<b>Seguridad activa contra el phishing y el pharming</b>
El <i>phishing</i> (con su nueva variante, el <i>pharming</i>) parece ser una de las plagas de los últimos tiempos en el panorama de seguridad informática. Sus consecuencias van más allá de una pérdida de datos o corrupción del sistema operativo: atacan directamente nuestras cuentas, en el caso cada vez más frecuente de que seamos usuarios de banca por internet. Es el ataque más habitual, pero no el único: objetivos también pueden ser cuentas de webs no bancarias pero relacionadas con el dinero como eBay o simples buzones de correo electrónico como Gmail.
Sus mecanismos se basan más en técnicas de ingenería social (engaño) que en vulnerabilidades del sistema operativo. Por tanto, no es recomendable dejar toda la seguridad en manos del antivirus o del cortafuegos y sí adoptar una serie de medidas de prevención muy sencillas de llevar a cabo y que garantizan una protección prácticamente completa frente a estos ataques.
Son los cinco mandamientos <i>anti-phishing</i>.
<b>1. No pincharás en los links de los E-mails.</b>
Éste es el principal, el imprescindible, la primera premisa de todo usuario de ordenador preocupado por el <i>phishing</i>. Siguiendo este sencillo consejo <b>a rajatabla </b>conseguiremos evitar noventa y nueve de cada cien ataques de este tipo.
La comodidad es enemiga de la seguridad, afirma el dicho informático. Nos llega un mail avisándonos de algo generalmente importante y urgente, e invitándonos a pinchar en un bonito e inocente enlace. Como somos muy comodones, lo hacemos. El enlace nos traslada a una web <b>calcada de la original</b>, donde se nos pide usuario y contraseña. El resto se puede imaginar: datos y cuenta bancaria en poder del atacante, para que haga con ella lo que quiera.
El método de actuación correcto si recibimos un E-mail con enlaces es el siguiente:
-<b>Si hace referencia a una web CONOCIDA por nosotros y en la que HAY implicadas contraseñas</b>: ignorar el E-mail, por alarmista que sea su contenido. Un banco <b>jamás nos va a amenazar </b>con cancelar una cuenta en 24 horas si no nos metemos en su web ¡imagináos que os pilla de viaje! Si nos pica la curiosidad, siempre podemos confirmar el contenido del mensaje por teléfono. Si tenemos que meternos en la web, repetimos, <b>nunca lo haremos pinchando en un enlace o imagen contenido en un correo electrónico</b>. La metodología correcta es abrir una ventana vacía de nuestro navegador favorito y acceder desde ahí a la página, mejor desde un favorito/bookmark que tecleando la dirección en la barra (esto lo explicaremos más adelante).
-<b>Si hace referencia a una web DESCONOCIDA por nosotros y en la que HAY implicadas contraseñas</b>: ignorar el E-mail. Posiblemente se trate de un intento de <i>phishing</i> que ha ido a parar a la víctima equivocada. Como los atacantes no saben a priori qué banco maneja cada "objetivo", envían indiscriminadamente sus mails esperando que al menos un porcentaje de los destinatarios use los servicios de la página web falsificada.
-<b>Si hace referencia a una web en la que NO HAY implicadas contraseñas</b>: en este caso la amenaza de <i>phishing/pharming</i> desaparece, aunque no bajemos la guardia: la página destino puede alojar virus u otras amenazas. O simplemente ser falsa. Es preferible seleccionar la dirección del enlace, copiarla al portapapeles y pegarla en el navegador, que pinchar en él.
<b>2. Protegerás tu archivo HOSTS.</b>
Este archivo, presente en casi todos los sistemas operativos con soporte TCP/IP (todos los que pueden conectarse a internet), es uno de los blancos perfectos para las bromas de oficina: su modificación puede hacer que un compañero, al intentar meterse en su cuenta de correo web, acabe en una página porno. Y da lo mismo que teclee perfectamente la dirección en el navegador.
Pero esto lo saben también los delincuentes, que aprovecharán el menor descuido para introducirnos algún virus que modifique el archivo <b>hosts</b>. Lo que haría que, al meternos en la página www.mibanco.com, incluso con los métodos seguros explicados en el primer mandamiento, nos trasladara a una www.mibanco.com <b>falsa</b>, que inmediatamente se apropiaría de nuestra contraseña tras escribirla nosotros.
