Phishing: Prácticas recomendadas (NIC.ar y ArCERT)

El titulo amarillista de esta nota rezaría: "Los ladrones trabajan todos los días la 24hs, organismos de control atienden de lunes a viernes".

Actualmente en la Argentina ciertos casos de delitos informáticos cuentan con la "protección" (involuntaria) de algunos organismos que sólo atienden de lunes a viernes. En Segu-Info creemos necesario hacer un llamado a darse cuenta de este problema y tomar las medidas necesarias para que se dispongan de servicios de guardia las 24 horas todos los días, para resolver sin demora las denuncias.

Es sabido que los delincuentes dedicados al phishing y otras estafas juegan con la ventana de tiempo que media desde que ponen en línea un sitio fraudulento hasta que el mismo es desactivado y, actualmente si ese tiempo corre durante el fín de semana, llevan todas las de ganar porque ese es el tiempo que pueden usar para conseguir más víctimas. Y, ese es el tiempo que se debe reducir a un mínimo para desalentar ciertas vías que actualmente usan con impunidad para para realizar estafas, timos, engaños o robo de información.

Justamente a raíz del último caso de phishing del Premio Mastercard que Segu-Info está investigando nos pudimos dar cuenta de varias cosas que podrían mejorar en nuestro país para proteger a los ciudadanos de estos intentos de robo de información o estafas.
Sin ir más lejos la regulación de los nombres de dominio de ICANN estipula que la información suministrada para realizar el registro de un dominio deberá ser; real, precisa y completa, cosas que en muchos casos de phishing (y en particular este del sábado) no se cumple.

Quizás sea ArCERT el organismo idóneo para coordinar y asesorar sobre procedimientos de emergencias así como también disponer la publicación de procedimientos y vías de contacto de los entes donde presentar denuncias para que sean atendidas sin demoras.

A la hora de denunciar a los organismos competentes, nos encontramos con algunas dificultades , ya que el caso de este phishing comenzó aparentemente a primeras horas del sábado pero:

• NIC.ar atiende por teléfono, sólo de lunes a viernes de 9 a 13hs. En el caso analizado, la denuncia por e-mail no ha tenido resultados visibles hasta ahora (domingo 20:30hs)
• ArCERT atiende de lunes a viernes. Hasta el momento no hemos recibido respuesta en el caso que nos compete
  

O sea que los delincuentes trabajan las 24hs todos los días, pero los organismos competentes (en este caso ArCERT y NIC.ar) sólo de Lunes a Viernes. El resultado es que se les da ventaja a los delincuentes para que "trabajen" todo el fin de semana. Resultado de eso: los ciudadanos quedamos expuestos durante este tiempo a ser víctimas.
Por otro lado, debido al ostracismo que rodea a estos organismos, desconocemos sus actividades de prevención y sería bueno que las mismas sean públicas para, si está en nuestro alcance, poder ayudar.

Además creemos que estos organismos deberían adaptar su servicio a las necesidades que plantea la realidad de los delitos informáticos que siguen creciendo sin cesar.
Por ejemplo varios CERT como el de Brasil y el de España forman parte del Anti Phishing Work Group (APWG) . Ese organismo tiene amplio apoyo de una amplia gama de empresas financieras, de seguridad informática y organismos públicos con competencia en el tema.

Creemos que ArCERT y a NIC.ar deberían considerar asociarse a APWG (si no lo están aún ya que no nos es posible saberlo) y utilizar los recursos que provee ese grupo. Entre esos recursos, algunos incluso son públicos y gratuitos, hay por ejemplo una guía de recomendación de mejores prácticas para los entes de registro de dominio. A nuestro entender de haberse utilizado, habría evitado o dificultado el último caso de phishing que estudiamos y muchos otros.

Para el caso de NIC.ar estas guías serían de utilidad si las ponen en práctica.

