Jaque al Phishing

parte1

Michael Barrett, jefe de Seguridad de Paypal, y Dan Levy, director principal de Gestión de Riesgo de Paypal para Europa.

Seguramente, sólo unas pocas personas que hayan vivido aisladas en la ribera francesa los últimos años no estarán familiarizadas con el término phishing. Al menos, esto es lo que creemos en el sector de la seguridad; sin embargo, de acuerdo con las estimaciones de Gartner, el 3,3 por ciento de los 124 millones de usuarios que sufrieron phishing por correo electrónico el año pasado cayeron en la trampa y perdieron dinero por estos ataques. Por ello, nunca está de más "evangelizar" y explicar de nuevo que el phishing es una forma de estafa en la que los usuarios reciben mensajes de correo electrónico que, aparentemente, proceden de una fuente legítima, como bancos u otras instituciones financieras.

Los mensajes de phishing contienen, generalmente, una solicitud del tipo "actualice los detalles de su cuenta" e incluyen un vínculo a una web, donde el usuario debe proporcionar sus credenciales de inicio de sesión para el sitio legítimo. A menudo se solicita también otra información confidencial y personal, como el número de cuenta o de tarjeta de crédito. Una vez que se ha obtenido la información del propietario legítimo, se utiliza para cometer distintos tipos de fraude, entre ellos el robo de identidad.

PayPal revisó a mediados de 2006 su enfoque en la gestión del phishing y se dio cuenta de que estaba orientada a evitar las pérdidas económicas en la cuenta de la víctima y, por tanto, las medidas se aplicaban con gran posterioridad a que el correo de phishing hubiera engañado a esa persona. Quedó en evidencia que había un aspecto holístico que no estaba contemplado y también que no podríamos erradicar este problema solos.

Para doblegar el phishing, es fundamental la cooperación entre la industria de Internet, las autoridades judiciales y los gobiernos de todo el mundo.

V * R * M = B

Como cualquier persona que persigue el éxito en los negocios, los delincuentes que hacen phishing se mueven para obtener beneficios. La fórmula que aplican es sencilla:

V * R * M = B
V = volumen de correo de phishing enviado,
R = tasa de respuesta (porcentaje de las víctimas que desvelaron la información de su cuenta),
M = valor monetario de una cuenta robada,
B = beneficio.

En el pasado, PayPal se concentró en el tercer elemento, es decir, en el valor monetario de las cuentas robadas. Este enfoque tuvo un efecto doble: por una parte, redujo los beneficios de los delincuentes, pero, por otro, fomentó que los delincuentes aumentaran el volumen de correo de phishing (V) enviado para mantener o incrementar el nivel total de sus beneficios. De este modo, pese a que nuestros esfuerzos por reducir las pérdidas de PayPal funcionaban, los delincuentes sencillamente aumentaban el volumen de correo de phishing.

Así, según cálculos de la industria, el phishing aparentemente procedente de PayPal y eBay, llegó a más del 75 por ciento del phishing total emitido, según Sophos. Resultaba evidente que los beneficios de los delincuentes les animaban a seguir enviando phishing. La repercusión en nuestros usuarios era o bien una mala experiencia de usuario o pérdidas financieras. Aunque la inmensa mayoría de usuarios borraban inmediatamente el mensaje o no hacían clic en los vínculos de phishing, la experiencia negativa generaba incertidumbre respecto a si PayPal había proporcionado sus direcciones de correo electrónico a terceros o si la compañía era, de alguna manera, responsable de que se hubieran convertido en objetivo de los delincuentes. En cualquier caso, un grupo más reducido de usuarios proporcionaba sus datos financieros personales, lo que provocaba pérdidas financieras tanto a PayPal como a ellos. Con independencia de la reacción de los usuarios, la actividad de éstos se reducía de forma constante.

Fuente: www.borrmart.es

Méndez