Suplantación de identidad (phishing) - Algunas directrices

lunes, 10 de mayo de 2010


Recientemente, en el blog sobre seguridad en línea de Google [inglés] , hablamos sobre nuestro sistema de identificación de páginas de suplantación de identidad o phishing. Entre los millones de páginas web que analizan nuestros sistemas en busca de amenazas de estas características, logramos identificar 9 de cada 10 páginas de suplantación de identidad. Nuestro sistema de clasificación sólo realiza identificaciones erróneas de supuestas páginas de suplantación de identidad una de cada 10.000 veces, lo que demuestra su eficacia con respecto a otros sistemas similares. Desde nuestra experiencia, podemos afirmar que, en líneas generales, estos sitios identificados de forma errónea como páginas de suplantación de identidad se suelen crear con el fin de distribuir spam o desarrollar otras actividades sospechosas.

Si se ha añadido tu sitio por error a nuestra lista de páginas de suplantación de identidad ("Sitio considerado como falsificación web"), infórmanos sobre el problema [inglés]. Por otro lado, si se ha añadido tu sitio a nuestra lista de software malicioso ("Este sitio puede dañar tu equipo”), debes seguir estas instrucciones . Nuestro equipo intenta solucionar todas las reclamaciones en un plazo de un día y, por lo general, la respuesta se produce en cuestión de horas.

Lamentablemente, hay ocasiones en las que, al intentar realizar un seguimiento de los informes recibidos, comprobamos que la información que manejamos tanto nosotros como nuestro sistema automatizado es más bien confusa. Si dispones de un sitio web, aquí te ofrecemos una serie de directrices sencillas que no sólo nos permitirán solucionar cualquier error que se produzca, sino que además te ayudarán a evitar que se incluya tu sitio en la lista de páginas de suplantación de identidad.

  • No solicites nombres de usuario ni contraseñas de otros sitios . Esta conducta se considera en toda regla una forma de suplantación de identidad, por lo que no debes pedir esta información. Así pues, si deseas prestar un servicio complementario a otro sitio, plantéate el uso de una API pública o de OAuth [inglés] .
  • Evita mostrar logotipos de otros propietarios junto a campos de acceso de cuentas. Cualquiera que navegue por la Web podría pensar por error que el logotipo representa tu sitio web e introducir información personal que en un principo iba destinada a la otra página. Además, no siempre tenemos la completa seguridad de que esta práctica no sea intencionada, por lo que podríamos bloquear tu sitio con el fin de prevenir incidencias. Para evitar malentendidos, te recomendamos precaución al mostrar estos logotipos.
  • Reduce el número de dominios utilizados en tu sitio, especialmente en el acceso a las cuentas . Solicitar un nombre de usuario y una contraseña para un sitio X resulta muy sospechoso en un sitio Y. Además, si dificultas la evaluación de tu sitio web, es posible que induzcas inconscientemente a los visitantes a pasar por alto URL sospechosas y que, por lo tanto, los hagas más vulnerables a intentos reales de suplantación de identidad. Si te ves obligado a utilizar un dominio distinto para tu página de acceso, intenta usar un proxy transparente que permita a los usuarios acceder a esta página desde tu dominio principal. Y si nada de lo anterior funciona...
  • Facilita el acceso a tus páginas a través de enlaces . Tanto a nosotros como a tus usuarios nos costará determinar quién controla una página de otro dominio en tu sitio si los enlaces a esa página desde el sitio principal son difíciles de encontrar. Para solucionar este problema, lo único que hay que hacer es reubicar los enlaces de todas aquellas páginas situadas en un dominio distinto en una página del dominio principal cuyos enlaces redirijan también al mismo dominio. Si no has realizado estos pasos y una de tus páginas acaba incluyéndose por error en nuestra lista, indícanos en tu informe de errores cómo encontrar el enlace desde tu sitio principal a la página bloqueada por error. Sin embargo, si no haces nada más...
  • No envíes enlaces desconocidos a través del correo electrónico ni de mensajería instantánea . Nos resulta imposible comprobar enlaces poco habituales que sólo aparecen en tus mensajes de correo electrónico o en mensajes instantáneos. Es más, el uso de este tipo de enlaces induce a tus usuarios/clientes/amigos a hacer clic en enlaces desconocidos a través del correo electrónico o de mensajes instantáneos, lo que los convierte en un posible blanco de otros delitos por Internet además del de suplantación de identidad.
Aunque estas recomendaciones deberían ser cuestiones de sentido común, a veces nos encontramos con casos de grandes empresas financieras y de comercio electrónico que vulneran estas reglas. El cumplimiento de estas normas no sólo te permite evitar incidencias con nuestros sistemas de detección de páginas de suplantación de identidad, sino que, además, te ayuda a optimizar la experiencia en línea de los visitantes de tu sitio.