Santiago, Chile. 30 diciembre, 2009. El estudio tiene el objetivo de analizar las técnicas actuales utilizadas para proteger las comunicaciones que se emplean en los protocolos SSL/TSL usados en los servicios accesibles a través de Web (empresas, bancos, organismos estatales u otros). El estudi expone sus vulnerabilidades y se proponen mejoras a los mismos. Los protocolos de seguridad se han diseñado para interactuar entre procesos, sin embargo, los ataques actuales: Phishing y Pharming, aprovechan la necesaria intervención humana y la traducción de URLs a direcciones IP para lograr que el usuario se conecte a “Web Falsas”.

En primer lugar el estudio analiza la seguridad que proporciona el protocolo SSL y a continuación se analizan sus vulnerabilidades que utilizan los ataques de “phishing” y pharming”. Después se revisan los métodos que se están empleando para hacer frente a estos ataques y por último se proponen esquemas de actuación que mejoran estos métodos.

Seguridad del Protocolo SSL
A pesar de que Internet nos entrega un importante canal de transmisión de información, es inseguro debido a que la información que es transmitida entre dos nodos es accesible en cualquier punto intermedio, por un posible intruso, ya que el primer objetivo de esta red era la comunicación, y no la protección de la información. Los datos transmitidos en Internet, por ejemplo entre un computador personal y un servidor Web para acceder a una página, se segmentan en pequeños paquetes que son encaminados a través de un número variable de nodos intermedios hasta que éstos alcanzan su destino. En cualquiera de ellos es posible leer, destruir o modificar su contenido, posibilitando todo tipo de ataques contra la confidencialidad y la integridad de sus datos. Una situación que nos sirve para ilustrar esta situación es el ejemplo de una tarjeta postal, que puede ser alterada, por ejemplo, por los empleados de correos o por los vecinos, por lo que no es utilizada para enviar información clasificada. Ahora bien, ¿qué se puede hacer en el caso de que se necesite enviar datos confidenciales? Se utilizaría un sobre cerrado y lacrado. En Internet, la solución comúnmente adoptada para construir el análogo digital de este sobre se basa en el uso del protocolo SSL (Secure Socket Layer).SSL fue diseñado y propuesto en 1994 por Netscape Communications Corporation junto con su primera versión del Navigator como un protocolo para dotar de seguridad a las sesiones de navegación a través de Internet. El cual en su tercera versión, conocida como SSL v3.0 alcanzó su madurez, superando los problemas de seguridad y las limitaciones de sus predecesores. En su estado actual proporciona los siguientes servicios: Cifrado de datos: la información transferida, aunque caiga en manos de un atacante, será indescifrable, garantizando así la confidencialidad. 

• Cifrado  de datos: la información transferida, aunque caiga en manos de un atacante, será indescifrable, garantizando así la confidencialidad.
• Autenticación de servidores: el usuario puede asegurarse de la identidad del servidor al que se conecta y al que posiblemente envíe información personal confidencial.
• Integridad de mensajes: se impide que modificaciones intencionadas o accidentales en la información mientras viaja por Internet pasen inadvertidas.
• Opcionalmente, autenticación de cliente: permite al servidor conocer la identidad del usuario, con el fin de decidir si puede acceder a ciertas áreas protegidas.

El rasgo que distingue a SSL de otros protocolos para comunicaciones seguras, como el protocolo S-http (muy poco utilizado hoy en día), es que se ubica en la pila OSI entre los niveles de transporte (TCP/IP) y de aplicación (donde se encuentran los conocidos protocolos HTTP para Web, FTP para transferencia de archivos, SMTP para correo electrónico, Telnet para conexión a máquinas remotas, etc.). Es por esto que SSL resulta muy flexible, ya que se le puede utilizar para proteger potencialmente otros servicios además de HTTP para Web, con pequeñas modificaciones en el programa que utilice el protocolo de transporte de datos TCP.

Figura 1: Estructura de cuatro capas
SSL proporciona sus servicios de seguridad sirviéndose de dos tecnologías de cifrado distintas: criptografía de clave pública (asimétrica) y criptografía de clave secreta (simétrica). Para el intercambio de los datos entre el servidor y el cliente, utiliza algoritmos de cifrado simétrico, que pueden elegirse típicamente entre DES, triple-DES, RC2, RC4 o IDEA. Para la autenticación y para el cifrando de la clave de sesión utilizada por los algoritmos anteriores, usa un algoritmo de cifrado de clave pública, típicamente el RSA. La clave de sesión es la que se utiliza para cifrar los datos que vienen y van al servidor una vez establecido el canal seguro. Se genera una clave de sesión distinta para cada transacción, lo cual permite que aunque sea violentada por un atacante en una transacción dada, sea inservible para descifrar los mensajes de futuras transacciones. Por su parte, MD5 o SHA se pueden usar como algoritmos de resumen digital (hash). Esta posibilidad de elegir entre tan amplia variedad de algoritmos dota a SSL de una gran flexibilidad criptográfica. SSL funciona de la siguiente manera, cuando un navegador solicita una página a un servidor seguro, ambos intercambian una serie de mensajes para negociar las mejoras de seguridad, este protocolo, de manera muy resumida sigue las siguientes fases:

