Mantener la seguridad ante los ataques de phishing

By January 20, 2016 Sin categorizar No Comments

¿Cree que los ataques de phishing son un tipo de ataque del pasado? No esté tan seguro. A pesar de que el filtrado del spam del correo electrónico cada vez es más inteligente, el  Anti-Phishing Working Group informa de un aumento del 18% en los informes de phishing únicos en el último trimestre de 2014, y los expertos en materia de seguridad predicen que su crecimiento continuará durante el 2016.

El phishing sigue siendo una táctica muy habitual con la que robar información como contraseñas, códigos de seguridad y números de tarjetas de crédito, y también para introducir software malintencionado en los dispositivos personales y los sistemas de la empresa. Hasta una cuenta de LastPass puede ser el objetivo de un ataque de phishing. Para la protección frente al phishing es necesario que el software que usamos tome mejores decisiones y contar con una mejor preparación individual como primera línea de defensa de un ataque.

En este documento exponemos las formas en las que LastPass combate el phishing, y qué es lo que puede hacer para mejorar sus capacidades de detección de phishing y proteger su información más confidencial cuando se produce una situación inesperada.

¿Qué es el phishing?

Los ataques de phishing adoptan numerosas formas. Se envían como correos electrónicos en los que se suplanta a su banco para solicitarle la confirmación de actividad en su cuenta. También adoptan la forma de facturas falsas en las que se le pide que descargue el documento adjunto para confirmar su compra. Pueden ser anuncios o vínculos malintencionados publicados en las redes sociales. Los atacantes pueden incluso dirigirle a una página de inicio de sesión que es una copia casi exacta de un sitio web fiable y reconocido que usted usa.

El spear-phishing adopta un carácter todavía más personal. Los atacantes enviarán correos electrónicos que dicen ser de un compañero de trabajo o jefe, o incluso de su departamento de TI. Pueden hacer que la solicitud parezca ser legítima utilizando los datos que han obtenido sobre usted para solicitar más información o conseguir que descargue un archivo malintencionado o envíe dinero.

Cómo detectar los ataques de phishing

Cómo detectar los ataques de phishing

  • Revise la URL: mire la barra de direcciones del sitio web que ha abierto, o coloque el cursor del ratón sobre un vínculo para ver la URL en la esquina inferior izquierda del navegador y confirmar si se trata de una URL de confianza o de un impostor, antes de ejecutar la acción. Por ejemplo, cuando esté en LastPass, siempre verá https://lastpass.com o https://subdominio.lastpass.com. Sin embargo, una URL de phishing podría aparecer como http://lastpass.otrodominio.com. En este caso, el dominio real es “otrodominio.com” y debe evitarse.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • Compruebe quién es el destinatario del correo electrónico: mantenga una actitud escéptica con respecto a los correos electrónicos enviados a “Estimado cliente” o en los que no se incluya ningún saludo. A estas alturas, la mayoría de tiendas y marcas se dirigen al usuario por su nombre. Los ataques de spear-phishing suelen estar dirigidos a usted, así que esta no siempre puede considerarse una medida a prueba de errores.
  • Abra el sitio web usted mismo: Si no está del todo seguro, abra una nueva pestaña o ventana en el navegador, escriba la URL directamente (o ábrala desde el gestor de contraseñas) y así tendrá la certeza de que está visitando el sitio legítimo.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Compruebe si el gestor de contraseñas muestra un inicio de sesión almacenado: LastPass puede ayudarle a protegerse frente al phishing no completando automáticamente su inicio de sesión en un sitio web fraudulento. Como el dominio no coincide con el que LastPass tiene almacenado, la aplicación no cumplimenta sus datos automáticamente. Si esto ocurre, revise la URL.
  • Cuando vea un lenguaje que le insta a actuar rápido, no se precipite: todo aquello que le insta a actuar rápidamente podría estar intentando manipularle para que haga algo sin pensar primero..
    • Plantéese preguntas: ¿le he pedido a esta persona que me envíe un archivo adjunto? ¿Es extraño que la otra persona actúe de esta forma? Siempre que tenga dudas, mantenga una actitud escéptica y simplemente pregunte.
    • Busque HTTPS:// y el candado: cuando esté en un sitio web, compruebe siempre en la barra de URL que se está conectando a través de HTTPS, como conexión segura, y de que el icono del candado está presente, lo que indica que el sitio web ha sido verificado por una empresa de seguridad externa. Screen Shot 2016-01-20 at 9.16.41 AM (2)

    Cuando el phishing tiene como objetivo su gestor de contraseñas

    Los ataques de phishing ya no están limitados a los correos electrónicos, anuncios o vínculos malintencionados en las redes sociales. Hay ataques de phishing que incluso pueden tener como objetivo las extensiones que utiliza en su navegador, suplantando incluso al gestor de contraseñas.

