G Data Libro Blanco 12/2009 Navidad 2009: Cómo comprar online sin poner en peligro tus datos personal Whitepaper_12_2009 Sabrina Berkenkopf & Ralf Benzmüller G Data Security Labs Go safe. Go safer. G Data. El Libro Blanco de G Data 12/2009: De compras seguras en las tiendas online Contenido Compras online, una tendencia en auge desde hace años............................................................................2 Phishing: Ataque a los datos de los compradores . ...........................................................................................2 Rasgos de seguridad de las páginas Web y las tiendas online......................................................................4 Cómo utilizar bien las contraseñas...........................................................................................................................6 ¡Es importante tener un entorno seguro! .............................................................................................................6 Resumen: ............................................................................................................................................................................7 Copyright © 2009 G Data Software AG 1 El Libro Blanco de G Data 12/2009: De compras seguras en las tiendas online Compras online, una tendencia en auge desde hace años La popularidad de los comercios online es, desde hace unos años, una tendencia en alza en la UE. En el año 2008, casi un tercio (32%) de los europeos en un franja de edad comprendida entre los 16 y los 74 años acudieron a Internet para adquirir bienes y servicios para su uso particular. Esta cifra supone un aumento del 12% en un plazo de cuatro años. En Alemania, más de la mitad de las personas encuestadas (el 53%) afirmaron que compraban en línea, en Francia fue un 40%, en España, el 20% y en Polonia, un 18% reconoció ir de compras en Internet (fuente: Eurostat). Los meses de noviembre y diciembre del 2008, con las compras navideñas, obsequiaron al comercio en Internet con unas ventas en torno a 2700 millones de euros, lo que significó un aumento del 23%, según fuentes del Bundesverband des Deutschen Versandhandels e.V. (la asociación federal alemana de venta por catálogo). La asociación sectorial Bitkom calcula que en esta temporada navideña del 2009 habrá 14,3 millones de compradores online, lo que supone un crecimiento de un tercio con respecto al 2008. Además, 8,6 millones de usuarios todavía están indecisos (fuente: Bitkom). Los pronósticos de los expertos señalan además cifras crecientes de usuarios y de ventas para el comercio en línea. Phishing: Ataque a los datos de los compradores El robo y violación de los datos personales se ha acrecentado considerablemente en los últimos años. La estafa por phising consiste en espiar e interceptar los datos personales de cualquier tipo de un ordenador. Los objetivos de los cibertimadores, y los más lucrativos para ellos, están constituidos, sobre todo, por las contraseñas y los datos de acceso a las cuentas de usuario de, por ejemplo, la banca online, los servicios de pago (como PayPal), las plataformas de compraventa, las redes sociales y los juegos en línea. Bitkom, en colaboración con la BKA, la policía judicial federal alemana, publicó la información de que el 5% de los usuarios de Internet mayores de 14 años han sido víctima de timos de phishing. Para el año 2009, Bitkom le augura a Alemania unas pérdidas por valor de 10,9 millones de euros causadas por las transacciones financieras ilegales que siguen al phishing, lo que supondría un aumento del 56% con respecto al 2008. Fig. 1: Captura de pantalla de un correo phishing de PayPal Copyright © 2009 G Data Software AG El engaño más corriente para apropiarse de los datos del usuario es enviar correos electrónicos de phishing con un diseño que suele imitar - o incluso copiar totalmente - el de empresas grandes y fiables. Los correos fraudulentos solían descubrirse de inmediato porque presentaban errores de bulto de ortografía o gramaticales, o bien les faltaban caracteres diacríticos especiales del idioma - como los acentos -. Pero hoy en día tienen una forma y estilo intachables y por eso ya no se reconocen al primer vistazo. 2 El Libro Blanco de G Data 12/2009: De compras seguras en las tiendas online Fig. 2: Imagen ilustrativa de un ataque de phishing Los bancos de renombre, las empresas de venta por catálogo con servicios de entrega de paquetes y los fabricantes de juegos de ordenador son "modelos" muy populares para estos correos electrónicos fraudulentos. Al destinatario del correo de phishing se le pide que pinche un enlace y que introduzca sus datos de acceso en la página web visitada. También se utiliza mucho el engaño de pretender que una página Web de confianza del destinatario (por ej. eBay, PayPal u otra) ha actualizado sus directrices de seguridad y que por esta razón el usuario debe ahora abrir sesión en el servicio para registrarse y/o aceptar estas nuevas directrices. En otros casos, el correo le pide al destinatario que actualice sus datos personales y cuando hace clic en el enlace integrado en el mensaje va a parar a la página fraudulenta. Otra forma de timo, especialmente crítico justo en esta época navideña en que se envían tantos paquetes, es hacer creer al usuario que tiene que registrarse en un página para poder