo como contemplar que no haya en las cercanías redes de fontanería ni desagüe, y que las tomas eléctricas existentes sean seguras y cercanas a la acometida, por si fuera necesario ampliar o sustituir el abastecimiento. Otro factor de interés, siempre que sea posible, es la proximidad a los sistemas contraincendios. La proximidad a sistemas de evacuación de emergencia, climatización y ventilación son también interesantes para ubicar la sala de máquinas. Procure por último que la sala sea fácilmente accesible por métodos de transporte, como carretillas y elevadores, y que el/los montacargas, en caso de altura, no estén lejos

6. A la hora de mesurar potenciales riesgos, no escatime ninguno. Por desgracia en su oficina puede pasar de todo. Puede incendiarse, inundarse o puede ser forzada por vándalos. Evite pensar que incidentes como los acontecidos en el edificio Windsor o los sufridos por multitud de ISPs en Nueva Orleans (véase el caso Directnic) con el huracán Katrina son imposibles en su ubicación. Cualquier daño que pueda imaginar por cualquier causa imaginable es una fuente de riesgo ante la recuperación. Obviamente, corresponde al gestor de seguridad balancear probabilidades y asignar pesos y probabilidades. Es obvio que el impacto de un avión en un edificio de oficinas no es igual de probable (por
fortuna) que la rotura de una cañería, ni tampoco es probable que si ubica un ISP en un lugar con fuerte desertización acabe con problemas de humedades, pero de entrada no descarte absolutamente nada.

7. Comunique las acciones a tomar para todos los posibles incidentes. No sirve de nada tener los planes guardados en un cajón, y no sirve de nada un plan que no sea conocido por todos los estamentos implicados. La recuperación ante incidentes es un trabajo en equipo y es absolutamente necesario que todos los elementos de la cadena estén perfectamente documentados sobre las tareas a realizar en cada caso.

8. La recuperación requiere obligatoriamente que el personal implicado en todas y cada una de las fases conozca todas las metodologías y tecnologías disponibles para tales efectos. Es un campo donde la formación continua de los asalariados es una garantía de éxito. Muchas veces el material de estudio de este tipo de sistemas está en lengua foránea. Debe tenerse la mínima formación por parte de todos para comprender estos términos foráneos, en lengua inglesa principalmente, por ejemplo, para interpretar correctamente referencias en un memorando o email sobre BC/DR para hacer alusión al Business Continuity/Disaster Recovery (Continuidad del negocio/Recuperación ante el desastre)

9. Si sus recursos se lo permiten, ejecute de vez en cuando simulacros.
Los simulacros que aportan información útil son aquellos en los que no se avisa, y donde es factible obtener información sobre el proceso de recuperación. Tirar del cable de un servidor en producción puede ser una prueba muy directa para verificar si la rueda de recuperación está bien engrasada.

10. Tome todos los datos anteriores, y elabore una posible secuencia temporal. Pongamos un ejemplo: Si se rompe una tubería y se moja un servidor, puede que la placa madre se queme. Tanto si se quema como si aparentemente no hay daños, hay que avisar a cierta persona, cuyo teléfono de urgencia es A, cuya responsabilidad es el mantenimiento de las máquinas. En caso de quemado, se debe localizar en el almacén una placa equivalente, cuyo modelo es B. Si no hay placas en el almacén, debemos llamar al proveedor C, el cual está informado de nuestro inventario, para proceder a su pronta adquisición. Es preciso igualmente avisar al servicio de mantenimiento del edificio, localizables 24 horas en el teléfono D y dar parte de la avería. Por último, el equipo E levantará el equipo que ha quedado inutilizado y hará las verificaciones oportunas que certifiquen que la recuperación es un éxito. La incidencia la catalogaremos completa y la almacenaremos en nuestro catálogo de incidencias, para reutilizaciones futuras. Con todos estos datos, el gestor de seguridad analizará lo sucedido y buscará maneras de optimizar el procedimiento de recuperación, informando igualmente de las responsabilidades que deriven del incidente a la alta dirección.