La metodología a seguir para proteger el archivo <b>hosts</b> implica dos pasos: <b>limpiarlo y bloquearlo</b>. Sólo hay que hacerlo una vez y no se tarda más de diez minutos.
-<b>Limpieza</b>: aún más peligroso que tener un <b>hosts</b> al descubierto, es bloquearlo cuando ya ha sido infectado. Así que el primer paso es verificar que no ha sido modificado externamente; en caso afirmativo, su limpieza es muy sencilla.
<table width="75%" border="0" align="center" bgcolor="#EEEEEE" cellspacing="5"><tr><td>
<b>A</b>. Arrancamos el Bloc de Notas (Inicio > Ejecutar > notepad)
<b>B</b>. Seleccionamos el archivo <b>hosts</b> y lo arrastramos y soltamos dentro de la ventana del Bloc de Notas. Según la versión de Windows, <b>hosts</b> estará localizado en diferentes sitios e incluso cambiará su nombre:
·C:Windows<b>lmhosts</b> si usamos Windows 95, 98 ó Millenium.
·C:WinntSystem32driversetc<b>hosts</b> si usamos Windows 2000.
·C:WindowsSystem32driversetc<b>hosts</b> si usamos Windows XP.
<b>C</b>. Su contenido se divide en dos partes: una de comentarios, cada una de cuyas líneas comienza por una almohadilla (#); y el resto, que es realmente la parte funcional del archivo. Un ejemplo típico lo tenéis en el Anexo I que se incluye al final de este documento.
<b>D</b>. Pues bien, la parte de comentario hay que ignorarla. En el resto, debemos fijarnos en que <b>no existan líneas sin almohadilla o bien que haya una sola</b>: <b>127.0.0.1 localhost</b>.
<b>E</b>. Si hay más líneas, <b>debemos eliminarlas y guardar el archivo</b>. Si no hay más líneas, simplemente cerraremos el Bloc de Notas sin guardar cambios.
<b>F</b>. Algunas redes corporativas utilizan el archivo <b>hosts</b> para asignar nombres de equipos sin demasiadas complicaciones. Si nos encontramos en esta situación, debemos consultar con el administrador de la red antes de eliminar cualquier línea del archivo.
<b>G</b>. Así mismo, algunos usuarios lo utilizan como método anti-banners y anti-adware. Si el PC no es nuestro, debemos consultar a su dueño antes de eliminar cualquier línea del archivo.
</td></tr></table>
-<b>Bloqueo:</b> la manera más sencilla de impedir modificaciones no autorizadas del archivo <b>hosts</b> es abriendo sus propiedades y <b>activando la casilla "sólo lectura"</b>.
Debería bastar con esa acción; pero si usamos el sistema de archivos NTFS (Windows 2000, XP, etc) y una cuenta de administrador, una forma de protegerlo aún más es quitarle los permisos de modificación.
<table width="75%" border="0" align="center" bgcolor="#EEEEEE" cellspacing="5"><tr><td>
Preliminar: si usamos Windows XP, tendremos primero que entrar en Mi PC > Herramientas > Opciones de Carpeta > pestaña Ver y desmarcar la opción Utilizar uso compartido simple de archivos. A continuación, pulsaremos el botón Aplicar a todas las carpetas y saldremos del menú con Aceptar.
<img src="http://www.adslayuda.com/imagenes_mods/mced/xp.uso.compartido.png" width="634" height="570">
A continuación, nos dirigiremos al archivo <b>hosts</b> y sacaremos sus Propiedades. En la pestaña Seguridad, tenemos que desactivar su configuración heredada:
·En Windows 2000, simplemente desmarcaremos la casilla Hacer posible que los permisos heredables.... Cuando seguidamente nos pregunte si queremos Copiar, Quitar o Cancelar, escogeremos Copiar.
·En Windows XP, accederemos a la sección Opciones Avanzadas. Allí desmarcaremos la opción Heredar del objeto principal.... Cuando seguidamente nos pregunte si queremos Copiar, Quitar o Cancelar, escogeremos Copiar. Aceptamos para salir del submenú.