1. Fase Hola: usada para ponerse de acuerdo sobre el conjunto de algoritmos para garantizar la confidencialidad e integridad y para la autenticación mutua. El navegador le informa al servidor de los algoritmos que posee disponibles. Normalmente, se utilizarán los más fuertes que se puedan acordar entre las dos partes. En función de las posibilidades criptográficas del navegador, el servidor elegirá un conjunto u otro de algoritmos con una cierta longitud de claves.
2. Fase de autenticación: en la que el servidor envía al navegador su certificado x.509v3 que contiene su clave pública y solicita a su vez al cliente su certificado X.509v3 (sólo si la aplicación exige la autenticación de cliente).
3. Fase de producción de clave de sesión: en la que el cliente envía al servidor una clave maestra a partir de la cual se generará la clave de sesión para cifrar los datos intercambiados posteriormente mediante el algoritmo de cifrado simétrico acordado en la fase 1. El navegador envía cifrada esta clave maestra usando la clave pública del servidor que extrajo de su certificado en la fase 2. Más adelante, ambos generarán idénticas claves de sesión a partir de la clave maestra generada por el navegador.
4. Fase Fin: en la que se verifica mutuamente la autenticidad de las partes implicadas y que el canal seguro ha sido correctamente establecido. Una vez finalizada, ya se puede comenzar la sesión segura. De ahí en adelante, durante la sesión segura abierta, SSL proporciona un canal de comunicaciones seguro entre los servidores Web y los navegadores a través del cual se intercambiará la siguiente información cifrada: el URL del documento solicitado, los contenidos del documento solicitado, los contenidos de cualquier formulario enviado desde el navegador, las cookies enviadas desde el navegador al servidor y viceversa y los contenidos de las cabeceras HTTP.

Algunas de las limitaciones y problemas de este protocolo son que debido a la limitación de exportación del gobierno de los Estados Unidos sobre los productos criptográficos, las versiones de los navegadores distribuidas legalmente más allá de sus fronteras operaban con nada más que 40 bits de longitud de clave, frente a los 128 ó 256 bits de las versiones fuertes. Claves tan cortas facilitaban los ataques de fuerza bruta por búsqueda exhaustiva de claves, pudiéndose descifrar mensajes cifrados en estas condiciones tan desfavorables en cuestión de horas o días, dependiendo de los recursos informáticos disponibles. Este serio problema ganó notoriedad en los medios de comunicación cuando en 1995 un estudiante francés, Damien Doligez, fue capaz de descifrar un mensaje cifrado con SSL en pocos días utilizando la red de ordenadores de su Universidad.

Es importante recalcar que SSL sólo garantiza la confidencialidad e integridad de los datos en tránsito, ni antes ni después. Por lo tanto, si se envían datos personales al servidor, entre ellos el número de tarjeta de crédito, número de la seguridad social, DNI, etc., SSL solamente asegura que mientras viajan desde el navegador hasta el servidor no serán modificados ni espiados. Lo que el servidor haga con ellos, está ya más allá de la competencia de este protocolo. Los datos podrían ser manipulados irresponsablemente o caer en manos de un atacante que asaltara el servidor. Por otro lado, debe tenerse muy en cuenta que SSL no garantiza la identidad del servidor al que se conecta el usuario. Muy bien podría suceder que el servidor seguro contase con un certificado perfectamente válido y que estuviera suplantando la identidad de algún otro servidor seguro bien conocido, como el de Amazon. Por consiguiente, es de extrema importancia que se compruebe siempre el certificado del sitio Web para cerciorarse de que no se está conectando a un web falsificado.

El servidor identifica al navegador incluso aunque éste no se autentique mediante certificados. Cuando un usuario se conecta a un servidor, rutinariamente le comunica ciertos datos como su dirección IP, tipo y versión de navegador y sistema operativo, y otros más. Con esta información es posible, según los casos, llegar directamente hasta el individuo, o al menos compañía, que se conectó al servidor. El mero hecho de utilizar un canal cifrado con SSL no elimina este traspaso de información desde el navegador al servidor. Por último, actualmente SSL solamente se utiliza para comunicaciones seguras en WWW, por lo que otros servicios de Internet, como el correo electrónico, no irán cifrados a pesar de utilizar SSL para el envío de formularios o la recuperación de páginas web. En este caso, se debe usar S/MIME, PGP o algún otro software criptográfico para correo, ya que SSL no ofrece protección para sus mensajes.