Una vez haya unido todas las posibles fuentes de problemas y sus soluciones, habrá elaborado un plan de recuperación. Priorice las partes del negocio sujetas a potencial indisponibilidad o ruptura para ordenarlas en importancia, ya que debe recuperarse primero lo que más rentable o vital sea para la organización. Esto es lo que hace indispensable que el plan emane de la alta dirección, porque es la alta dirección la que sabe qué es más necesario para mantener la continuidad y qué componentes del esquema tienen más peso en la rentabilidad global de la empresa. La alta dirección es la única cualificada para establecer este tipo de prioridades, con lo que estos planes deben surgir de los altos estratos para ser diseminados posteriormente por la organización, al igual que se hace con cualquier sistema de gestión.

Un plan de recuperación es, a fin de cuentas, un instrumento para ofrecer respuestas metódicas, congruentes y frías en situaciones anárquicas, incongruentes y muy calientes, situaciones en las que a veces la prioridad es salvar la vida y preocuparse después de qué ha pasado con los racks, los monitores y los ordenadores. El ser humano, humano es, y si tenemos la mala fortuna de estar envueltos en humo, o si tenemos que salir de la oficina con el agua por las rodillas a causa de una inundación, lo menos probable es que estemos al 100% para poder tomar las decisiones adecuadas para la salvaguarda de la continuidad.

Para eso está el plan de recuperación.

El phishing tradicional se presenta en forma de correo electrónico simulando provenir de la empresa suplantada, la mayoría de las veces una entidad financiera, e instando al usuario con cualquier excusa a introducir sus claves en un formulario que realmente envía los datos al phisher.

Aunque simple, llega a ser efectivo. El hecho de que continúen con esa estrategia lo demuestra por si sólo, sin necesidad de contar con estadísticas o datos concretos de incidentes reales, tema tabú por otro lado.

Dejando claro que el phishing tradicional es un tema importante, que mueve mucho dinero, no es menos cierto que en muchas ocasiones es más el ruido que las nueces. Ruido que suele traducirse en daño a la imagen corporativa, publicidad negativa difícil de cuantificar, si bien no son pocas las veces que ese efecto colateral supera a la pérdida directa del ataque, ya que el phisher no obtiene ningún resultado.

Por una causa u otra, en ocasiones por ambas, el phishing tradicional es sin duda temido y bien conocido. Sin embargo, pese a su popularidad, no es ni el único ni, tal vez, el método más efectivo de ataque que utilizan los phishers. Existe una amenaza oculta, casi fantasma, de la que apenas se tienen datos globales, y que lleva ya tiempo siendo explotada de forma efectiva por los phishers: troyanos.

A diferencia del phishing tradicional, los troyanos permiten diversidad de ataques una vez la máquina del usuario está comprometida. El phishing tradicional es efectivo en el caso de contraseñas estáticas, requiere que el usuario se crea que el e-mail fraudulento proviene de su banco, y que meta las claves en una página cuya dirección no corresponde a la web de su entidad. Amén de que son rápidamente detectados y su desactivación varía entre pocas horas y, en el peor de los casos, algunos días.

Por su parte, los troyanos pasan mucho más desapercibidos y pueden capturar los datos sin levantar sospechas al usuario, no necesitan exponerse al conocimiento público a través de un spam, y su esperanza de vida es mucho mayor, suelen descubrirse semanas o meses después de haber iniciado su actividad.

Además, los troyanos no tienen las limitaciones de una página web falsa y pueden burlar las protecciones más habituales. Un troyano puede capturar tanto las pulsaciones de teclado, como pequeñas áreas de pantalla alrededor del cursor en el caso de teclados virtuales, o capturar los datos del formulario en claro, antes de que el navegador lo pase por SSL. Pueden modificar las páginas que la web del banco presenta al usuario, o los datos que el usuario envía al servidor seguro de la entidad, llevar a cabo ataques tipo hombre en medio, vulnerar los sistemas basados en clave única, tokens, SMS, DNI electrónico, etc.