Ahora tenemos que <b>eliminar</b> todos los usuarios menos SYSTEM y los Administradores. Por último, quitaremos a estos dos <b>todos</b> los permisos menos el de lectura (Leer).
<img src="http://www.adslayuda.com/imagenes_mods/mced/xp.hosts.solo.lectura.png" width="404" height="509">
De esta forma, nuestro archivo <b>hosts</b> estará a salvo de cualquier modificación.
</td></tr></table>
<b>3. Usarás los bookmarks/favoritos de tu navegador en vez de teclear la dirección.</b>
En tutoriales de prevención contra el <i>phishing</i>, se suele recomendar teclear directamente la dirección de nuestro banco en la barra de direcciones de nuestro navegador. Si bien esto es claramente preferible a romper el Primer Mandamiento (pinchar en un enlace de un correo electrónico, recordemos), es un método vulnerable a la acción de los <i>keyloggers.</i>
Los <i>keyloggers</i> son programas que se instalan clandestinamente en nuestro sistema, capturando todas las pulsaciones del teclado y enviándolas a una aplicación del delincuente, el cual las interpretará y sacará información valiosa que puede usarse para entrar sin permiso en nuestro banco <i>online</i>.
Veamos lo que puede leer el atacante si, en medio de una conversación por chat, nos metemos en nuestro banco:
<table width="75%" border="0" align="center" bgcolor="#EEEEEE" cellspacing="5"><tr><td><font face="Courier New, Courier, mono">...te digo ahora mismo cuándo hice la transferenciawww.bancodeespaña.esjavier_rodriguez12345678pues justo hace tres días...</font></td></tr></table>
Cualquiera puede extraer de estas líneas que la víctima tiene una cuenta en www.bancodeespaña.es, cuyo usuario es javier_rodriguez y cuya contraseña es 12345678. Con todo lo que supone.
Sin embargo, si guardamos esa dirección en los Favoritos o Bookmarks del navegador y entramos en la web usándolos, el archivo que recibirá el atacante dirá lo siguiente:
<table width="75%" border="0" align="center" bgcolor="#EEEEEE" cellspacing="5"><tr><td><font face="Courier New, Courier, mono">...te digo ahora mismo cuándo hice la transferenciajavier_rodriguez12345678pues justo hace tres días...</font></td></tr></table>
Aunque el atacante pueda detectar un usuario y una contraseña (cosa tampoco sencilla, ya que esta línea estará rodeada de cientos de caracteres), le resultará imposible saber a qué web pertenece.
Pese a que, en teoría, los intentos de comunicación de un <i>keylogger</i> deberían ser detectados por los <i>firewalls</i> por software, no debemos basar toda nuestra seguridad en ellos. Estos productos son bastante menos eficaces a la hora de bloquear comunicaciones no deseadas en sentido saliente: conocidas vulnerabilidades como la inyección de código en navegador permiten a un buen <i>keylogger</i> burlar la vigilancia del <i>firewall</i>.
No obstante, para que la seguridad de este método sea completa, debemos poner en práctica el siguiente mandamiento:
<b>4. Sustituirás los dominios por IPs.</b>
Los atacantes no sólo pueden atacar nuestro archivo <b>hosts</b> para redirigir www.mibanco.com a una página falsa. Su objetivo puede ser los servidores DNS de nuestro proveedor de internet. Las consecuencias serían las mismas que modificar el <b>hosts</b>. Por ello, lo mejor que se puede hacer es prescindir de cualquier traducción de nombres a la hora de tratar con webs de contenido delicado. Siempre deberíamos usar directamente las IPs. Es otro proceso que sólo hay que hacer una vez y que nos proporciona un altísimo grado de protección.
¿Cómo se averigua cuál es la IP de nuestro banco? Bien, para no hacer publicidad innecesaria, imaginemos que tenemos una cuenta en el banco japonés Mizuho. Su página web es http://www.mizuhobank.co.jp, que es la que usamos habitualmente para hacer gestiones por internet.
