Anti-
Phishing, como evitar el "Phishing"
Existen varias técnicas diferentes para combatir el
phishing, incluyendo la legislación y la creación de tecnologías específicas que tienen como objetivo evitarlo.
Respuesta social
Una estrategia para combatir el
phishing adoptada por algunas empresas es la de entrenar a los empleados de modo que puedan reconocer posibles ataques
phishing. Una nueva táctica de
phishing donde se envían correos electrónicos de tipo
phishing a una compañía determinada, conocido como spear
phishing, ha motivado al entrenamiento de usuarios en varias localidades, incluyendo la Academia Militar de West Point en los Estados Unidos. En un experimento realizado en junio del 2004 con spear
phishing, el 80% de los 500 cadetes de West Point a los que se les envió un e-mail falso fueron engañados y procedieron a dar información personal.
Un usuario al que se le contacta mediante un mensaje electrónico y se le hace mención sobre la necesidad de "verificar" una cuenta electrónica puede o bien contactar con la compañía que supuestamente le envía el mensaje, o puede escribir la dirección web de un sitio web seguro en la barra de direcciones de su navegador para evitar usar el enlace que aparece en el mensaje sospechoso de
phishing. Muchas compañías, incluyendo eBay y PayPal, siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera genérica como ("Querido miembro de eBay") es probable que se trate de un intento de
phishing.
Respuestas técnicas contra el
Phishing
Hay varios programas informáticos anti-
phishing disponibles. La mayoría de estos programas trabajan identificando contenidos
phishing en sitios web y correos electrónicos; algunos software anti-
phishing pueden por ejemplo, integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real del sitio visitado. Los filtros de spam también ayudan a proteger a los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el
phishing recibidos por el usuario.
Muchas organizaciones han introducido la característica denominada pregunta secreta, en la que se pregunta información que sólo debe ser conocida por el usuario y la organización. Las páginas de Internet también han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces el sitio no es legítimo.26 Estas y otras formas de autentificación mutua continúan siendo susceptibles de ataques, como el sufrido por el banco escandinavo Nordea a finales de 2005.
Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de
phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para cerrar páginas con contenido
phishing.
El Anti-
Phishing Working Group, industria y asociación que aplica la ley contra las
prácticas de
phishing, ha sugerido que las técnicas convencionales de
phishing podrían ser obsoletas en un futuro a medida que la gente se oriente sobre los métodos de ingeniería social utilizadas por los phishers.
Ellos suponen que en un futuro cercano, el pharming y otros usos de malware se van a convertir en herramientas más comunes para el robo de información.
Respuestas legislativas y judiciales
El 26 de enero de 2004, la FTC (Federal Trade Commission, "Comisión Federal de Comercio") de Estados Unidos llevó a juicio el primer caso contra un phisher sospechoso. El acusado, un adolescente de California, supuestamente creó y utilizó una página web con un diseño que aparentaba ser la página de America Online para poder robar números de tarjetas de crédito.
Tanto Europa como Brasil siguieron la
práctica de los Estados Unidos, rastreando y arrestando a presuntos phishers. A finales de marzo de 2005, un hombre estonio de 24 años fue arrestado utilizando una backdoor, a partir de que las víctimas visitaron su sitio web falso, en el que incluía un keylogger que le permitía monitorear lo que los usuarios tecleaban. Del mismo modo, las autoridades arrestaron al denominado phisher kingpin, Valdir Paulo de Almeida, líder de una de las más grandes redes de
phishing que en dos años había robado entre $18 a $37 millones de dólares estadounidenses.
En junio del 2005 las autoridades del Reino Unido arrestaron a dos hombres por la
práctica del
phishing, en un caso conectado a la denominada Operation Firewall del Servicio Secreto de los Estados Unidos, que buscaba sitios web notorios que practicaban el
phishing.
En los Estados Unidos, el senador Patrick Leahy introdujo el Acta Anti-
Phishing de 2005 el 1 de marzo de 2005. Esta ley federal de anti-
phishing establecía que aquellos criminales que crearan páginas web falsas o enviaran spam a cuentas de e-mail con la intención de estafar a los usuarios podrían recibir una multa de hasta $250,000 USD y penas de cárcel por un término de hasta cinco años.
La compañía Microsoft también se ha unido al esfuerzo de combatir el
phishing. El 31 de marzo del 2005, Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. En algunos de ellos se acusó al denominado phisher "John Doe" por utilizar varios métodos para obtener contraseñas e información confidencial. Microsoft espera desenmascarar con estos casos a varios operadores de
phishing de gran envergadura. En marzo del 2005 también se consideró la asociación entre Microsoft y el gobierno de Australia para educar sobre mejoras a la ley que permitirían combatir varios crímenes cibernéticos, incluyendo el
phishing.