No es nada nuevo y además era previsible. Los usuarios de entidades que han implantado sistemas basados en OTP comienzan a sufrir con regularidad ataques de phishing y troyanos.

Los sistemas de autenticación OTP (One Time Password), que al español se traduciría como "contraseña de un solo uso", son aquellos que requieren una contraseña nueva cada vez que se utiliza. Una especie de contraseña de usar y tirar, que minimiza el impacto de que un tercero pueda capturarla.

La idea es que si alguien o algo espía y averigua que introduzco la clave "390827" para entrar o firmar una operación en mi banca electrónica, ese dato no le servirá para suplantarme. Ya que la próxima vez que entre en mi banca electrónica la clave será otra diferente: "220948".

Por norma general los sistemas OTP están asociados a unos tokens hardware que son los que generan la clave correcta en función de determinados parámetros (clave anterior, sincronización por tiempo con el servidor de autenticación, etc). A efectos prácticos, el caso más común es que el usuario cuente con un dispositivo, similar a un llavero o una tarjeta, que al pulsar un botón devuelve en su pantalla la nueva clave. Algunos ejemplos gráficos cortesía de Google:
http://images.google.com/images?svnum=10&q=one+time+password

Las barras antiphishng se han convertido en una funcionalidad muy popular en los navegadores. Los dos más utilizados, Firefox y la nueva versión de Internet Explorer, incluyen de serie sistemas para detectar las páginas fraudulentas. Existen otras barras que pueden ser acopladas a casi todos los navegadores, pero un estudio de la universidad Carnegie Mellon concluye que su efectividad en general deja mucho que desear.

"Finding Phish: An Evaluation of Anti-Phishing Toolbars" es un estudio independiente realizado por la universidad Carnegie Mellon en Pittsburgh, que pone a prueba diez barras antiphishing distintas. Microsoft Explorer 7, eBay, Google, Netcraft, Netscape, Cloudmark, Earthlink, TrustWatch de Geotrust, Spoofguard de Stanford University, y SiteAdvisor de McAfee.

Se han realizado varios tipos de pruebas que observaban el comportamiento de la barra en el tiempo, y su capacidad de reaccionar ante nuevas amenazas. También se ha intentado engañar a las barras con técnicas de ofuscación de la URL. A pesar de lo sencillo de la solución de este tipo de engaños, y de que todas las barras usan distintas técnicas de detección, la mayoría (Cloudmark, Google, McAfee, TrustWatch, Netcraft, y Netscape) caían en la trampa.

Aquellos que conviven a diario con la tecnología encuentran difícil entender por qué la gente corriente es tan vulnerable a ataques de phishing.

En la Universidad de Indiana el profesor de ciencias de la computación, Markus Jakobsson está explorando e investigando acerca del amplio espectro de estafas y engaños a través del phishing. Desde que se usa este sistema para engañar, Jakobsson ha querido saber cómo es que esto es posible y entender a fondo cómo y por qué funcionan los ataques. Jakobsson ha observado a grupos de personas para poder determinar exactamente cómo es que el phishing actúa sobre ellos.

El grupo ha sido expuesto a páginas web así como a correos electrónicos y luego los ha calificado con un rango de confiabilidad (o no) que le inspiran dichos sitios (y correos). El experimento se ha hecho con gente corriente que usa sus computadoras y no con gente especializada en estos temas.

154 marcas de fábrica fueron secuestradas en julio, un aumento del 18 por ciento sobre el mes anterior. Según el último informe de Anti-Phishing Working Group, los phishers (quienes utilizan técnicas de phishing), falsificaron un gran número de registros de marcas comerciales, alcanzando los rincones más pequeños y escondidos de Internet.

PHISHING es la forma de obtener información confidencial mediante la suplantación de una persona o institución legítima.

"Los criminales falsifican las marcas de fábrica de instituciones financieras pequeñas, proveedores de servicio, e incluso las de agencias estatales," dijo Dave Jevans, CEO de IronKey y presidente del Anti-Phishing Working Group (APWG).

El resumen mensual sobre cibercrimen que proporciona el grupo, dice que 154 marcas registradas fueron secuestradas por ataques phishing el último mes, lo que representa un aumento del 18 por ciento con respecto a meses anteriores, superando a su vez en un 12 por ciento al record anterior que había sido en mayo.

El banco más importante de Irlanda, ha estado de acuerdo en compensar a las víctimas de un reciente fraude por phishing, al contrario de lo manifestado anteriormente.

El banco se había negado inicialmente a rembolsar a las víctimas que perdieron aproximadamente 160,000 euros, después de recibir correos electrónicos falsos. Sin embargo, según publica la prensa el martes 5, el banco ha cambiado de opinión respecto al fraude.

Por otra parte, el BoI se ha negado a realizar comentarios al respecto, efectuando si una declaración general sobre el fraude por phishing.

El banco manifestó que es consciente que ha circulado un correo electrónico fraudulento, simulando provenir de su servicio de banca en línea (www.365online.com). "Pero el Bank of Ireland no puede discutir cada caso en forma individual, donde un cliente ha recibido y ha respondido a tal o cuál correo electrónico."