• Recomendacion de Mejores Prácticas Anti-Phishing para Registros de Dominios
• Medidas para Proteger los Servicios de Registro de Dominio contra la Explotación o el Abuso

En el primer documento de APWG se plantea (publicado en 2008):

El propósito de este documento es proveer un conjunto de recomendaciones a la comunidad de registros de dominios que permita reducir sustancialmente el riesgo e impacto del phishing sobre los consumidores y los negocios en todo el mundo. Las recomendaciones se enfocan en 3 áreas en donde los registros pueden ser de ayuda:

• Preservacion de evidencia con fines de investigación
• Monitoreo proactivo de fraudes
• Dar de baja dominios de phishing

Más adelante plantea:

Las medidas descriptas en este documento refuerzan un conjunto de principios de práctica común en la comunidad anti-phishing. Estos principios incluyen:

• El phishing es un riesgo de seguridad para los consumidores; mina la confianza del consumidor en Internet y daña la reputación del sistema de registro de dominios
• Proteger del phishing protege a los consumidores, protege la seguridad de Internet y reduce la pérdida económica al registrador y al ISP
  
• Dar los pasos para proteger a los consumidores contra el phishing es equivalente a proteger la marca del registrador, el registro o el ISP del daño causado por el phishing
• Las Organizaciones que son parte de la infraestructura de Internet (ISP, registradores, registros, etc.) deben tomar las medidas razonables para protegerse del phishing o para cumplir con su obligación de proteger la estabilidad y la seguridad de Internet

También se dan recomendaciones de verificación de los datos del registrante que deben ser cotejados y validados apropiadamente, cosas que evidentemente no se realizaron en el caso del Premio Mastercard.

Esperamos poder dar en un futuro cercano la noticia de que se hayan dado avances en estos temas, hoy a cargo del estado.

¿Que hacemos desde Segu-Info?

Mientras los organismos no puedan responder rápidamente, tomamos la responsabilidad (¿nos corresponde?) de hacer lo que está a nuestro alcance e invitamos a los lectores que crean poder ayudar a realizar lo mismo. Frente a un caso de phishing procedemos de la siguiente manera:

• En el caso de un hosting gratuito, denunciar el dominio para que se proceda a la baja del mismo
• En el caso de un sitio vulnerado, informar al propietario del sitio vulnerado
• Si corresponde a una entidad financiera/bancaria, se reporta el caso a la misma
• Denunciar en FireFox, opción: Menú ayuda, Informar sitio web fraudulento para que el navegador bloquee el sitio
  
• Denunciar en Internet Explorer, menú Seguridad, Filtro SmartScreen, Notificar sitio web no seguro
• Denunciar en PhishTank los dominios involucrados
• Denunciar al proveedor DNS del dominio de phishing
• Denunciar en MyWOT los dominios involucrados
• Denunciar a APWG los dominios involucrados

Y como resultado de estas últimas acciones, entidades involucradas en el filtrado de contenidos maliciosos, a partir de los 30 minutos empiezan a mostrar advertencias y bloqueos, y antes de las 12 hs el sitio de phishing generalmente está "fuera de combate".

Como puede observarse, con un trabajo organizado y desinteresado, logramos objetivos que a simple vista pueden parecer complicados, pero que están al alcance de cualquier usuario y, por supuesto, del gobierno.

Si sólo fuera por los organismos mencionados el sitio dado de alta el sábado aún estaría en línea causando daño. Si nosotros, sin colaboración institucional (sólo de algunas empresas afectadas) lo podemos hacer, no nos cabe duda que desde el gobierno y desde los organismos a quien le corresponde, pueden hacerlo.

Invitamos a cualquier organismo a opinar constructivamente la forma en que los procedimientos actuales pueden mejorarse y adaptarse, buscando la seguridad de los usuarios y apuntamos a que esta situación cambie, porque no vemos positivo que personas hagan el trabajo que le corresponde al gobierno, en su misión de protegernos a todos.

Raúl y Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín