El phishing se ha vuelto tan habitual como sofisticado, los atacantes usan cada vez fórmulas más detalladas para hacernos creer que son quienes no son y conseguir nuestras claves de acceso al banco, un pago mediante pasarela virtual o un código de verificación por SMS mediante el que suplantar nuestra identidad.
En la carrera eterna entre policía y ladrón, los primeros van poniendo vallas más altas y los segundos van logrando palancas más fuertes. En esta fase, las vallas recién instaladas son códigos que nos adjuntan en cada comunicación, sea por SMS o por correo electrónico, para poder cotejar la autenticidad del emisor.
17 caracteres para prevenir fraudes
En los últimos tiempos hemos visto muchos ejemplos, pero quizás uno de los más refinados fue Flubot, que llegaba en forma de falso SMS de Fedex camuflando un peligroso virus capaz de vaciar la cuenta bancaria de la víctima. La banca o Correos son otros de los suplantados habituales.
El sistema habilitado por Correos consta de un código alfanumérico de diecisiete caracteres que nos llega junto a las notificaciones de la empresa para avisarnos de que un paquete nos está esperando en nuestra oficina más cercana.
Este es el aspecto que tienen los correos desde mayo, cuando se empezaron a implementar de forma progresiva, con el código al pie del mismo:
Una vez entramos a la web, en este caso de Correos, aparece un acceso al servicio 'Verificador de mail' en el que pegar el código y comprobar si obtenemos luz verde.
Un detalle importante es que este código solo puede ser verificado una vez, así que en casos de correos donde tenga acceso más de una persona puede ocurrir que alguien lo haya verificado antes y a la otra persona le aparezca como inválido.En ese caso, de toda formas, el verificador no dice no reconocer el código, sino que informa de que ya fue validado anteriormente. Así y todo, este último caso también podría ser sospechoso de phishing si hay un atacante avispado que reutiliza un código original.
Bancos como La Caixa no recurren de momento a este tipo de soluciones, pero también han desarrollado una forma de presentarse como genuinos cuando envian un correo electrónico a sus clientes. En su caso, incluyen el nombre de pila y los últimos dígitos del DNI del cliente al que se dirigen.
De esa forma consiguen empezar el correo dando una información que un atacante no suele tener a mano. En cualquier caso, un DNI es algo que puede ser obtenido de formas relativamente fáciles, por ejemplo si esa persona aparece en el BOE por cualquier motivo, como el acceso a una plaza de funcionario u otro tipo de proceso que se incluya en el boletín. Por lo que ante un ataque especialmente dirigido hacia una persona, esto podría ser una medida insuficiente. Un primer paso, quizás, para evitar al menos los envíos masivos, requiriendo un mayor esfuerzo al atacante.
En el caso de Correos, el agujero de seguridad más evidente sería uno muy similar al que ha reinado hasta ahora: que un atacante recree la propia web de Correos usando un dominio o un subdominio similares, y valide los códigos que él mismo ha proporcionado.
Así que el primer paso lógico para prevenir fraudes, con mecanismos de seguridad como el de los códigos, o sin ellos, sigue siendo ser consciente de cuál es el dominio web genuino de quien está ofreciendo un servicio que pueda ser suplantado.
Desde Correos explican a Xataka que se están realizando unas 80.000 consultas diarias de estos códigos, y que unos 500.000 usuarios únicos los han utilizado desde que se pusieron en marcha. También esperan que además de ser útil para sus clientes, pueda animar a otras empresas a "implantar soluciones que ayuden a detectar el fraude".
Aunque en esta fase inicial estos códigos se están aplicando a los envíos de paquetes, más susceptibles de intentos de phishing, también se irán incorporando a todas las comunicaciones de Correos.
Ver 21 comentarios