?Iván Campaña, Gerente de Proyectos de NODE S. A. (Ecuador)
Christian A. Estay-Niculcar, Director I+D+I Fundación Universitaria Iberoamericana (España)
Phishing y Spoofing: las nuevas fronteras de la seguridad y la calidad en la Ingeniería Web
1. Antecedentes desde la Ingeniería Web
No es posible pensar en comercio electrónico o en cualquiera de los negocios electrónicos que sesustentan en al web hoy en día sin pensar en la tecnología web y en los sistemas confiables que les dan vida (web engineering). En el campo de las Telecomunicaciones y la Ingeniería de Software, es imprescindible conocer el sustrato tecnológico y de procedimientos y técnicas ligados al espacio de la Web, por cuanto hoy en día no puede concebirse casi ninguna tecnología informática sin un acceso yconvivencia y concurrencia con un entorno o una infraestructura web.
Así se aprecia que en años recientes han aparecido muchos estándares y tecnologías gracias al surgimiento de la Web. Su impacto en todos los desarrollos informáticos es de tal magnitud que no pueden producirse productos informáticos sin una arquitectura “web-based”. Sin embargo, por esa misma velocidad de crecimiento ha tenido latendencia a no ser controlada o mirada desde el punto de vista de ingeniería. Por esta razón, conocer las tecnologías y el enfoque de ingeniería aplicable a la web es necesario para crear aplicaciones y productos efectivos y que cumplan con los estándares seguridad y calidad.
Este artículo revisa uno de los aspectos de seguridad considerados de gran relevancia en el mundo web y que claramenteafecta la calidad de los servicios que se ofrecen: Phishing y Spoofing partiendo del hecho que:
Phishing es un tipo de delito dentro de las estafas informáticas cometido desde de la ingeniería social con el intento adquirir información confidencial de forma fraudulenta.
Spoofing: alude a técnicas de suplantación de identidad.
Con estas definiciones en mente, hay que decir que quizá uno delos factores más difíciles de resolver en una aplicación y más aún en las aplicaciones web es que aunque tenemos control sobre la infraestructura, no tenemos control sobre lo que hacen los usuarios. Muchas de las fallas de seguridad se dan en base a los hábitos y respuestas de los seres humanos, por ello aunque no podemos controlarlo, sí podemos advertir y establecer ciertos parámetros de trabajopara evitar problemas y reducir la incidencia de problemas en nuestras aplicaciones.
Debemos recordar que aún cuando la falla pueda haber sido generada de forma externa a nuestro sistema de información web, debemos preocuparnos de mantener una imagen frente al mundo, pues si la percepción de nuestros usuarios es que la aplicación o el sitio web falló, no será fácil demostrar lo contrario yprobablemente seamos nosotros quienes debamos cargar con el costo.
2. Técnicas de hurto de información más comunes
El problema de hurto de información no le pertenece exclusivamente al mundo de los sistemas de información basados en web, pero se han distribuido de manera mucho más rápido a causa de la facilidad de transmisión de información que presentan estos sistemas. Las técnicas utilizadasde forma más común son la captura de presión de teclas (Keyloggers), la recolección de información no autorizada (Spyware) y el almacenamiento de información sobre el usuario sin notificación.
Keyloggers.- Un keylogger puede ser implementado a través de software o a través de hardware, la función que cumple es la de capturar todas las teclas que se presionan, almacenarlas en un archivo queluego pueder ser accedido por el atacante o ser enviado directamente a través de la red, en este archivo buscará patrones de texto para encontrar contraseñas, números de tarjeta de crédito e información importante sobre el usuario.
Los keyloggers de software se instalan de manera oculta y permiten suelen ser tratados como variantes de virus, los keyloggers de hardware se instalan entre el…