Un ladrón que quiera conseguir dinero robando información confidencial online puede meterse a la fuerza en los sistemas bancarios que almacenan dichos datos o tomarlos mientras pasan por una conexión insegura. Pero, en vez de eso, hoy en día es más fácil dedicarse al “phishing”. Es decir, convencer a usuarios de Internet incautos de que provean ellos mismos dicha información. Para lograrlo, los phishers generalmente diseñan versiones falsas de páginas reales, como un banco o un vendedor al por menor online, y atraen así a navegadores de Internet para que entreguen detalles de sus tarjetas de crédito o para abrir sesiones involuntariamente. Una treta común es engañarlos mediante un correo electrónico que dice originarse en un banco verdadero pero que en realidad contiene vínculos a una de las páginas falsas de los phishers.

Sin embargo, las posibles víctimas se están familiarizando con este ataque de phishing básico, y muchos vendedores de buscadores y correo electrónico han introducido contramedidas para protegerlas. Así que los phishers están buscando métodos nuevos para aprovecharse de los incautos, dice Amit Klein, responsable máximo de tecnología de Trusteer, ubicada en Tel Aviv, Israel. Por ejemplo, la página de microblogeo, Twitter se usa cada vez más para distribuir vínculos de phishing.

Sin embargo, Klein dice que “el ataque básico no será tan exitoso en el futuro como ha sido hasta ahora”, y en un esfuerzo para evitar ataques de phishing futuros, su empresa está buscando mejores maneras de engañar a la gente para sacarle dinero a los usuarios antes de que lo hagan los sinvergüenzas. Klein dice que una táctica nueva de los phishers que es preocupante, involucra meterse fraudulentamente en una página legítima a fin de meter un código malicioso que haga aparecer ventanas que soliciten los nombres y claves de los usuarios para ingresar a una página de un banco. De todos modos, este método tiene un valor limitado ya que la mayoría de los usuarios se sorprende ante el pedido repentino.

Trusteer recientemente descubrió un punto vulnerable en los navegadores principales que hacen que esta última estratagema sea mucho más peligrosa al permitir que “el phishing acontezca cuando uno está dentro de la sesión” y que sea un ataque mejor diseñado. Al aprovecharse de este punto vulnerable, un phisher podría detectar, a través de la página que hackeó, cuándo un usuario abre una sesión en una página bancaria. La página hackeada podría abrir una ventana avisándole al usuario que se le acabó el tiempo de sesión y que debe volver a reingresar sus datos para reiniciar la sesión. Sería más difícil que este método levantara sospechas ya que la ventana no aparece tan sorpresivamente.

La vulnerabilidad básica descubierta por los investigadores israelíes es una falla en el navegador de la Red que le permite al phisher ver cuáles otras páginas visita una persona. Klein explica que cierta función de JavaScript, usada habitualmente por vendedores online al por menor, deja un rastro que revela que el usuario inició una sesión en esa página. Klein dice que las protecciones tales como bloqueadores repentinos no necesariamente desbaratarían el ataque debido a que la página hackeada podría estar modificada en sí para que parezca un pedido de reiniciar la sesión.

“Creo que es muy bueno que estemos tratando de identificar focos adicionales de ataques de phishing como este”, dice Nitesh Dhanjani, un investigador independiente de seguridad que estudia métodos y tendencias de phishing. Dice Dhanjani que por el momento, este tipo de ataque está más allá de las habilidades técnicas del phisher medio. “Hay muy poco margen para entrar en el juego de phishing, por lo tanto, los phishers no tienen razones para evolucionar y transformarse en una comunidad sofisticada”, comenta. Y agrega que, sin embargo, a medida que los usuarios estén mejor protegidos contra los tipos de ataques más básicos, el margen técnico de los phishers podría ampliarse. “Tal vez, ahora es cuando vemos técnicas un poco más avanzadas incorporadas a los equipos de phishing”.

Klein dice que Microsoft, Apple, y Mozilla le han dicho que planean emitir parches para la vulnerabilidad del navegador descubierta por Trusteer. Él agrega que los usuarios pueden protegerse siendo cuidadosos cerrando sus sesiones de páginas bancarias y de compras online antes de visitar otras páginas.