consultar el estado actual de las compras (navideñas) que haya realizado. Aquí, las páginas Web fraudulentas a donde lleva el enlace están con frecuencia tan bien conseguidas que casi no se diferencian del original. Quién ahora ceda a la solicitud y proporcione su nombre de usuario, contraseñas, números de cuenta, PIN, TAN o similar, dejará sus datos a merced de otros y sufrirá perjuicios (financieros). Copyright © 2009 G Data Software AG 3 El Libro Blanco de G Data 12/2009: De compras seguras en las tiendas online Si, además, los timadores consiguen los datos de acceso a la cuenta de correo electrónico de la víctima, pueden incluso, aprovechando la función tan corriente en muchas páginas "Enviar una nueva contraseña", interceptar y hacerse con las contraseñas para los distintos servicios. Con la cuenta de correo así secuestrada se pueden además crear nuevas cuentas de compra, con lo que el daño puede acrecentarse considerablemente. En la clase de phishing que acabamos de describir, el usuario es el eslabón más débil en la cadena de las medidas de seguridad. Solo cuando el usuario indica sus datos "voluntariamente", estos pueden llegar a manos de los ciberdelincuentes. Por eso, se debe aplicar la siguiente regla de oro: Los correos electrónicos de los remitentes desconocidos deben tratarse con desconfianza. No se debe hacer clic en ningún enlace que nos conduzca a páginas de login, por ej. de supuestos portales de bancos, eBay, oficinas de correos o instituciones similares. La empresas serias no solicitan datos del cliente o de acceso por correo electrónico. Rasgos de seguridad de las páginas Web y las tiendas online Al recibir el correo electrónico, el usuario no debe sentirse amenazado ni apremiado a visitar inmediatamente (!) la página del enlace, con el subterfugio de que si no lo hace, se tendrá que atener a consecuencias negativas, según el mensaje del correo. En estos supuestos, simplemente se debe hacer caso omiso del enlace en el correo electrónico. Las direcciones Web deben, preferentemente, introducirse siempre manualmente en la barra de direcciones del navegador de Internet o llamarse mediante un favorito que tenga el usuario. Cuando el cliente visite una página en que esté indicada una precaución especial al manipular los datos personales, conviene que tenga en cuenta también los siguientes rasgos de seguridad: Fig. 3: Captura de pantalla de una página segura en Mozilla Firefox 3.5 La visualización en el navegador de un símbolo de un candado y el prefijo "https" al comienzo de la dirección Web. Últimamente, en muchos navegadores de Internet, una página Web encriptada se reconoce en que la barra de direcciones es de color verde. Copyright © 2009 G Data Software AG 4 El Libro Blanco de G Data 12/2009: De compras seguras en las tiendas online Fig. 4: Captura de pantalla de una página segura en Internet Explorer 8 Estas características de seguridad no solo se deben tener presentes en las páginas de los bancos, sino que también dan garantías, cuando se paga con tarjeta de crédito o mediante cargo en cuenta en las tiendas online y al registrarse en los servicios de pago serios (como por ej., PayPal). Si la tienda en línea requiere que el comprador se registre antes, estos datos personales de registro deberían poder enviarse al comerciante mediante una conexión segura, como la que acabamos de describir. El navegador actual Internet Explorer 8 muestra además el dominio Top Level de la página Web actual en letras negras y las demás partes de la dirección, en gris. De este modo se puede estar seguro de que realmente se ha ido a parar a la página oficial de, por ej., eBay, y no a una dirección falsa que solo contenga "eBay" como un componente del nombre, con fines engañosos. Además hay que observar que las tiendas online que visitemos sean dignas de confianza. Los proveedores grandes y conocidos internacionalmente (como por ej. amazon.com) tienen una buena reputación y están bien establecidos en el comercio en línea. Pero si se eligen comercios menos afamados, los siguientes criterios nos pueden dar pistas valiosas sobre su autenticidad: • ¿El precio pedido por un producto está "en el margen normal" o es artificialmente bajo? • ¿Coinciden las descripciones del producto y las fotos? • Los costes de envío ¿están a la vista y son aceptables? • La tienda en línea ¿tiene sus Condiciones Generales de Venta (CGV) a la vista del público? • ¿Estoy de acuerdo con las condiciones y alegaciones de estas CGV? • ¿Tiene la página Web un Aviso legal? • ¿Puedo encontrar la tienda en los motores de búsqueda? ¿Es conocida? Copyright © 2009 G Data Software AG 5 El Libro Blanco de G Data 12/2009: De compras seguras en las tiendas online Cómo utilizar bien las contraseñas Para registrarse deben elegirse contraseñas fuertes. Las contraseñas como „admin“ o „password123“ no se encuentran, desde luego, entre ellas. Las contraseñas fuertes están formadas por una combinación de, como mínimo, 8 letras mayúsculas y minúsculas, cifras y caracteres especiales, como por ej. „Hb1&opGT58“. Esta cadena de caracteres es una contraseña efectiva, que es segura, sí, pero que también es difícil de memorizar. Para crear una contraseña apta para el reconocimiento personal, se pueden utilizar acrónimos, entre otros métodos: The sound of silence de Simon & Garfunkel de 1966 = TsosdS&Gd1966 También se puede recurrir