Una vez una máquina está comprometida, no se puede garantizar la seguridad de una transacción realizada a través de ella.

En el laboratorio de Hispasec llegamos a analizar más de 50 muestras diarias distintas de troyanos bancarios, que son enviadas al servicio VirusTotal. Distinguimos principalmente dos escuelas, internamente las denominamos rusa y brasileña, que difieren bastante en la estrategia, técnicas utilizadas, y programación.

Si bien, además del fin común que persiguen (robar claves de acceso a la banca electrónica), hemos encontrado otro punto en común que suele aparecer con asiduidad en ambas escuelas: el sexo como reclamo para infectar usuarios.

El sexo es un tema utilizado recurrentemente en ingeniería social (término utilizado en seguridad informática a las técnicas para engañar al usuario), así como otras temáticas mucho más románticas.
No olvidemos el famoso "iloveyou", gusano que hiciera aparición en mayo de 2000, y que se propagó por todo el mundo gracias a que pocos se resistieron a abrir una supuesta carta de amor que llegaba a su buzón de correo.

En el caso de los troyanos bancarios que nos ocupa las temáticas suelen ser menos románticas y más explícitas. Pueden llegar adjuntos en un e-mail como una supuesta foto algo subida de tono, hasta ahora siempre de una fémina, o un mensaje, tipo spam, que nos invita a visitar una página con contenidos para adultos.

En ambos casos, y como norma general, el usuario logra visualizar el contenido que esperaba, lo que minimiza las sospechas de que algo irregular ha ocurrido.

En el caso de los adjuntos el archivo suele ser un ejecutable, con la extensión real ofuscada y que aparece representado en Windows con el icono utiliza para los formatos gráficos. Al ser abierto el ejecutable muestra la esperada foto, pero al mismo tiempo que el usuario se recrea en su visualización, de forma oculta, el troyano es instalado en su sistema.

En la otra variante ampliamente utilizada, la del mensaje que incita al usuario a visitar una página, también se muestran los contenidos adultos. En esta ocasión la página web suele incluir además algún exploit que aprovecha vulnerabilidades conocidas del navegador, la mayoría de veces contra Internet Explorer por ser el que mayor cuota de mercado tiene y por tanto, a priori, augura mayor número de infecciones al atacante.

En el caso de que el usuario no mantenga su sistema actualizado con los últimos parches de seguridad, el troyano es descargado e instalado en su sistema de forma oculta mientras visualiza el contenido adulto.

Algunos ejemplos de los contenidos utilizados por los últimos troyanos pueden encontrarse en: http://blog.hispasec.com/laboratorio/118

Las recomendaciones para prevenir este tipo de infecciones son básicas, por un lado debemos ignorar todos los mensajes de spam, no abrir sus archivos adjuntos ni visitar sus enlaces, directamente borrarlos. Las soluciones antispam también minimizarán el riesgo de recibir este tipo de mensajes.

Por otro lado es fundamental que mantengamos el sistema operativo puntualmente actualizado con los últimos parches de seguridad.
Especial atención a disponer de la última versión de nuestro navegador. En el caso de Windows, sistema al que de momento se dirigen este tipo de troyanos, se recomienda activar las actualizaciones automáticas y/o visitar periódicamente el sitio http://windowsupdate.microsoft.com

Un buen antivirus también será de gran ayuda para prevenir estas vías de infección y otras estrategias de distribución seguidas por los troyanos bancarios y el resto del malware.

Como hemos visto, en el terreno virtual también es necesario tomar una serie de precauciones para disfrutar del sexo de forma segura. Por terminar como empezamos, con una cita, debemos ser más críticos con lo que nos ofrecen en Internet y no dejarse ofuscar como Woody Allen, que llegó a decir, "Solo existen dos cosas importantes en la vida. La primera es el sexo y la segunda no me acuerdo".