Algunas ventajas de SSL son que SSL v3.0 goza de gran popularidad y se encuentra ampliamente extendido en Internet, ya que viene soportado por los dos principales navegadores del mercado, Netscape Navigator 3.0 ó superior así como por Internet Explorer 3.0 ó superior. SSL proporciona un canal de comunicaciones seguro entre los servidores web y los clientes (los navegadores), pero su uso no se limita a la transmisión de páginas Web. Al encontrarse entre los niveles de transporte y de aplicación, potencialmente SSL puede servir para securitizar otros servicios, como FTP, correo, telnet, etc. El usuario no necesita realizar ninguna acción especial para invocar el protocolo SSL, basta con seguir un enlace o abrir una página cuya dirección empieza por https://. El navegador se encarga del resto.

Cabe mencionar que los protocolos SSL y TLS son actualmente las tecnologías más utilizadas para proteger el e-comerce. Estos dos protocolos se utilizan para autenticar servidores web y para establecer un canal criptográficamente seguro entre el browser que actúa a nombre del usuario (cliente) y el servidor Web. Actualmente, el SSL y TLS confían en PKI para que los usuarios y los servidores se autentiquen. Sin embargo, se ha divulgado casos de certificados que son publicados en servidores web por los phisher y a individuos desautorizados, por lo tanto los phisher con éstos certificados falsos pueden lanzar fácilmente ataques phishing personificando el sitio web legítimo, y como la mayoría de los usuarios no tienen conocimiento del uso de certificados digitales para detectar estos ataques, sólo los usuarios experimentados
son capaces de hacerlo