Abrimos una terminal de comandos (Inicio > Ejecutar > cmd) y tecleamos lo siguiente: <b>nslookup nombre_de_la_web</b> (sin el <b>http://</b>). Por ejemplo, nuestro ejemplo nipón quedaría así:
<img src="http://www.adslayuda.com/imagenes_mods/mced/nslookup.png" width="408" height="176">
La sección en la que debemos fijarnos es la titulada <b>Respuesta no autoritativa</b>. Allí veremos una dirección (address) que debemos apuntar. En este caso es 202.219.146.37.
Comprobaremos que es así en realidad, escribiendo dicha IP directamente en la barra de direcciones de nuestro navegador y verificando que se puede acceder de esa forma a la web. Aquí podemos ver que nuestro ejemplo no falla:
<img src="http://www.adslayuda.com/imagenes_mods/mced/ip.directa.jpg" width="555" height="267">
Ahora es el momento de modificar nuestros favoritos/bookmarks. Accedemos a la sección correspondiente de nuestro navegador y sustituimos la dirección "clásica" por la IP que hemos apuntado:
<img src="http://www.adslayuda.com/imagenes_mods/mced/favoritos.png" width="632" height="494">
De esta forma nos aseguraremos de blindar nuestro acceso contra cualquier intervención del archivo <b>hosts</b> o de los servidores DNS de nuestro proveedor.
<b>5. Seguirás las recomendaciones básicas de seguridad.</b>
Que son las genéricas que todo usuario de Windows debería poner siempre en práctica:
·Usar un antivirus y actualizarlo diariamente. Un firewall por software siempre es conveniente, incluso tras un router en multipuesto. Las herramientas antiespías completan el trío básico de seguridad.
·Mantener el sistema operativo al día con los últimos parches y <i>Service Packs</i>.
·Del mismo modo, usar las últimas versiones de todos los programas que se conecten a internet, especialmente <b>navegadores</b> y <b>clientes de E-mail</b>.
·<b>Cualquier archivo adjunto a un correo electrónico es dañino</b> mientras no se demuestre lo contrario. Por tanto, todos deben ser analizados con uno o dos antivirus actualizados. Independientemente de que el remitente sea o no conocido. Lo hayamos solicitado o no. <b>No hay extensiones inofensivas</b>. Jamás hay que abrir un adjunto directamente: siempre hay que guardarlo en el disco duro y analizarlo.
·Si es posible, no usar clientes de E-mail que dependan de un navegador para renderizar HTML. O dicho de otro modo: prescindir de la familia Microsoft Outlook.
·Desconfiar de todo E-mail procedente de un sitio al que se acceda mediante contraseña, especialmente bancos. <b>Si en él se nos pide rapidez o urgencia a la hora de tomar una acción</b>, con riesgo de pérdida de la cuenta si no lo hacemos, es una clara señal de que <b>se trata de un engaño</b>. El teléfono de nuestra sucursal bancaria está para algo: utilicémoslo en caso de duda.
·Por todos los dioses, <b>jamás hay que enviar contraseñas por correo electrónico</b>. Los E-mails son tan transparentes como las tarjetas postales. Si no nos queda otra opción, es mandatorio aprender y usar algún sistema abierto de cifrado, como PGP.
Y esto es todo. Cualquier duda que tengáis, no dudéis en formularla en este foro de Seguridad. Y si habéis recibido algún E-mail de este tipo, nunca está de más ponerse en contacto con la <a href="http://www.guardiacivil.org/telematicos/">Unidad de Delitos Telemáticos de la Guardia Civil</a>. Un aviso y una intervención a tiempo pueden evitar muchas estafas.
<b>Anexo I: Ejemplo de archivo </b>hosts<b> normal</b>
<table width="100%" border="0" align="center" bgcolor="#EEEEEE" cellspacing="5"><tr><td> # Copyright (c) 1993-1999 Microsoft Corp.
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo "#"
#
# Por ejemplo:
# 102.54.94.97 rhino.acme.com # servidor origen #
# 38.25.63.10 x.acme.com # host cliente x
127.0.0.1 localhost</td></tr></table>
La parte de comentario está en azul (observemos que todas las lineas comienzan por una almohadilla) mientras que la parte efectiva es la escrita en rojo.
