Tecnología
En Google evitan el phishing con USBs, descubre cómo
Dependiendo del nivel de conocimientos informáticos del usuario, es posible que exista cierta incertidumbre cuando se trata sobre sistemas de seguridad informática. Lo cierto es que aunque instalemos diferentes antivirus, Firewalls y demás programas que impidan que un virus y otros elementos utilizados por atacantes se instalen en nuestro ordenador, siempre existen otras técnicas que nos van a ser completamente imposibles evitar. Si te interesa cómo poder evitar el pishing te recomendamos que leas este artículo para mantener tu seguridad en Internet inquebrantable.
¿Qué es el phishing?
Uno de los ataques informáticos más populares, sobre el que posiblemente hayamos leído alguna vez, es el “phishing”. Este término hace referencia al concepto anglosajón “fishing”, que en español significa “pescando”, porque de alguna forma la estrategia de este ataque tiene el mismo formato.
El mecanismo es muy sencillo: por alguno de los medios de comunicación conocidos, ya sea correo electrónico, WhatsApp o SMS, el atacante manda un mensaje en nombre de una empresa reconocida o incluso una amistad. En este mensaje se explica la necesidad de realizar una acción que implica poner en riesgo nuestros datos personales como el nombre de usuario y la contraseña, o incluso ejecutar un archivo que se hace pasar por fotografía.
Los mensajes son el anzuelo. Los mandan máquinas automatizadas que recogen ingentes cantidades de información a diario de millones de usuarios en Internet. De vez en cuando, una persona pica el anzuelo y en ese momento el atacante aprovecha la información recabada.
El término se ha popularizado en los últimos años gracias a que Google ha sido uno de los estandartes online para combatir este tipo de ataques. De hecho, posiblemente fue la primera empresa en popularizar el término mandando continuamente mensajes a través de su plataforma de correo de Gmail para alertar sobre estas técnicas fraudulentas.
¿Cómo evitan el phishing en Google? Sistemas de seguridad informática más avanzados que el antivirus clásico
Ya que sabemos cómo funciona el phishing, podremos darnos cuenta que existen ciertos mecanismos para evitar que se efectúe este ataque. Vamos a plantear dos escenarios:
La doble autenticación: una buena solución
Supongamos que nos llega un e-mail de nuestro banco diciéndonos que por un problema técnico debemos acceder a nuestra cuenta inmediatamente para no perder nuestro dinero. El correo es muy convincente porque tiene el logotipo y los colores del banco, así que entramos, metemos nuestro usuario y contraseña y resulta que no podemos acceder. Volvemos a intentarlo y finalmente accedemos para comprobar que todo está bien. Pensamos que solo fue un error de la compañía y dejamos a un lado asunto.
El ataque consiste en que al entrar por primera vez, en realidad accedemos a una página simulada del banco, la cual recopila nuestro usuario y contraseña sin nuestro conocimiento.
Hoy en día los bancos se han protegido con un sistema doble de autenticación para operaciones delicadas como las transferencias. Primero entras con tu usuario y contraseña simplemente para acceder, pero luego tienes otro sistema de identificación diferente para hacer la transferencia. El atacante solo podrá ver tus cuentas, pero no podrá robarte dinero.
Google implementó también algo parecido: la autenticación de dos factores (2FA). Esta no solo obliga al usuario a acceder a su cuenta, sino que en un segundo paso tiene que meter un código extra alojado en una aplicación del móvil llamada “Google Authenticator”.
La solución definitiva: un USB para evitar el phishing
Aunque la 2FA resuelva los problemas, Google decidió dar un paso más allá. Nada garantiza que el móvil donde está alojada la aplicación no pueda quedar comprometido por algún virus u otro software que permita extraer los códigos.
Por ende, la solución fue utilizar algún dispositivo incorruptible que pudiéramos llevar a todas partes, así surgió la idea de usar un USB para evitar el phishing. El mecanismo es muy simple: se introduce el aparato en cualquier puerto del PC en el momento de identificarnos y pulsamos un botón que tiene el USB cuando la aplicación nos avisa. Automáticamente el sistema reconoce la propiedad de la cuenta y queda validada.
Salvo que el atacante de phishing tuviera en su poder ese USB de manera física, sería completamente imposible acceder a las cuentas cuyas contraseñas hubieran sido sustraídas. En definitiva, es una solución simple pero eficaz.
You must be logged in to post a comment Login