Descripción de ataques

• Phising
  Es una forma de ataque basada, en técnicas de Ingeniería Social, uso de código malicioso o una combinación de ambas, en la que un delincuente, haciéndose pasar por una empresa o institución de confianza, y haciendo uso de la tecnología de la información y las comunicaciones, trata de embaucar a la víctima para que le proporcione información confidencial, la que posteriormente es utilizada para la realización de algún tipo de fraude.Los ataques de tipo phishing y spoofing en la Web están en aumento con un alto número de incidentes divulgados. Los Hackers y otros tipos de criminales computacionales hacen uso de este recurso fraudulento de la ingeniería social para adquirir información privada tanto de las personas como de las organizaciones, algunos ejemplos son números de tarjeta de crédito, contraseñas, números de Seguro Social. A la víctima elegida le da la impresión que el intruso es una persona o una empresa digna de confianza, y en base a ello entrega con confianza la información solicitada.El hurto de identidad es tan viejo como la pluma y el papel, a través de la historia, ha sido una manera popular para los criminales de adquirir la información privada para lograr embaucar y obtener dinero. El término phishing (pescados) originó en la gente la manera para persuadir a los individuos en dar información valiosa a menudo a través de canales de comunicación populares de Internet, e-mail o mensajería inmediata. El phishing, sin embargo, no se limita al mundo electrónico, en numerosas ocasiones, en dispositivos unidos a cajeros automatizados se ha encontrado que registran la información de la tarjeta de crédito del usuario, cuando se inserta una tarjeta de crédito, el lector de tarjeta magnética unido a la ranura de tarjeta verdadera registra la información de la tarjeta de crédito. Según respuesta de la seguridad de Symantec de uno de sus artículos (IT Pro), hay 33 millones de mensajes phishing diferentes cada semana. Las estimaciones indican que el fraude total por phishing está sobre un billón de dólares cada año, los estudios hechos por el grupo Anti-Phishing (APWG [WWW4]) concluyen que las pescas tienen éxito en cerca de un cinco por ciento de todos los casos, nada mal, ya que si se estima de forma lineal es equivalente a nada menos que MMU$ 3.600 anuales. Debido a esto, las compañías temen que los clientes eventualmente pierdan la confianza en el ecomerce.Una de las situaciones que pueden ejemplificar claramente este tipo de delitos, corresponde a la del hacker chileno César Matamala Quezada, Ingeniero en Informática de INACAP de Valdivia, quien a través de la obtención de un número de tarjeta de crédito madre pudo generar más de diez millones de posibilidades de nuevos números de tarjeta válidos, con los cuales burló a Amazon.com sin moverse de su ciudad ni de su casa desde 1999 cuando aún era sólo un estudiante, por un costo total aproximado de $ 54 millones. Pero, la ocasión hace al ladrón, el se dedicó en un inicio a jugar con los buscadores de Internet, de esta manera encontró el número madre de una tarjeta de 16 dígitos y manualmente empezó a manipular los tres últimos números obteniendo las combinaciones necesarias para 999 nuevas tarjetas. Después alteró los últimos ocho números con lo que las combinaciones aumentaron a diez millones de posibilidades, pero al seguir navegando en la web encontró un programa que alteraba las combinaciones de forma automática (un ejemplo de esto en [WWW5], donde se encuentra un algoritmo para la generación de números de tarjetas de crédito), con lo cual se aventuró a comprar en Amazon.com con su nombre y dirección. En todo caso este hacker manifestó no querer dañar a nadie y por esa razón sólo efectuaba pequeñas transacciones, ya que indicó que podía haberse hecho millonario. El monto de la estafa asciende a $ 110 millones, pero tal como se indicó anteriormente, Amazon.com sólo reconoce $ 54. También este hacker una vez que se percató que los envíos de Amazon.com se detuvieron, efectuó transacciones en e-bay, allposters y una vez que obtenía los productos los reducía a través de otros sitios como De Remate.com y Mercado Libre.cl. En Octubre de 2006 Amazon.com contactó a INTERPOL y al agregado judicial de la embajada de Estados Unidos y en el mes de Diciembre de 2006, luego de un arduo seguimiento detectaron a Matamala de forma relativamente fácil ya que el hacker jamás ocultó su identidad y personalmente retiraba sus productos y el 12 de Enero de 2007 tres detectives lo siguieron y detuvieron en pleno centro de Valdivia.Los métodos de phishing usados hoy son una mezcla entre la ingeniería social y las técnicas spoofing, en las cuales inducen a los usuarios a confiar en una persona o en un negocio. El spoofing del Web de uso frecuente junto con el e-mail, es quizás el ataque phishing más frecuentemente usado. Una réplica confiable del web site es reproducida por el atacante de manera tal que no se diferencie en nada de la original. La manera tradicional de hacer esto está enviando a la víctima un e-mail solicitándole información sobre sus claves de conexión. El e-mail está como el Web site, hecho para mirar exactamente lo que enviaría a la compañía elegida, con varios métodos spoofing. Bastante conveniente, el e-mail también proporciona un acoplamiento (al sitio del atacante) al cual la víctima puede proceder. Generalmente el URL le dará una pista sobre su legitimidad. Sin embargo, no siempre es tan fácil detectar estos scams, métodos más sofisticados se pueden utilizar con éxito al lanzar ataques spoofing en la Web.
• Pharming
  Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios (envenenamiento de las tablas DNS, DNS poisoning, permitiendo al atacante modificar las IP’s correspondientes a los nombres de dominio en el equipo de la víctima), esto permite a un atacante redireccionar un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redireccionado, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio.La funcionalidad principal del DNS está en traducir los nombres simbólicos a direcciones IP. Debido a la criticalidad del DNS para el funcionamiento apropiado del Internet, muchas mejoras se han propuesto para el DNS en términos de seguridad y de formalidad. Sin embargo, el estándar seguro actual de DNS (DNSSEC) todavía tiene varios problemas que necesitan una consideración adicional. Por ejemplo, las actualizaciones y los ataques DOS no se tratan suficientemente. Estos problemas son los obstáculos serios que pudieron evitar que DNSSEC substituya el tradicional DNS. En este aspecto se propone una extensión simple al DNS existente. Se basa en SSL y los dominios individuales que pueden decidir independientemente cuándo adoptar extensiones.El DNS se utiliza para generar nombres simbólicos sobre direcciones IP. Muchos usos del Internet confían en este servicio, que ha estado disponible por más de 20 años. Durante este tiempo muchas vulnerabilidades se han encontrado en el DNS, por ejemplo, negación del servicio y el DNS Poisoning el que sucede cuando un adversario inserta la información falsa en una dirección del DNS. Cuando un servidor A del DNS pregunta al servidor del DNS de B, B puede agregar falso información a su mensaje de la contestación. Las aplicaciones el contenido del mensaje de poner al día su escondrijo y en este caso, son envenenamiento de su escondrijo. El problema fundamental es que la corrección de la información recibida no puede ser verificada porque las entradas del DNS no se autentican. Para tratar este problema, un nuevo estándar para un servicio conocido seguro (DNSSEC) se ha desarrollado. Semejante al DNS, DNSSEC autentica entradas del DNS. Sin embargo, después de más de diez años de desarrollo, DNSSEC todavía no se ha desplegado en una escala grande. Se cree que existen tres razones importantes que han retardado el despliegue de DNSSEC. Primero, la migración del DNS a DNSSEC es difícil y cara. En segundo lugar, algunas compañías pudieron tener intereses comprometidos fuera de DNSSEC. Tercero, el modelo de seguridad de DNSSEC no parece mejor que el modelo end-to-end del SSL que es utilizado extensamente por las aplicaciones de Internet.

El DNS tiene los siguientes problemas de seguridad.