El <i>phishing</i> (con su nueva variante, el <i>pharming</i>) parece ser una de las plagas de los últimos tiempos en el panorama de seguridad informática. Sus consecuencias van más allá de una pérdida de datos o corrupción del sistema operativo: atacan directamente nuestras cuentas, en el caso cada vez más frecuente de que seamos usuarios de banca por internet. Es el ataque más habitual, pero no el único: objetivos también pueden ser cuentas de webs no bancarias pero relacionadas con el dinero como eBay o simples buzones de correo electrónico como Gmail.
Sus mecanismos se basan más en técnicas de ingenería social (engaño) que en vulnerabilidades del sistema operativo. Por tanto, no es recomendable dejar toda la seguridad en manos del antivirus o del cortafuegos y sí adoptar una serie de medidas de prevención muy sencillas de llevar a cabo y que garantizan una protección prácticamente completa frente a estos ataques.
Son los cinco mandamientos <i>anti-phishing</i>.
<b>1. No pincharás en los links de los E-mails.</b>
Éste es el principal, el imprescindible, la primera premisa de todo usuario de ordenador preocupado por el <i>phishing</i>. Siguiendo este sencillo consejo <b>a rajatabla </b>conseguiremos evitar noventa y nueve de cada cien ataques de este tipo.
La comodidad es enemiga de la seguridad, afirma el dicho informático. Nos llega un mail avisándonos de algo generalmente importante y urgente, e invitándonos a pinchar en un bonito e inocente enlace. Como somos muy comodones, lo hacemos. El enlace nos traslada a una web <b>calcada de la original</b>, donde se nos pide usuario y contraseña. El resto se puede imaginar: datos y cuenta bancaria en poder del atacante, para que haga con ella lo que quiera.
El método de actuación correcto si recibimos un E-mail con enlaces es el siguiente:
-<b>Si hace referencia a una web CONOCIDA por nosotros y en la que HAY implicadas contraseñas</b>: ignorar el E-mail, por alarmista que sea su contenido. Un banco <b>jamás nos va a amenazar </b>con cancelar una cuenta en 24 horas si no nos metemos en su web ¡imagináos que os pilla de viaje! Si nos pica la curiosidad, siempre podemos confirmar el contenido del mensaje por teléfono. Si tenemos que meternos en la web, repetimos, <b>nunca lo haremos pinchando en un enlace o imagen contenido en un correo electrónico</b>. La metodología correcta es abrir una ventana vacía de nuestro navegador favorito y acceder desde ahí a la página, mejor desde un favorito/bookmark que tecleando la dirección en la barra (esto lo explicaremos más adelante).
-<b>Si hace referencia a una web DESCONOCIDA por nosotros y en la que HAY implicadas contraseñas</b>: ignorar el E-mail. Posiblemente se trate de un intento de <i>phishing</i> que ha ido a parar a la víctima equivocada. Como los atacantes no saben a priori qué banco maneja cada "objetivo", envían indiscriminadamente sus mails esperando que al menos un porcentaje de los destinatarios use los servicios de la página web falsificada.
-<b>Si hace referencia a una web en la que NO HAY implicadas contraseñas</b>: en este caso la amenaza de <i>phishing/pharming</i> desaparece, aunque no bajemos la guardia: la página destino puede alojar virus u otras amenazas. O simplemente ser falsa. Es preferible seleccionar la dirección del enlace, copiarla al portapapeles y pegarla en el navegador, que pinchar en él.
<b>2. Protegerás tu archivo HOSTS.</b>
Este archivo, presente en casi todos los sistemas operativos con soporte TCP/IP (todos los que pueden conectarse a internet), es uno de los blancos perfectos para las bromas de oficina: su modificación puede hacer que un compañero, al intentar meterse en su cuenta de correo web, acabe en una página porno. Y da lo mismo que teclee perfectamente la dirección en el navegador.
Pero esto lo saben también los delincuentes, que aprovecharán el menor descuido para introducirnos algún virus que modifique el archivo <b>hosts</b>. Lo que haría que, al meternos en la página www.mibanco.com, incluso con los métodos seguros explicados en el primer mandamiento, nos trasladara a una www.mibanco.com <b>falsa</b>, que inmediatamente se apropiaría de nuestra contraseña tras escribirla nosotros.
