A un click
Domingo 30 de Julio de 2017

Crecen los ataques de ciberpiratas que falsifican sitios y roban información

El mecanismo consiste en copiar el sitio de una empresa con la utilización de caracteres de otro alfabeto, pero que es falso.

El sitio "https://www.аррӏе.com" se ve exactamente igual que el de la empresa estadounidense pero es falso, y su existencia es posible gracias a una técnica de engaño (de "phishing") llamada "ataque homográfico", que permite falsificar URLs usando caracteres de otro alfabeto, advirtió una reconocida empresa de seguridad informática.

La propagación de esta técnica es otro paso en el exitoso camino de los ciberdelincuentes, que explotan cada vez más trucos para copiar la identidad de sitios originales -de empresas, de bancos, de servicios- con el objetivo de confundir a los internautas y robarles. Desde hace tiempo los especialistas recomiendan tener extremo cuidado a la hora de descargar archivos desde direcciones desconocidas o al acceder a plataformas como la del homebanking, dado que entre los trucos de phishing -como se conoce a las técnicas para suplantar una identidad- es común que se copie la imagen de la web original o incluso que se reproduzca parte de su contenido. Para sortear este tipo de riesgos, "teníamos un consejo que, hasta ahora, pensábamos que era infalible: comprobar que la página es segura, que utiliza el protocolo https y, sobre todo, que tiene el certificado de seguridad", advirtió un informe publicado anteayer por la empresa Eset.

Pero ese certificado de seguridad puede conseguirse lícitamente en estos casos, ya que los ataques homográficos consisten en usar un dominio que se vea igual al original, pero que no lo es.

Eset mostró el caso del investigador Xudong Zheng, que a modo de prueba registró el dominio https://www.xn--80ak6aa92e.com/, una combinación de signos que algunos navegadores (entre ellos Firefox) muestran como https://www.аррӏе.com, prácticamente indistinguible a simple vista del https://www.apple.com/ original.

"Lo que hace que esto sea posible es el uso de caracteres Unicode (un estándar de la industria para la codificación, representación y manejo del texto) de sistemas de escritura no latinos, como el cirílico o griego. En estos alfabetos podemos encontrar caracteres que son similares o incluso idénticos a los que usamos en el alfabeto latino y en las URLs", pero que no lo son, explicó la investigadora Cecilia Pastorino.

"Gracias a Punycode, que es una sintaxis de codificación que permite que cualquier caracter Unicode sea traducido a una cadena más limitada de caracteres que sea compatible con URL, se puede registrar un dominio que utiliza estos caracteres", continuó.Esto hace posible, por ejemplo, que se registre el dominio "xn--pple-43d.com" y que el navegador lo muestre como "apple.com", cuando en realidad se escribe usando el caracter cirílico "а" en lugar de la "a" latina.

Otros ejemplo citados en el informe son los de "tωitter.com (xn--titter-i2e.com en Punycode) y gmạil.com (xn--gmil-6q5a.com), casi idéntico al original pero con un pequeño punto debajo de la "a". Si bien se ven iguales a simple vista -y lleva a las personas a confiar en introducir sus datos con la creencia de que es un sitio seguro-, para los navegadores y certificados de seguridad son dos caracteres diferentes, y por lo tanto representan diferentes dominios. Los principales navegadores de internet tienen sistemas que intentan prevenir este tipo de ataques y, si un dominio contiene caracteres de diferentes sistemas de escritura, en lugar de mostrar su forma Unicode, muestran el Punycode correspondiente.

Sin embargo, el investigador Xudong Zheng mostró cómo es posible eludir esta protección en Firefox. Incluso fue más allá y usó Amazon para obtener un certificado de seguridad para su dominio, que a primera vista es convincente ya que si uno posa el punero del muse sobre la URL, aparece la frase "verificado por Amazon".

El jefe del Laboratorio de Investigación de Eset Latinoamérica, Camilo Gutiérrez Amaya, señaló que los ataques homográficos "son formas que han encontrado los cibercriminales para distraer la atención del usuario", y aclaró que "se vienen utilizando desde hace algún tiempo, pero se están utilizando con más frecuencia".

Gutiérrez Amaya sostuvo que se trata de ataques más sofisticados, en los que el atacante tiene que registrar el sitio y hacer toda la operación: "Esto hace que no sea tan usual como uno esperaría".

Según explicó, se los suele usar "para ataques dirigidos, por ahí para apuntar a empresas específicas", y por lo general se trata de campañas que duran poco, "no mucho más de un día porque los usuarios se terminan dando cuenta y los reportan".

A modo de recomendación, el reporte pide a los internautas examinar "atentamente los certificados de seguridad, evitar acceder a sitios web a través de enlaces enviados por correo electrónico (es mejor hacerlo siempre escribiendo la URL o confiando en ella) y agregar una capa adicional de protección a sus cuentas mediante la autenticación de dos factores".

ciberdelito. Los ataques homográficos consisten en usar un dominio que se vea igual al original, pero no lo es.

Comentarios