• Los DOS contra DNS son ayudados porque primero, hay solamente algunos servidores del DNS raíz y segundo, las preguntas del DNS son mucho más pequeñas que las respuestas correspondientes del servidor.
• La extensión 1 de TSIG, introducida en RFC 2845, no es conveniente en este caso. TSIG puede ser utilizado si hay solamente pocos clientes autorizados, puesto que se basa en secretos compartidos.
• Las entradas del DNS no se autentican. Eso significa que un usuario no puede verificar si una entrada particular ha sido forzada o no.
• La comunicación cliente/servidor del DNS no se protege. Algún adversario podría forjar peticiones o respuestas en la manera.
• Los servidores del DNS no se autentican. Algún adversario podría fingir ser un servidor válido del DNS.

El origen de la palabra pharming deriva del término “farm” (granja) y está relacionada con el término “phising”, utilizado para nombrar la técnica de ingeniería social que, mediante suplantación de correos electrónicos o páginas web, intenta obtener información confidencial de los usuarios, desde números de tarjetas de crédito hasta contraseñas. En base a esto, una vez que el atacante ha conseguido acceso a un servidor DNS y tomado control de este, es como si poseyera una “granja” donde puede hacer uso a placer de los recursos que allí se encuentran.

O sea, si el phishing engaña a los usuarios uno por uno, conduciéndolos a visitar un sitio apócrifo de su banco o comercio preferido, el pharming interviene las comunicaciones entre el usuario y su proveedor de Internet (ya sea un proveedor de comunicaciones, o un servidor corporativo) para lograr que cuando un usuario teclee en su navegador una dirección legítima, éste sea conducido a una falsificación de la página Web que quiere visitar y sea ahí donde introduzca los datos de su cuenta.

Ahora, una posible controversia en el uso del término puede situarse en una conferencia organizada por el Antiphishing Working Group (AWG), donde Phillip Hallam-Baker define este término como “un neologismo de mercadotecnia diseñado para convencer a banqueros y empresarios de comprar nuevos equipos o accesorios de seguridad”.

El método de funcionamiento del pharming consiste en que todos los computadores conectados a internet tienen una dirección IP única, que consiste en 4 octetos (4 grupos de 3 dígitos) de 0 a 255 separados por un punto (ej: 127.0.0.1). Estas direcciones IP son comparables a las direcciones postales de las casas, o a los números de teléfono. Debido a la dificultad que supondría para los usuarios tener que recordar esas direcciones IP, surgieron los Nombres de Dominio, que van asociados a las direcciones IP del mismo modo que los nombres de las personas van asociados a sus números de teléfono en una guía telefónica. Los ataques mediante pharming pueden realizarse de dos formas: directamente a los servidores DNS, con lo que todos los usuarios se verían afectados, o bien atacando a ordenadores concretos, mediante la modificación del fichero “hosts” presente en cualquier equipo que funcione bajo Microsoft Windows o sistemas Unix. La técnica de pharming se utiliza normalmente para realizar ataques de phishing, redireccionando el nombre de dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos privados del usuario, generalmente datos bancarios. Algunos de los primeros casos de este tipo de ataque se produjeron en enero de 2005, el nombre de dominio de Panix, un ISP de Nueva York, fue redireccionado a un sitio Web en Australia. Hushmail, un proveedor de Secure e-mail, fue atacado mediante pharming el 24 de abril de 2005. En marzo de 2005, el Senador Estadounidense Patrick Leahy introdujo un artículo de ley Antiphishing, que proponía una condena de cinco años de prisión y una sanción económica a los individuos que realizasen ataques de phishing o utilizasen información obtenida mediante fraude online como phishing y pharming.

Métodos actuales para contrarrestar estas amenazas

• Phising  Considerando a algunas entidades financieras, éstas ofrecen como elemento paliativo el recompensar al usuario cuando este se ve afectado por este tipo de fraudes (España), o promueven la política de que ellos adquieran seguros para cubrirse contra este tipo de estafas (Chile). Desde el punto de vista de los fabricantes y proveedores de servicios de seguridad informática ellos se dedican a ofrecer productos y prestar servicios de soporte a las empresas, usuarios y administración para mejorar su seguridad.Considerando los importantes aspectos legislativos, se debe considerar en el caso chileno la Ley 19.223 sobre Delitos Informáticos actualmente en vigencia, con reformas planteadas en el Parlamento a través de los boletines Nº 2974-19 y 3083-07 Además muchas contramedidas anti-phishing se han desarrollado durante varios años: Filtro del e-mail, Toolbars de Seguridad (EarthLink, eBay, TrustWatch, Google, etc.), Carpeta Web (aunque su problema principal es que su análisis depende de terceros como TRUSTe, Alexa, y no proporciona ningún medio para prevenir ataques DNS), Dinamic Security Skins (detección por hash visual de sitios phising). Existe una propuesta de un sistema emplea una arquitectura típica cliente servidor. Al visitar un Web site, un power del lado del cliente, instalado como plug-in en un browser, decide sobre la legitimidad del Web site basado en una combinación de white list, black list y de la heurística. En caso de que el power del lado del cliente no tenga suficiente información para hacer un juicio claro, divulga el sitio sospechoso a un servidor central que tenga acceso más completo y la información actualizada y por lo tanto está en una mejor posición que los clientes individuales para tomar decisiones informadas.La mayoría de sistemas anti-phishing existentes advierten a sus usuarios para las operaciones peligrosas potenciales. Sin embargo, sus alarmas verdaderas o falsas destruyen la confianza de los usuarios en los sistemas; consecuentemente, los usuarios no hacen caso de las advertencias y continúan normalmente sus operaciones. Por otra parte, el bloqueo de un sitio Web sospechoso es generalmente inaceptable a menos que sea absolutamente cierto que el sitio es un sitio phishing. Hay una propuesta que incorpora el principio del diseño interno poniendo advertencias en un workflow, de modo que el usuario tenga que reaccionar a la amonestación para continuar su proceso de trabajo.
  