La metodología a seguir para proteger el archivo <b>hosts</b> implica dos pasos: <b>limpiarlo y bloquearlo</b>. Sólo hay que hacerlo una vez y no se tarda más de diez minutos.
-<b>Limpieza</b>: aún más peligroso que tener un <b>hosts</b> al descubierto, es bloquearlo cuando ya ha sido infectado. Así que el primer paso es verificar que no ha sido modificado externamente; en caso afirmativo, su limpieza es muy sencilla.
<table width="75%" border="0" align="center" bgcolor="#EEEEEE" cellspacing="5"><tr><td>
<b>A</b>. Arrancamos el Bloc de Notas (Inicio > Ejecutar > notepad)
<b>B</b>. Seleccionamos el archivo <b>hosts</b> y lo arrastramos y soltamos dentro de la ventana del Bloc de Notas. Según la versión de Windows, <b>hosts</b> estará localizado en diferentes sitios e incluso cambiará su nombre:
·C:Windows<b>lmhosts</b> si usamos Windows 95, 98 ó Millenium.
·C:WinntSystem32driversetc<b>hosts</b> si usamos Windows 2000.
·C:WindowsSystem32driversetc<b>hosts</b> si usamos Windows XP.
<b>C</b>. Su contenido se divide en dos partes: una de comentarios, cada una de cuyas líneas comienza por una almohadilla (#); y el resto, que es realmente la parte funcional del archivo. Un ejemplo típico lo tenéis en el Anexo I que se incluye al final de este documento.
<b>D</b>. Pues bien, la parte de comentario hay que ignorarla. En el resto, debemos fijarnos en que <b>no existan líneas sin almohadilla o bien que haya una sola</b>: <b>127.0.0.1 localhost</b>.
<b>E</b>. Si hay más líneas, <b>debemos eliminarlas y guardar el archivo</b>. Si no hay más líneas, simplemente cerraremos el Bloc de Notas sin guardar cambios.
<b>F</b>. Algunas redes corporativas utilizan el archivo <b>hosts</b> para asignar nombres de equipos sin demasiadas complicaciones. Si nos encontramos en esta situación, debemos consultar con el administrador de la red antes de eliminar cualquier línea del archivo.
<b>G</b>. Así mismo, algunos usuarios lo utilizan como método anti-banners y anti-adware. Si el PC no es nuestro, debemos consultar a su dueño antes de eliminar cualquier línea del archivo.
</td></tr></table>
-<b>Bloqueo:</b> la manera más sencilla de impedir modificaciones no autorizadas del archivo <b>hosts</b> es abriendo sus propiedades y <b>activando la casilla "sólo lectura"</b>.
Debería bastar con esa acción; pero si usamos el sistema de archivos NTFS (Windows 2000, XP, etc) y una cuenta de administrador, una forma de protegerlo aún más es quitarle los permisos de modificación.
<table width="75%" border="0" align="center" bgcolor="#EEEEEE" cellspacing="5"><tr><td>
Preliminar: si usamos Windows XP, tendremos primero que entrar en Mi PC > Herramientas > Opciones de Carpeta > pestaña Ver y desmarcar la opción Utilizar uso compartido simple de archivos. A continuación, pulsaremos el botón Aplicar a todas las carpetas y saldremos del menú con Aceptar.
<img src="http://www.adslayuda.com/imagenes_mods/mced/xp.uso.compartido.png" width="634" height="570">
A continuación, nos dirigiremos al archivo <b>hosts</b> y sacaremos sus Propiedades. En la pestaña Seguridad, tenemos que desactivar su configuración heredada:
·En Windows 2000, simplemente desmarcaremos la casilla Hacer posible que los permisos heredables.... Cuando seguidamente nos pregunte si queremos Copiar, Quitar o Cancelar, escogeremos Copiar.
·En Windows XP, accederemos a la sección Opciones Avanzadas. Allí desmarcaremos la opción Heredar del objeto principal.... Cuando seguidamente nos pregunte si queremos Copiar, Quitar o Cancelar, escogeremos Copiar. Aceptamos para salir del submenú.
