En el cuadro de texto deberá escribir los siguientes datos de identificación: CP - Asignatura, nombre y

apellidos del alumno, login (Ejemplo: CP - Metodología de Investigación Científica-Juan Carlos Cruz
Arrieta-ESDDMRC125367). El caso práctico que no cumpla con las condiciones de identificación no
será corregido.
La revisión de los casos prácticos tendrá lugar en el plazo máximo de 10 días hábiles a su realización.
Pasados esos diez días, el alumno deberá revisar este apartado para conocer el resultado de la
revisión.

Reflexione a partir de la Lectura APENDICE C (material

que encontrará a continuación) y responda a las
siguientes cuestiones:

1. ¿Ha sido alguna vez víctima de un ataque por phising?

¿Ha recibido algún correo solicitando información sobre
su acceso a cuentas bancarias? ¿Cuál fue su reacción?

R% claro que sí, también he recibido correos de bancos y

ofertas solicitando llenar mis datos personales y sorteos
de lotería mayor con millones de dólares o euros.

2. ¿Cree que la banca electrónica actual es lo

suficientemente segura para hacer frente a este tipo de
ataques?

R% La banca electrónica se actualiza cada vez más para

prevenir estos tipos de ataques, pero los phishers son
cada vez más estratégicos.

3. ¿Comprueba habitualmente si los sitios web a los que

accede están protegidos mediante certificado y
encriptación?
R% muy frecuente, ya que tengo conocimientos en la
materia.
Pero de no poseerlo, definitivamente no, aun así, es
difícil diferenciar los phisind de una página real.

4. ¿Qué mecanismos de seguridad de los estudiados en la

asignatura resultarían aplicables a este problema?

R% El color dorado del candado y la barra azul en el

buscador, los certificados y los sitios.

5. ¿Cómo puede afectar el riesgo de phising al desarrollo

de negocio de la banca o el comercio electrónicos?
¿Cómo se pueden paliar sus efectos negativos?

R% La desconfianza de navegación en dichas páginas y

respuestas a encuestas u ofertas. En lo personal tal vez un
icono que se estire y se encoja en el momento que la página
acceda a una página real que llame la atención del usuario y un
icono que se estire y encoja si accede a una página no valida.
También crear un diccionario de base de datos de URL no
válidos para bloquear estas búsquedas.
 Presentaci๓n de
casos reales o prแcticos

APÉNDICE C: NAVEGADORES, PHISING Y DISEÑO DE INTERFACES DE

USUARIO
NOTA: Este estudio está basado en el artículo de Scott Granneman, “Browsers,
phishing, and user interface design” publicado en Security Focus.

C1.1 Porqué funciona el phishing

El phishing funciona por tantas razones, que es necesario redefinir el diseño de

tanto los navegadores como de las interfaces de usuario para proporcionar una
 FU N D A C I ำำ N UN I V E R S I T A R I A IB E R O A M E R I C A N A

seguridad real y efectiva al usuario medio que no ve o no entiende las señales de

peligro.

En ocasiones, el criminal es tan inteligente que resulta admirable, incluso aunque

se desee que pase el resto de su vida encarcelado. En el otro extremo de la
escala están los phishers. Indeseables de la web, los phishers se dedican a
spamear correos electrónicos a todos los millones de personas a las que puedan
llegar, esperando que unos pocos respondan a sus fraudulentas solicitudes de
actualización de información en PayPal, eBay o su banco habitual. Se trata de un
grave problema, y no mejora con el tiempo.

En el artículo “ Why the phishing works” (por Rachna Dhamija, J. D. Tygar, y Marti
Hearst), en escasamente 10 páginas muestra a qué gran problema se enfrentan
tanto en público general como el personal de seguridad que debe protegerlo. El
artículo trata de un experimento en el que los investigadores sentaron a un grupo
de personas a probar páginas web. Algunas de ellas eran webs falsas creadas por
el equipo, y otras eran páginas válidas. Tras observar el comportamiento de los
participantes con las páginas web, los investigadores consultaron a los usuarios
por la motivación de su comportamiento. Los resultados fueron reveladores y se
comentan a continuación.