• Pharming
  El anti-pharming es el término usado para hacer referencia a las técnicas utilizadas para combatir el pharming, donde algunos de los métodos tradicionales para combatirlo son mantener la enseñanza de no abrir correos electrónicos no solicitados, o aquellos que sean diferentes al comportamiento regular de alguien que usted conoce, ya sea una organización o una persona.Otra cuestión que se debe tener siempre en cuenta es el hecho de que los códigos maliciosos que modifican la configuración del sistema para realizar ataques de pharming, usualmente llegan mediante otros códigos maliciosos por email, gusanos o troyanos que al realizar su labor desaparecen dejando como huella un enorme agujero de seguridad en la computadora. Además, toda computadora conectada a Internet debe tener un mecanismo integral de protección y prevención de ataques maliciosos. Esto es, una solución que ofrezca integralmente protección antivirus, un firewall que evite ataques de intrusos en línea, una herramienta contra el correo no deseado y contra el software espía o comercial, además de protección de redes inalámbricas, valoración de vulnerabilidades en el sistema, y control del tipo de sitios Web que visitan los usuarios de cada máquina, entre otros. El uso de software especializado, la protección DNS y el uso de addons para los exploradores Web, como por ejemplo toolbars, las que también pueden ser del tipo browser plug-in como el eBay Toolbar, el SpoofGuard y el Spoofstick, las que están orientadas a rutear de forma segura al navegante, examinar y advertir adecuadamente cuando una página determinada tiene una alta probabilidad de ser un engaño y la última que es una extensión para Internet Explorer y Mozilla Firefox que entrega información básica acerca del nombre de dominio del sitio visitado.El software especializado suele utilizarse en los servidores de grandes compañías para proteger a sus usuarios y empleados de posibles ataques de pharming y phishing, mientras que el uso de addons en los exploradores Web permite a los usuarios domésticos protegerse de esta técnica. La protección DNS permite evitar que los propios servidores DNS sean hackeados para realizar ataques pharming. Los filtros anti-spam normalmente no protegen a los usuarios contra esta técnica.    

Propuestas de mejora para evitar estos riesgos
Al generar una clasificación para separar elementos de prevención de ataques phising, podemos señalar tres vías, la primera desde el punto de vista formativo y divulgativo, la concienciación y formación de los usuarios de Internet debe ser prioritaria, con lo que se recomienda entre otras medidas la realización de campañas de divulgación y difusión de la seguridad y la e-confianza, la formación continua del usuario en temas relacionados con la seguridad en Internet (utilización de software legal, antivirus, actualización de las medidas de seguridad), y el establecimiento de foros y debates para todos los agentes involucrados. Pensando en el principal afectado, el usuario final, algunas recomendaciones útiles son:

• Precaución, no confiar “a ciegas”, esto como un seguro para no ser víctima del phishing y otros fraudes on-line.
• Sospechar de los mensajes escritos en otros idiomas y que contengan faltas ortográficas y gramaticales.
• Procurar realizar transacciones electrónicas desde un computador confiable.
• Evitar realizar operaciones desde un computador público, sobretodo al utilizar claves privadas.
• Mantener protegidos los equipos. Actualizar los navegadores y antivirus e instalar los últimos parches de seguridad.
• Ingresar en la página de su entidad financiera tecleando la dirección en su navegador.
• No ingresar a través de enlaces recibidos por correo electrónico.
• Nunca facilitar claves de su banco a terceros por teléfono o fax, quienes jamás efectuarán este tipo de solicitudes.
• Comprobar con regularidad el estado de su cuenta bancaria.
• Si se cae en la trampa de un correo electrónico fraudulento, a través del enlace que contiene y es redirigido a un sitio web casi idéntico al de su banco, será inteligente el comprobar, la dirección https para asegurar que los datos que se envíen estarán protegidos y utilizarán un canal seguro. Si la “S” no aparece en la dirección se debe desconfiar. Por otra parte, las entidades financieras legales utilizan certificados de seguridad que aparecen representados con un “candado amarillo” en la parte inferior del navegador y que significan que el propietario de la página es quién dice ser.
• Actualizar las contraseñas, sin compartirlas y evitar dejarlas escritas.
• No responder impulsivamente a correos electrónicos que ofrezcan la panacea. Nadie da todo por nada.
• Al recibir un mensaje que solicite información de carácter personal, no responder, y no hacer clic en él.
• No es conveniente enviar información personal o financiera a través de correo electrónico. Hay que comprobar los estados bancarios según se reciban.