Ahora tenemos que <b>eliminar</b> todos los usuarios menos SYSTEM y los Administradores. Por último, quitaremos a estos dos <b>todos</b> los permisos menos el de lectura (Leer).
<img src="http://www.adslayuda.com/imagenes_mods/mced/xp.hosts.solo.lectura.png" width="404" height="509">
De esta forma, nuestro archivo <b>hosts</b> estará a salvo de cualquier modificación.
</td></tr></table>
<b>3. Usarás los bookmarks/favoritos de tu navegador en vez de teclear la dirección.</b>
En tutoriales de prevención contra el <i>phishing</i>, se suele recomendar teclear directamente la dirección de nuestro banco en la barra de direcciones de nuestro navegador. Si bien esto es claramente preferible a romper el Primer Mandamiento (pinchar en un enlace de un correo electrónico, recordemos), es un método vulnerable a la acción de los <i>keyloggers.</i>
Los <i>keyloggers</i> son programas que se instalan clandestinamente en nuestro sistema, capturando todas las pulsaciones del teclado y enviándolas a una aplicación del delincuente, el cual las interpretará y sacará información valiosa que puede usarse para entrar sin permiso en nuestro banco <i>online</i>.
Veamos lo que puede leer el atacante si, en medio de una conversación por chat, nos metemos en nuestro banco:
<table width="75%" border="0" align="center" bgcolor="#EEEEEE" cellspacing="5"><tr><td><font face="Courier New, Courier, mono">...te digo ahora mismo cuándo hice la transferenciawww.bancodeespaña.esjavier_rodriguez12345678pues justo hace tres días...</font></td></tr></table>
Cualquiera puede extraer de estas líneas que la víctima tiene una cuenta en www.bancodeespaña.es, cuyo usuario es javier_rodriguez y cuya contraseña es 12345678. Con todo lo que supone.
Sin embargo, si guardamos esa dirección en los Favoritos o Bookmarks del navegador y entramos en la web usándolos, el archivo que recibirá el atacante dirá lo siguiente:
<table width="75%" border="0" align="center" bgcolor="#EEEEEE" cellspacing="5"><tr><td><font face="Courier New, Courier, mono">...te digo ahora mismo cuándo hice la transferenciajavier_rodriguez12345678pues justo hace tres días...</font></td></tr></table>
Aunque el atacante pueda detectar un usuario y una contraseña (cosa tampoco sencilla, ya que esta línea estará rodeada de cientos de caracteres), le resultará imposible saber a qué web pertenece.
Pese a que, en teoría, los intentos de comunicación de un <i>keylogger</i> deberían ser detectados por los <i>firewalls</i> por software, no debemos basar toda nuestra seguridad en ellos. Estos productos son bastante menos eficaces a la hora de bloquear comunicaciones no deseadas en sentido saliente: conocidas vulnerabilidades como la inyección de código en navegador permiten a un buen <i>keylogger</i> burlar la vigilancia del <i>firewall</i>.
No obstante, para que la seguridad de este método sea completa, debemos poner en práctica el siguiente mandamiento:
<b>4. Sustituirás los dominios por IPs.</b>
Los atacantes no sólo pueden atacar nuestro archivo <b>hosts</b> para redirigir www.mibanco.com a una página falsa. Su objetivo puede ser los servidores DNS de nuestro proveedor de internet. Las consecuencias serían las mismas que modificar el <b>hosts</b>. Por ello, lo mejor que se puede hacer es prescindir de cualquier traducción de nombres a la hora de tratar con webs de contenido delicado. Siempre deberíamos usar directamente las IPs. Es otro proceso que sólo hay que hacer una vez y que nos proporciona un altísimo grado de protección.
¿Cómo se averigua cuál es la IP de nuestro banco? Bien, para no hacer publicidad innecesaria, imaginemos que tenemos una cuenta en el banco japonés Mizuho. Su página web es http://www.mizuhobank.co.jp, que es la que usamos habitualmente para hacer gestiones por internet.