    Por ejemplo, es posible que un sitio web malintencionado suplante la extensión del navegador mostrando notificaciones que le solicitan información como su nombre de usuario, la contraseña y un código de autenticación de doble factor. Puede resultar complicado distinguir las notificaciones que proceden del sitio web malintencionado de las que corresponden a la extensión del navegador.

    Cómo le protege LastPass de los ataques de phishing

    • Avisando de que la contraseña maestra se ha introducido en una página que no es de LastPass: LastPass muestra un aviso destacado, incluso antes de que introduzca la contraseña maestra en una página, cada vez que intenta introducir su contraseña maestra de LastPass en una página que no es de LastPass. Sabrá inmediatamente que la contraseña maestra puede haber estado en situación de riesgo y podrá cambiarla.
    • Solicitando verificación de los inicios de sesión procedentes de ubicaciones o dispositivos desconocidos: LastPass cuenta con un proceso de verificación exigido siempre que intenta iniciar sesión desde una ubicación o un dispositivo desconocidos. Por ello, si introduce su contraseña maestra y sus datos de autenticación de doble factor sin darse cuenta, se frenarán los intentos de uso de esos datos por parte del atacante mediante los pasos de verificación por correo electrónico. El atacante tendría que obtener acceso también a su cuenta de correo electrónico, acceso que también puede reforzarse activando la autenticación de doble factor en su cuenta de correo electrónico. Si ve una solicitud de verificación que no ha iniciado, puede ignorarla tranquilamente y actualizar su contraseña maestra en la Configuración de la cuenta de la Bóveda de LastPass.
    • Evitando el cierre de sesión:incluso a pesar de que una página malintencionada puede mostrar una notificación falsa de LastPass en la que se afirma que su sesión se ha cerrado y que tiene que iniciar sesión de nuevo, debe comprobar si sigue conectado a la extensión de LastPass y solamente iniciar sesión a través de dicha extensión.

    Además de adoptar estas medidas de seguridad, estamos recomendando a Google y a otros navegadores que nos ayuden a proteger aún más a nuestros usuarios ofreciéndoles formas seguras de mostrar las notificaciones fuera de la ventana del navegador.

    Cómo puede contribuir a la protección de su cuenta de LastPass

    Además de las medidas de seguridad con las que contamos, también puede mantener la seguridad de su bóveda adoptando las siguientes prácticas recomendadas:

    • • Inicie sesión siempre desde la extensión de LastPass. La forma más segura de iniciar sesión en LastPass es haciendo clic en el icono de la extensión en la barra de herramientas del navegador.  Screen Shot 2016-01-20 at 9.24.22 AM (2)
    • No reutilice nunca su contraseña maestra. Reutilizar la contraseña maestra aumenta el riesgo de que alguien le robe su bóveda. Utilice siempre una contraseña maestra exclusiva para LastPass, y tenga en cuenta nuestra advertencia si escribe su contraseña maestra en cualquier sitio que no sea el inicio de sesión de LastPass.
    • Tenga cuidado de dónde descarga LastPass. Descargue siempre LastPass solo desde LastPass.com o desde las tiendas de complementos que incluyen su navegador o su dispositivo. No utilice nunca sitios de descargas de terceros, e incluso en las tiendas de complementos, tenga cuidado con las aplicaciones que pueden ser parecidas a LastPass pero presentar el nombre de otro desarrollador y no tener valoraciones.
    • No comparta nunca su contraseña maestra. El equipo de LastPass nunca le pedirá su contraseña maestra. Recele de cualquier persona que afirme ser de LastPass y le solicite su contraseña maestra. No revele jamás su contraseña.
    • Añada la autenticación de doble factor. Para que la seguridad sea óptima se necesitan varias capas de protección que reduzcan los riesgos. La autenticación de doble factor exige otra información antes de permitirle acceder a su cuenta. A pesar de no ser una medida de protección definitiva, sí que es una medida muy efectiva.
    • Proteja su correo electrónico con una contraseña segura y con la autenticación de doble factor. Su cuenta de correo electrónico suele incluir información muy valiosa sobre usted y de todo tipo. Protéjala como si su vida digital dependiera de ella, ya que de hecho podría depender de ella. LastPass puede generar una contraseña para su correo electrónico que sea segura pero pronunciable, para que pueda memorizarla si la prefiere. Si su proveedor de correo electrónico ofrece la autenticación de doble factor, actívela.

    Mantener la seguridad en Internet debe ser un compromiso continuo que deben mantener todas las partes. De la misma forma que LastPass tiene el compromiso de mejorar sus productos a medida que aparecen nuevas amenazas y de colaborar con la comunidad de investigación en materia de seguridad para reforzar nuestro producto, nosotros, como usuarios, tenemos que mantener el compromiso de seguir las prácticas recomendadas en materia de seguridad.