C1.2 Las características del navegador no son una garantía

Cuando apareció Firefox 1.0, una de sus características diferenciadoras era que
cambiaba el color de fondo de la barra de direcciones cuando se accedía a una
página utilizando HTTPS volviéndose de color dorado. Es decir, además de la
indicación del candado dorado, la barra de direcciones completa se coloreaba

GE S T I ำำ N Y S E G U R I D A D D E R E D E S 1
 así, de manera que se hacía aún más obvio que se estaba entrando en una web
segura. Y eso además de los otros tres indicadores que ya ofrecía Firefox.

Sin embargo, en el estudio de Dhamija se observa que el 23% de los usuarios ni

siquiera miran estos indicadores proporcionados por el navegador, como la
dirección o la barra de estado. Muchos no tienen ni idea sobre lo que significa el
icono del candado, de hecho, uno de los participantes confesó confidencialmente
que el candado indica que el sitio web no es capaz de enviar cookies.

En lugar de fijarse en los indicadores de seguridad, lo que los usuarios miraban

era la propia página. Si tenía un buen “aspecto” o si no “les olía mal”. Si tenía
logos de VeriSign en la página, animaciones, si parecía fidedigna. En algunos
casos, el icono del candado en la propia página era suficiente para convencer al
usuario de que la página era segura, incluso más que si el candado estaba en la
barra de direcciones.

C1.3 Las url tampoco funcionan con todos

Algunos usuarios prestan atención al hecho de que la barra de direcciones cambia

 F U N D A C I ำำ N UN I V E R S I T A R I A IB E R O A M E R I C A N A
a medida que navegan por un sitio web, pero no tiene ni idea sobre lo que la
propia URL significa. Y esto también se aplica a HTTPS. Sin embargo, las
direcciones IP levantan sospechas,... aunque los usuarios tampoco saben los que
significan. Simplemente encuentran los números sospechosos.

C1.4 Los usuarios se fijan en las cosas más insospechadas

Hubo una página, la del Bank of the West, que engañó a todos los participantes en
el experimento menos uno. En esa página se introdujo un video con una
animación sobre un oso. Evidentemente, eso atrajo la curiosidad de varios
usuarios, que recargaron la página varias veces para volver a ver ese oso
animado. De hecho, algunos participantes afirmaron que la animación era una
evidencia de que el sitio era legítimo, ¡ya que supondría mucho esfuerzo copiarlo!

Los participantes del estudio ordinarios también descubrieron que la página

contenía publicidad, lo cual aumentaba su percepción de que no se trataba de un
engaño. De la misma forma, la presencia de un “favicon” (pequeño icono que
aparece en la barra de direcciones a la izquierda de la URL) se estimaba como un
indicativo de que se trataba de un sitio que no iba a robar su dinero o identidad.

C1.5 Es increiblemente fácil engañar a la gente

Algunos de los participantes del estudio no estaban familiarizados siquiera con el

término phishing, pero también se sorprendían incluso de que alguien tuviera esos
hábitos delictivos. Frente a ese nivel de ignorancia, no cabe duda de que el
phishing funciona.

2 GE S T I ำำ N Y S E G U R I D A D D E R E D E S
 Otros usuarios pueden estar más concienciados respecto al phishing, pero bien lo
ignoran o no tienen muy claro cómo utilizar los indicadores proporcionados por los
navegadores. No es un hecho asombroso, considerando que aparecen mensajes
del tipo “¿Desea aceptar este certificado temporalmente para esta sesión?
Muchos usuario no tienen la más remota idea de lo que es un certificado o una
sesión.

Incluso los usuarios más sofisticados fueron engañados con la página falsa
[Link]. Si se observa la dirección con atención, se detecta que
los investigadores utilizaron “vvest” con dos “v”, en lugar de “w”. Este trucó
consiguió despistar al 91% de los participantes. Incluso si se observa la barra de
direcciones de forma habitual, y se presta atención a los enlaces que se pinchan,
este tipo de engaños aún resultan efectivos.