Abrimos una terminal de comandos (Inicio > Ejecutar > cmd) y tecleamos lo siguiente: <b>nslookup nombre_de_la_web</b> (sin el <b>http://</b>). Por ejemplo, nuestro ejemplo nipón quedaría así:
<img src="http://www.adslayuda.com/imagenes_mods/mced/nslookup.png" width="408" height="176">
La sección en la que debemos fijarnos es la titulada <b>Respuesta no autoritativa</b>. Allí veremos una dirección (address) que debemos apuntar. En este caso es 202.219.146.37.
Comprobaremos que es así en realidad, escribiendo dicha IP directamente en la barra de direcciones de nuestro navegador y verificando que se puede acceder de esa forma a la web. Aquí podemos ver que nuestro ejemplo no falla:
<img src="http://www.adslayuda.com/imagenes_mods/mced/ip.directa.jpg" width="555" height="267">
Ahora es el momento de modificar nuestros favoritos/bookmarks. Accedemos a la sección correspondiente de nuestro navegador y sustituimos la dirección "clásica" por la IP que hemos apuntado:
<img src="http://www.adslayuda.com/imagenes_mods/mced/favoritos.png" width="632" height="494">
De esta forma nos aseguraremos de blindar nuestro acceso contra cualquier intervención del archivo <b>hosts</b> o de los servidores DNS de nuestro proveedor.
<b>5. Seguirás las recomendaciones básicas de seguridad.</b>
Que son las genéricas que todo usuario de Windows debería poner siempre en práctica:
·Usar un antivirus y actualizarlo diariamente. Un firewall por software siempre es conveniente, incluso tras un router en multipuesto. Las herramientas antiespías completan el trío básico de seguridad.
·Mantener el sistema operativo al día con los últimos parches y <i>Service Packs</i>.
·Del mismo modo, usar las últimas versiones de todos los programas que se conecten a internet, especialmente <b>navegadores</b> y <b>clientes de E-mail</b>.
·<b>Cualquier archivo adjunto a un correo electrónico es dañino</b> mientras no se demuestre lo contrario. Por tanto, todos deben ser analizados con uno o dos antivirus actualizados. Independientemente de que el remitente sea o no conocido. Lo hayamos solicitado o no. <b>No hay extensiones inofensivas</b>. Jamás hay que abrir un adjunto directamente: siempre hay que guardarlo en el disco duro y analizarlo.
·Si es posible, no usar clientes de E-mail que dependan de un navegador para renderizar HTML. O dicho de otro modo: prescindir de la familia Microsoft Outlook.
·Desconfiar de todo E-mail procedente de un sitio al que se acceda mediante contraseña, especialmente bancos. <b>Si en él se nos pide rapidez o urgencia a la hora de tomar una acción</b>, con riesgo de pérdida de la cuenta si no lo hacemos, es una clara señal de que <b>se trata de un engaño</b>. El teléfono de nuestra sucursal bancaria está para algo: utilicémoslo en caso de duda.
·Por todos los dioses, <b>jamás hay que enviar contraseñas por correo electrónico</b>. Los E-mails son tan transparentes como las tarjetas postales. Si no nos queda otra opción, es mandatorio aprender y usar algún sistema abierto de cifrado, como PGP.
Y esto es todo. Cualquier duda que tengáis, no dudéis en formularla en este foro de Seguridad. Y si habéis recibido algún E-mail de este tipo, nunca está de más ponerse en contacto con la <a href="http://www.guardiacivil.org/telematicos/">Unidad de Delitos Telemáticos de la Guardia Civil</a>. Un aviso y una intervención a tiempo pueden evitar muchas estafas.
<b>Anexo I: Ejemplo de archivo </b>hosts<b> normal</b>
<table width="100%" border="0" align="center" bgcolor="#EEEEEE" cellspacing="5"><tr><td> # Copyright (c) 1993-1999 Microsoft Corp.
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo "#"
#
# Por ejemplo:
# 102.54.94.97 rhino.acme.com # servidor origen #
# 38.25.63.10 x.acme.com # host cliente x
127.0.0.1 localhost</td></tr></table>
La parte de comentario está en azul (observemos que todas las lineas comienzan por una almohadilla) mientras que la parte efectiva es la escrita en rojo.