En segundo lugar, desde el punto de vista normativo, tecnológico y de la organización (privada y pública), es necesaria la implementación de una legislación que regule las transacciones comerciales y los flujos monetarios en la Red, exigiendo un sistema de autenticación fuerte o doble, es decir, que al menos se lleven a cabo dos de las siguientes medidas de seguridad: mediante DNI electrónico, token de seguridad, tarjetas de coordenadas o avisos por sms.

En Chile ya se ha instaurado de forma obligatoria, a partir del 01/02/2008, el uso de artefactos llamados Multipass, cuyo uso ha sido normado por la SBIF (Superintendecia de Bancos e Instituciones Financieras), para la generación de claves secundarias para cada transacción financiera, es decir, el usuario una vez que ingresa al sitio de su institución financiera puede acceder al primer nivel de transacciones administrativas y luego para el acceso al nivel de consultas o para cada transacción monetaria el sitio le solicita la clave generada de forma aleatoria por este artefacto para poder completar la transacción comercial, estos números aleatorios se basan en tecnología que utiliza el algoritmo RSA.

En tercer lugar y desde un punto de vista técnico, como tercera arista de acción, debemos reconocer que el esfuerzo que significa para el usuario recordar diferentes y complicadas claves de acceso por cada nivel de acceso a sus sitios es bastante engorroso, por decir lo menos, dado que la memoria es frágil, independiente de la existencia de los elementos anteriores mencionados. Es por esta razón que una buena propuesta de mejora para evitar este tipo de riesgos es el uso de funciones de hash visuales, que vienen a tomar el papel de validadores de los diferentes sitios y niveles de acceso (Figura 11-12), dado que para cada acceso el usuario sólo debe recordar la imagen que asegura la procedencia y validez del sitio visitado. En base a esto la carga que se genera en el usuario es muy baja en términos de esfuerzo, memoria y tiempo, y dependencia de aparatos complementarios, todo esto con independencia del número de servidores con que esté interactuando, lo que complica a un intruso de que este obtenga una autenticación exitosa. Todo esto también puede ser automatizado a través de que el mismo Browser genere las imágenes aleatorias de validación.

Los sitios Web se deben diseñar cuidadosamente para el uso de imágenes de manera que no complique el diseño ni cree confusión al usuario. Un testing es adecuado y requerido para determinar el nivel de seguridad del proceso de generación de imágenes, es decir, el cómo distinguir patrones entre las imágenes que son generadas. Si se observa o se captura la imagen generada, esta no puede ser usada de nuevo en transacciones posteriores. Además, se necesita un exhaustivo dictionary attack para determinar el valor que fue utilizado para generar la imagen, el que en sí mismo no podría ser usado para no revelar nada sobre la contraseña.

La metodología anterior presenta bastantes ventajas frente a otras propuestas, sobretodo desde el punto de vista de los costos, por ejemplo como alternativas de autenticación podemos mencionar que para efectos de detección y bloqueo de este tipo de ataques, se pueden utilizar alternativas de chequeo periódico por parte de los Webmaster del root DNS (ejemplo: www.lcbc.com.cn v/s www.icbc.com.cn), también se podría utilizar herramientas para ubicar automatizadamente desde el sitio real que se necesita visitar, ahora ambas alternativas implican mayor utilización de recursos de procesamiento de las transacciones. Desde le punto de vista de la seguridad, se pueden considerar alternativa biométricas, pero que encarecen bastante más los costos involucrados, o también el uso de filtros anti-spam paralelos basados en el protocolo SMTP o SIDF.

