El phishing es esa práctica en donde la víctima recibe -en general- un correo indicando que nuestra cuenta de banco tiene un problema y que tenemos que entrar a la página de la institución financiera a resolverla. Sin embargo, aunque la página a la que nos remite el correo maloso es idéntica a la original en el «look & feel», en lo que se refiere a los enlaces de la misma son totalmente diferentes. Por ejemplo, en lugar de remitirnos a la página del banco Santander pudiese ser que nos llevase a una página con un URL que podría empezar con «satander». Es fácil que como usuarios no advirtamos la diferencia y creamos que estamos en la página oficial del banco y no en una copia fraudulenta.
Muchos navegadores indican a sus usuarios cuando algún enlace no corresponde al que supuestamente se indica en el texto del mismo, pero no puede automatizarse esto y no hay navegador que pueda contemplar todos los trucos humanos para intentar robarnos nuestra información confidencial.
¿Pero es esta práctica, el phishing, algo que debiese preocuparnos? ¿No sabemos ya que los bancos jamás piden por correo o teléfono nuestros datos personales? Pues parece que el phishing sigue causando víctimas. En Michigan, Estados Unidos, un grupo de auditores condujeron un ataque falso de phishing a 5000 empleados del estado y un tercio de ellos abrió el correo y dio click en el enlace que ahí se mencionaba. Casi una quinta parte de los que abrieron el mensaje dieron su identificación y contraseña.
La operación intentaba mostrar las debilidades de la red de computación del gobierno. Los esquemas de phishing están más que vigentes y los usuarios que son engañados al final del día podrían estar comprometiendo información personal o del lugar donde trabajan.
La oficina de auditor general de Michigan hizo 14 hallazgos en una auditoría, incluyendo cinco que fueron los m{as serios. Se encontró, por ejemplo, un manejo inadecuado de los «firewalls» así como procesos insuficientes para confirmar si solamente se pueden conectar dispositivos autorizados a la red. «Los dispositivos no autorizados pueden no cumplir con las regulaciones estatales, incrementando el compromiso de infección en la red», dice el auditor.
El Departamento de Tecnología, Administración y Presupuesto, estuvo de acuerdo en que muchos de los hallazgos aunque parcialmente algunos son parte del mismo problema. Dice que el correo de phishing del auditor se reportó como un «tip de seguridad» en el correo del departamento muchas veces y que gracias a otros controles bien pudo limitarse la efectividad de este ataque. La agencia añadió que se formalizarán algunas prácticas para hacerlas más seguras y las mejores, pero que esto empezará en abril de este año.
«Los datos que tienen los estados en la red gubernamental están a salvo y seguros debido a las múltiples capas de protección en nuestro ecosistema de seguridad», dijo el vocero Caleb Buhs, quien dijo que el estado ha empezado a implementar muchas de las recomendaciones del auditor. «Esta auditoría nos da un buen plan de trabajo para priorizar las inversiones futuras en la infraestructura de tecnología», indicó.
La auditoría, que cubrió un período de 3 años (2014-2017), dijo que el estado no estableció o implementó un proceso efectivo para manejar las actualizaciones en los sistemas operativos de los dispositivos de la red. Se identificaron diez vulnerabilidades altas o medianamente peligrosas. Sin embargo, el auditor general, Doug Ringler, dijo que el esfuerzo de la administración del gobierno para tener una red de tecnología de la información segura ha sido «moderadamente suficiente».
Desde luego que más allá de la idea del estudio de phishing, se sigue demostrando que es aún muy efectiva esta práctica y por ende se sigue dando. La única solución a esto es educar sobre el problema y hacer entender a los usuarios a los peligros que se exponen. Eso muchas veces es un largo camino y por ello se busca implementar medidas más rápidamente, aunque estas sean coercitivas.