100 billones de emails son enviados todos los dias. Simplemente mire su correo electrónico en su bandeja de entrada - usted probablemente tiene un par de ofertas de compras, tal vez una actualización de su banco, o tal vez uno de un amigo enviándole fotos. Usted cree que estos correos vienen de la tienda en linea, de su banco y de su amigo, pero ¿Cómo puede estar seguro de que estos correos son legítimos y no son un correo de Phishing? Comencemos definiendo que es el Phishing.
¿Qué es el Phishing?
El Phishing es un ataque a gran escala en la que el hacker va a crear un email el cual parece que viene de una compañía legitima (por ejemplo un banco), usualmente con la intención de engañar al destinatario en descargar un malware o en entrar información confidencial en un sitio de phishing (un sitio web que pretende ser legitimo pero en verdad es falso y es usado para engañar a los destinatarios a que compartan su información), para que esta sea vista por el hacker. Los ataques de phishing pueden ser enviados a un gran número de correos con el fin de que algunas cuantas personas caigan en la trampa y lleven a que sea un ataque exitoso.
¿Qué es Spear Phishing?
Spear phishing es un tipo de phishing que generalmente involucra un ataque dedicado en contra de un individuo o una organización, el spear (lanza en español) se refiere a un ataque de caza con lanza. Usualmente con el spear phishing, el atacante se hace pasar por un individuo o departamento de una organización. Por ejemplo, usted puede recibir un correo electrónico que parece ser del departamento de TI diciendo que usted necesita escribir sus credenciales de nuevo en un sitio determinado, o uno de Recursos Humanos con un nuevo paquete de beneficios como un documento adjunto.
¿Por qué el Phishing es una amenaza?
El Phishing es una gran amenaza ya que puede ser difícil de identificar. Los ataques cada vez son más sofisticados y más enfocados, por ejemplo un ataque enfocado a Argentina tratara de usar términos argentinos, empresas argentinas ect. Los hackers cada vez se perfeccionan más en como atacar a las organizaciones y usuarios.
Es difícil para el destinatario diferenciar entre un correo verdadero y uno falso. Algunas veces hay signos obvios como errores de ortografia y archivos adjuntos .exe, otros signos son mucho más difícil de identificar. Por ejemplo, un archivo adjunto de Word el cual ejecuta un macro una vez este es abierto es imposible de identificar y puede generar un robo de información.
Hasta los expertos son engañados
En un estudio realizado por Kapost se encontro que 96% de los ejecutivos a nivel mundial no pudieron diferenciar entre un correo real y uno con phishing. Lo que quiero decir es que personas que cuentan con bases de seguridad pueden también estar en riesgo. Pero las probabilidades son más altas si no hay una educación en este tema, expliquemos que tan fácil es crear un email falso.
Mire que tal fácil es crear un email falso
En esta demostración les compartiré que tan fácil es crear un email falso usando una herramienta SMPTP que se puede descargar en el internet muy facilmente. Puedo crear un dominio y usuarios desde el servidor o directamente desde mi cuenta de Outlook. He creado una para bill.gates@microsoft.com y barrack.obama@whitehouse.gov solo para mostrar que esto es posible.
Puedo comenzar a enviar correos con estas direcciones inmediatamente desde outlook. Aqui hay un email falso que envie desde netbanking@barclays.com, como vemos no hay limites para los hackers.
Esto muestra que tan fácil es para un hacker crear una cuenta de correo y enviar un correo falso con el cual pueden robar información personal. La verdad es que usted puede hacerse pasar por cualquier persona y cualquier persona puede hacerse parar por usted sin mayor esfuerzo. Es una realidad algo impactante, pero existen soluciones para asegurar la información, incluyendo los certificados digitales.
¿Qué es un Certificado Digital?
Un certificado digital es como un pasaporte virtual. Le confirma al destinatario que usted es quien dice ser. Al igual que los pasaportes emitidos por gobiernos, los certificados digitales son emitidos por Autoridades Certificadoras (ACs). De la misma manera que un gobierno verificara la identidad antes de emitir el pasaporte, la AC realiza un proceso de verificación el cual determina que usted es quien dice ser.
hay multiples niveles de verificación. El más simple es verificar que el correo es propiedad del aplicante. El segundo nivel verifica la identidad (por ejemplo con un pasaporte) para estar seguro que la persona es quien dice ser. Hay niveles más altos los cuales verifican la organización del individuo al igual que la locación física.
Los certificados Digitales permiten que usted firme digitalmente y cifre el email. Para propósitos de este blog, me enfocare en la firma de los correos.
Usando las Firmas Digitales en un Email
La firma digital de un correo muestra al destinatario que el correo que ha recibido viene de una fuente legitima.
En la imagen, usted puede la identidad de quien envia el correo, esta ha sido verificada y esta claramente en el correo. Es fácil de ver como esto ayuda a prevenir correos falsos de uno verdadero y evitar ser la victima de un correo phishing.
Ademas de verificar la fuente del correo, la firma digital del correo también ofrece los beneficios de:
-
No-repudio: ya que el certificado personal del individuo fue usado para firmar el correo, ellos no pueden más adelante decir que ellos no fueron los que lo firmaron.
-
Integridad del mensaje: cuando el destinatario abre el correo, el cliente de correos verifica el contenido del correo para estar seguro de que el contenido es el que estaba allí cuando se firmo el mensaje. Hasta el más minimo cambio al documento original generara que esta verificación de un error.
Para más información acerca de la firma de correos electrónicos los invitamos a ver el webinar Seguridad Digital Firma y Cifrado de Correos Electrónicos.