Combating Phishing Attacks: A Knowledge Management Approach

Universidad Matthew L. Alexandra Universidad de Universidad Ryan T.

Jensen de Oklahoma Oklahoma Durcikova Wright de Virginia
mjensen@ou.edu alex@ou.edu ryantwright@gmail.com

Abstract otros usuarios, para el uso indiscriminado de la

misma en pro de un beneficio propio. Es por esto
This paper explores how an organization can
que nosotros queremos informar a la población el
utilize its employees to combat phishing
cómo afecta el phishing dentro de nuestra vida
attacks collectively through coordinating their
diaria como internauta y a defendernos ante esto.
activities to create a human firewall. We utilize
knowledge management research on Para poder analizar mejor esto debemos
knowledge sharing to guide the design of an desarrollar lo que sería el origen de donde surge
experiment that explores a central reporting esto, quienes lo efectúan, como lo hacen y que
and dissemination platform for phishing hacer en caso de que esto nos suceda a nosotros,
attacks. The 2x2 experiment tests the effects en caso de que seamos atacados o chantajeados
of public attribution (to the first person por unos de estas personas que se dedican al
reporting a phishing message) and validation phishing.
(by the security team) of phishing messages
Hoy en día duramos mucho tiempo navegando en
on reporting motivation and accuracy. Results
internet, la mayoría del tiempo de manera
demonstrate that knowledge management
descuidada y no estamos conscientes de los
techniques are transferable to organizational
peligros que esto conlleva. Nuestra información
security and that knowledge management can
por muy tonto que parezca es muy importante
benefit from insights gained from combating
porque en las manos equivocadas puede causar
phishing. Specifically, we highlight the need to
graves daños. Los métodos y usos que dan las
both publicly acknowledge the contribution to
personas que se dedican a esto son muy variados
a knowledge management system and
y cada uno es peor que el otro, desde el chantaje
provide validation of the contribution. As we
en la red, el robo de identidad, e inclusive el
saw in our experiment, doing only one or the
secuestro y extorsión en la vida real por mencionar
other does not improve outcomes for correct
solo algunos de los más comunes.
phishing reports (hits).

Lo que nos deja en claro que esta es una práctica

Introducción
que debe ser erradicada lo más pronto posible y
Entendemos el acto del phishing como la una de las mejores maneras es previniendo
obtención de información de manera ilegal de posibles ataques hacía nosotros mismos.
Desarrollo un acrónimo retroactivo, dado que la escritura 'ph
es comúnmente utilizada por hackers para sustituir
El Phishing
la f, como raíz de la antigua forma de hacking

El phishing es una técnica de ingeniería telefónico conocida como phreaking.

social utilizada por los delincuentes para

La primera mención del término phishing data
obtener información confidencial como
de enero de 1996. Se dio en el grupo de noticias
nombres de usuario, contraseñas y detalles
de hackers alt.2600, aunque es posible que el
de tarjetas de crédito haciéndose pasar por
término ya hubiera aparecido anteriormente en la
una comunicación confiable y legítima.
edición impresa del boletín de noticias hacker

El escenario de Phishing generalmente 2600 Magazine. El término phishing fue adoptado

está asociado con la capacidad de duplicar por quienes intentaban "pescar" cuentas de

una página web para hacer creer al visitante miembros de AOL

que se encuentra en el sitio web original, en

Tipos de Phishing
lugar del falso. El engaño suele llevarse a
cabo a través de correo electrónico y, a La principal manera de llevar adelante el
menudo estos correos contienen enlaces a un engaño es a través del envío de spam (correo no
sitio web falso con una apariencia casi deseado) e invitando al usuario a acceder a la
idéntica a un sitio legítimo. Una vez en el sitio página señuelo. El objetivo del engaño es adquirir
falso, los usuarios incautos son engañados información confidencial del usuario como
para que ingresen sus datos confidenciales, lo contraseñas, tarjetas de crédito o datos financieros
que le proporciona a los delincuentes un y bancarios. A menudo, estos correos llegan a la
amplio margen para realizar estafas y fraudes bandeja de entradas disfrazadas como
con la información obtenida. procedentes de departamentos de recursos
humanos o tecnología o de áreas comerciales
Origen del Termino Phishing
relacionadas a transacciones financieras.