Una cuarta alternativa es la instalación en los computadores de los usuarios de software antiphising de dos formas, la primera es chequear la dirección del sitio visitado comparando las direcciones contenidas en una BD, algunos ejemplos son ScamBlocker de la empresa Earthlink, PhisGuard y Netcraft, la segunda en cambio es comparar en base a ciertas reglas contenidas en el software, ejemplos de este tipo de herramientas son SpoofGuard desarrollada por Stanford, TrustWatch de geoTrust y otros

Descripción de una Solución Técnica
Una propuesta de solución que se puede complementar con las herramientas mencionadas anteriormente para contrarrestar este tipo de amenazas en la actualidad, pero en sintonía con las mejoras descritas para evitar este tipo de riesgos, corresponde a la aplicación de Agentes Inteligentes bajo el tercer eje de acción (recordemos que tenemos soluciones basadas en la concientización continua del usuario, herramientas normativas y herramientas técnicas), para aplacar este tipo de amenazas.
En este sentido es bueno revisar algunas definiciones para un Agente Inteligente:

1. Wooldridge: “Un agente inteligente es un sistema (hardware o software) situado en un determinado entorno, capaz de actuar de forma autónoma y razonada en dicho entorno para llevar a cabo unos objetivos predeterminados”
2. Gerhard Weiss: “un agente es una entidad computacional que percibe y actúa autónomamente en su entorno”.
3. Wooldridge y Jennings: según la cual un agente es un sistema informático que está situado en un entorno y es capaz de actuar de forma autónoma y flexible

La diversidad de las definiciones, se manifiesta según el uso y diseño de cada Agente Inteligente, según las necesidades específicas del usuario, pero si bien cada uno puede tratar perspectivas diferentes dadas las amplias aplicaciones que tiene este tipo de herramienta, las que van desde los ámbitos educacionales, de seguridad en relación a la autenticación y también como aplicaciones en el comercio electrónico, existe un punto donde todos parecerían ser iguales, en sus características, razón por la cual se exponen algunas de las más representativas:

• Comunicativo: entender las necesidades, objetivos y preferencias del usuario.
• Autónomo: interactuar con el entorno, tomando decisiones y actuando por sí solo.
• Adaptable: ser capaz de aprender del entorno (usuarios/preferencias).
• Continuidad: se ejecuta sin la necesidad de ser controlado y desarrollando su objetivo.
• Sociabilidad: comunicarse con otros agentes.
• Movilidad: capacidad de un agente de trasladarse a través de una red.

Entonces en base a una relación de las definiciones y aplicaciones anteriores, y además en sintonía con las aplicaciones en la autenticación, la idea es que se plantee como objetivo el “Diseño de un Agente Inteligente que sea capaz de hacer más sencillo para el usuario final la autenticación de browsers y sitios seguros y confiables, con las aplicaciones de hash visuales como elementos de generación de imágenes de validación y que el seguimiento en la generación de estos hash para validar la autenticación se realice a través del Agente Inteligente a diseñar, con la finalidad de aumentar los niveles de seguridad en las transacciones”.

El fin de una era ociosa en el desarrollo del malware, en favor de una nueva época fundamentalmente marcada por fines lucrativos, conlleva inevitablemente a cambios peligrosos. Sin duda los creadores de malware, al amparo de la ciberdelincuencia desplegarán estrategias cada vez más sofisticadas para cumplir sus expectativas.

Los procesos de distribución y propagación de malware en general serán sometidos a mayores medidas de control por sus propios ejecutores, con la finalidad de despertar menos sospechas y garantizar el éxito de los mismos a través de amenazas de tipo Adware y Spyware, así como los programas potencialmente no deseados, que son y seguirán siendo los más extendidos en Internet.

Pero no debemos permitir que los autores del tipo de delitos y amenazas descritas en este trabajo logren desincentivar el uso de los instrumentos de autenticación vigentes hoy en día, como los de la banca en línea o del comercio electrónico, los que han traído grandes beneficios a la economía mundial. Más bien, debemos tomar las medidas preventivas para no correr riesgo alguno en nuestra navegación cotidiana. Sin embargo, ni los ataques de pharming son inevitables, ni el usuario debe caer en pánico ante esta amenaza.

Existen formas muy sencillas para eliminar los riesgos de ser víctima de estos fraudes, la mayoría de ellos tienen como principio el comportamiento del navegante cuando está en línea, la que debe ser una de las líneas preventivas primordiales en cualquier organización. Bajo estos esquemas es de esperar que este tipo de amenazas sigan aumentando durante el 2008, manteniéndose el ritmo de crecimiento del último año.

Luego para el sector de la informática y computación en general, el mantener, mejorar, diseñar y crear herramientas que cubran los vacíos descritos en relación a nuevos servicios y generación de funciones más atractivas descritas en este trabajo serán un verdadero reto para la comunidad científica y las empresas en general.

Es en este sentido es que debemos tener en cuenta que dado el desarrollo exponencial de amenazas desarrolladas para la ciberdelincuencia, el antídoto no se encuentra solamente en doblegar este tipo de amenazas tan rápido como aparezcan, ya que esta es sólo una parte del problema, debemos de tener en consideración que sin elementos normativos o legales y sin esfuerzos por mantener al usuario completamente concientizado y al día en los nuevos tipos de amenazas que se vayan produciendo, todo esfuerzo es vano.

Técnicas de seguridad en acceso a Web.
Por Carlos Fernández del Val y Cristián Eduardo Martínez Moreno.