al llamado „Leetspeak”. En este alfabeto alternativo se sustituyen las letras por las cifras y caracteres especiales que más se les parezcan. The sound of silence = 7h3_50und_0f_51l3nc3 Como norma general, los nombres de usuario y las contraseñas no deben guardarse en el navegador, aunque parezca que es lo más cómodo. Los datos de login y el resto de información personal almacenada le hace vulnerable a otra clase de phishing: a los ataques mediante troyanos. Los troyanos introducen subrepticiamente código dañino en el ordenador del usuario y ejecutan allí operaciones ilícitas. Una de estas posibles actividades es espiar, con programas espía, datos personales en el ordenador infectado y transferirlos a una dirección de Internet definida antes por el programador del troyano. De esta manera, los cibercriminales obtienen los datos del usuario sin ninguna intervención activa de este. ¡Es importante tener un entorno seguro! Las compras, las transacciones de banca en línea y otras operaciones sensibles no deben realizarse usando una red WLAN o desde un cibercafé. En las redes gratuitas no seguras hay un riesgo incalculable de sufrir un robo de datos, por ej. mediante sniffers - programas husmeadores o rastreadores-. En los cibercafés, las cookies y otros datos personales relacionados con el usuario pueden quedar en el ordenador público después de navegar por Internet, a la vista y a merced de los usuarios siguientes. Por lo general, los usuarios de los cibercafés no tienen tampoco ningún control sobre la configuración de seguridad del ordenador y deben, por lo tanto, confiar en los conocimientos y sensibilidad en el aspecto de la seguridad del dueño del cibercafé. Los peligros que acabamos de enumerar y su daño potencial dependen del sentido común del usuario. Pero no debemos olvidar en ningún caso que el propio ordenador también tiene una importancia esencial en las compras en línea: Un ordenador debe estar equipado con sistemas fiables antivirus, cortafuegos y también con un filtro HTTP. Así, con el software antivirus, el usuario está protegido en tiempo real de numerosos programas maliciosos (troyanos, virus, gusanos, etc), puede comprobar sus correos para detectar phishing, spam (como por ej., publicidad de casinos y de diversos productos farmacéuticos) y código dañino y filtrar estos y otros contenidos indeseados. Adicionalmente, un filtro HTTP puede comprobar en directo todo el tráfico de red entrante y saliente y bloquear inmediatamente las Copyright © 2009 G Data Software AG 6 El Libro Blanco de G Data 12/2009: De compras seguras en las tiendas online amenazas, para que las páginas Web maliciosas no puedan infectar el ordenador con contenidos indeseados, como por ej. "Gumblar", el troyano que está ahora causando estragos, Un cortafuegos regula todo el tráfico de datos con arreglo a reglas predefinidas y le pone cota en caso necesario, para que los atacantes no puedan aprovecharse de las puertas abiertas en el ordenador. Los ciberdelincuentes ponen sus miras, sobre todo, en las brechas de seguridad de los sistemas de sus víctimas. Estos agujeros se deben a una descuidada gestión de las actualizaciones, por eso, la solución antivirus y sus componentes deben siempre mantenerse absolutamente actualizados. La mayor parte de estos programas tienen sus propias rutinas de actualización que se encargan de esta tarea automáticamente. Antes de "ir de compras" en la red, se recomienda actualizar todos los componentes y realizar una exploración completa del ordenador, para que no resulte vulnerable por algún malware que ya estuviera en el sistema. Pero no solo la suite de seguridad debe estar actualizada. También debe estarlo el sistema operativo, una tarea que también se puede automatizar en casi todos ellos. Adicionalmente, también el navegador debe actualizarse con regularidad porque, como es natural, está especialmente expuesto a los ataques procedentes de Internet y seguro que presenta brechas de seguridad si la versión está obsoleta. Lo mismo se aplica a los programas de correo electrónico, a los programas de chat, los de FTP, el software de tratamiento gráfico y de vídeo y los demás programas instalados en el ordenador. Resumen: G Data Software AG recomienda las siguientes seis medidas para minimizar el riesgo potencial al hacer compras navideñas en Internet: 1. Utilice una solución antivirus, un cortafuegos y un filtro HTTP actuales 2. Mantenga actualizados el software de seguridad, el sistema operativo y los demás programas 3. No confíe en los correos electrónicos de remitentes desconocidos, no haga clic en sus enlaces y no cargue ni abra ningún archivo adjunto 4. Escriba manualmente las direcciones de las páginas Web con registro de usuario o utilice la función de favoritos de su navegador 5. Esté atento a las características de seguridad de la ventana del navegador cuando haga compras en línea: • el candado en el navegador, • la abreviatura „https“ delante de la dirección indicada, • las barras de direcciones con fondo verde en muchos navegadores modernos, • la indicación del dominio correcto top level, especialmente en Internet Explorer 8 6. Compruebe si la tienda elegida tiene CGV, el aviso legal y unas relaciones de gastos claras y comprensibles (por ej. los gastos de envío y otros costes suplementarios que haya) Copyright © 2009 G Data Software AG 7
© Copyright 2024