El término phishing proviene de la palabra

Otra forma de propagación, menos común,
inglesa "fishing" (pesca), haciendo alusión al
pueden ser el fax y los mensajes SMS a través del
intento de hacer que los usuarios "muerdan el
teléfono móvil. En algunos casos se proclamen
anzuelo". A quien lo practica se le llama
grandes premios y descuentos en la venta de
phisher. También se dice que el término
productos. También se debe destacar que el
phishing es la contracción de password
destinatario de los mensajes es genérico y los
harvesting fishing (cosecha y pesca de
mensajes son enviados en forma masiva para
contraseñas), aunque esto probablemente es
alcanzar una alta cantidad de usuarios,
sabiendo que un porcentaje (aunque sea
mínimo) caerá en la trampa e ingresará al sitio
falso, donde se le robará la información.
Anti-Phishing
Existen varias técnicas diferentes para
combatir el phishing, incluyendo la legislación
y la creación de tecnologías específicas que
tienen como objetivo evitarlo.
Una estrategia para combatir el phishing
adoptada por algunas empresas es la de
entrenar a los empleados de modo que
puedan reconocer posibles ataques. Una
nueva táctica de phishing donde se envían
correos electrónicos de tipo phishing a una
compañía determinada, conocido como spear
phishing, ha motivado al entrenamiento de
usuarios en varias localidades, incluyendo la
Academia Militar de West Point en los Estados
Unidos. En un experimento realizado en junio
del 2004 con spear phishing, el 80% de los
500 cadetes de West Point a los que se les
envió un correo electrónico falso fueron
engañados y procedieron a dar información
personal.
Un usuario al que se le contacta mediante
un mensaje electrónico y se le hace mención
sobre la necesidad de "verificar" una cuenta
electrónica puede o bien contactar con la
compañía que supuestamente le envía el
mensaje, o puede escribir la dirección web de
un sitio web seguro en la barra de direcciones de
su navegador para evitar usar el enlace que
aparece en el mensaje sospechoso de phishing.
Muchas compañías, incluyendo eBay y PayPal,
siempre se dirigen a sus clientes por su nombre de
usuario en los correos electrónicos, de manera
que si un correo electrónico se dirige al usuario de
una manera genérica como (Querido miembro de
eBay) es probable que se trate de un intento de
phishing.
El Phishing como Delito
Diversos países se han ocupado de los temas
del fraude y las estafas a través de Internet. Uno
de ellos es el Convenio de Cibercriminalidad de
Budapest pero además otros países han dedicado
esfuerzos legislativos para castigar estas
acciones.
Algunos países ya han incluido el phishing como
delito en sus legislaciones, mientras que en otros
aún están trabajando en ello.
• En Argentina, el 19 de septiembre de 2011 fue
presentado un proyecto para sancionar el
Phishing, bajo el Nº de Expediente S-2257/11,
Proyecto de Ley para tipificar el Phishing o
Captación Ilegítima de Datos en el Senado de la
Nación. Mediante este proyecto se busca combatir
las diferentes técnicas de obtención ilegítima de
información personal.
•En los Estados Unidos, el senador Patrick Leahy
introdujo el Ley Anti-Phishing de 2005 el 1 de
marzo de 2005. Esta ley federal de anti-phishing
establecía que aquellos criminales que desconocidas, evitar descargar programas
crearan páginas web falsas o enviaran spam desconocidos y contar con un buen programa de
a cuentas de correo electrónico con la protección para tu ordenador.
intención de estafar a los usuarios podrían
.
recibir una multa de hasta $250,000 USD y
penas de cárcel por un término de hasta cinco
años.

Algunos estados tienen leyes que tratan las

prácticas fraudulentas o engañosas o el robo
de identidad y que también podría aplicarse a
los delitos de phishing. Aquí se puede
encontrar los estados que actualmente
castigan este tipo de delitos.

Conclusión

Para Concluir el phishing es un peligro que se

mantiene vigente en nuestras vidas como
internautas, pero el cual es fácil de
contrarrestar si sabes cómo actuar contra él,
lamentablemente no contamos con las
suficientes campañas mediáticas para llegar a
todo el público posible, por esto es que
siempre habrá un mínimo de población que
caiga bajo estos chantajes informáticos.

Como uno posible solución tenemos el básico

uso del sentido común a la hora de navegar, y
para fomentar esto debemos plantear
situaciones a todas las personas que hacen
vida en la red, sobre como reaccionar de
manera correcta ante propuestas y posibles
fraudes. Otra muy buena estrategia es la
abstinencia de entrar a páginas