C1.6 Los usuarios están convencidos de estar haciendo lo correcto

Quien no tiene conocimiento o habilidades en un área concreta, muchas veces no

sólo no se da cuenta, sino que incluso cree que es mejor de lo que realmente es.
Cuanto más incompetente es alguien para una tarea concreta, tanto menos
cualificada está esa persona para evaluar las capacidades de otra en esa área.
 FU N D A C I ำำ N UN I V E R S I T A R I A IB E R O A M E R I C A N A

Cuando alguien no consigue reconocer que se ha comportado de forma incorrecta

o mediocre, cree que lo está haciendo bien. Como resultado, el incompetente
tenderá a sobreestimar sus capacidades y habilidades.

Estas afirmaciones fueron confirmadas por el estudio sobre phishing ya

comentado, que descubrió que los participantes casi siempre estaban muy
seguros de su capacidad para distinguir una web legítima de otra fraudulenta, y
sin embargo, fueron embaucados hasta por las páginas grotescamente
incorrectas. Y hay que tener en cuenta que esto incluye a aquellos que nunca
miran la barra de direcciones para comprobar que están en una web HTTPS.

C1.7 Lo peor está por venir

El profesor de informática John Aycock y su estudiante Nathan Friess publicaron

un aviso sobre la futura amenaza sobre “spam zombie del espacio exterior”. El
título está inspirado en alguna película de Ed Wood, pero el concepto que hay tras
él no es tan divertido.

Estos nuevos zombies minarán el cuerpo de los correos electrónicos hallados en

las máquinas infectadas, utilizando los datos para automáticamente falsificar y
enviar spam mejorado y más convincente a otros destinatarios.

La nueva generación de spam puede ser enviada desde las direcciones de

personas conocidas y allegadas e incluso imitar el patrón de los mensajes que
envían (como abreviaturas comunes, faltas de ortografía o firmas personales),
favoreciendo que el destinatario abra un archivo adjunto o pinche un enlace.

GE S T I ำำ N Y S E G U R I D A D D E R E D E S 3
 Si se combina este hecho con la afirmación de los participantes del estudio de que
ellos pinchan habitualmente en los enlaces enviados por los conocidos, se puede
ver cómo se avecina el desastre.

C1.8 ¿Qué se puede hacer?

La educación es una pieza fundamental de la solución a este problema, pero

¿cómo se ejecuta de la forma más efectiva? El navegador y la web se han ido
complicando con el tiempo, de forma que el usuario medio actual tiene bastante
más que aprender que los de la pasada década.

Claramente, utilizar más ventanas pop-up o cuadros de diálogo no es la solución.

De hecho, cada vez que aparece una ventana con un mensaje del navegador,
más del 50% de los usuarios pinchan en “Aceptar” sin siquiera leer lo que pone.
También está claro que añadir avisos adicionales del tipo a los iconos, coloración
de la barra de direcciones, etc. no es de gran utilidad, si la mayoría de los
usuarios no se fijan en ellos.

¿Se deberían diseñar los navegadores para que simplemente no permitan a los
usuarios visitar sitios peligrosos o cuestionables? Ya existe una serie de iniciativas

 F U N D A C I ำำ N UN I V E R S I T A R I A IB E R O A M E R I C A N A
para crear una base de datos centralizada de sitios web malignos que el software
pueda referenciar. Un ejemplo es la Toolbar de Google. Los avisos antiphishing se
encuentran activados por defecto en los dos navegadores principales (IExplorer y
Firefox), lo cual es bueno, pero redireccionan a un mensaje que es fácilmente
ignorado por el usuario. Quizá esto no debería permitirse, o por lo menos, debería
dificultarse más el sorteamiento.

4 GE S T I ำำ N Y S E G U R I D A D D E R E D E S