70 - Infectarse gratis - 02/06/2007


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Debo reconocer que cuando leí el título "¡Haga clic aquí para infectar su PC gratis!" [1] me pareció muy curioso y me despertó ciertas suspicacias, pero luego de leer el contenido del artículo, mis dudas se habían despejado.

El experimento realizado por Didier Stevens durante 6 meses no podía ser más claro: un anuncio adsense ofrecía infectar a los PCs libres de virus y 419 usuarios hicieron click en el anuncio.

El experimento, que no dañaba al usuario, sólo tuvo la intención de obtener estadísticas y demostrar como cualquier persona maliciosa puede hacer lo mismo para engañar con fines delictivos.

Siempre he sido un convencido que como usuarios hacemos click en cualquier sitio y nos hemos convertido en "pistoleros del doble click". No importa lo que prometa el anuncio o si el mismo es atractivo o no. Lo importante es la excitación que causa abrir un enlace sin importar las consecuencias de esta acción (y si es "free" mejor).

Los resultados del experimento de Stevens pueden consultarse en el sitio, pero es importante remarcar que un alto porcentaje de los click provenía de usuarios con Internet Explorer.

Con esto quiero exponer una teoría: los usuarios que utilizan su sistema operativo instalado por defecto, más allá de ser la mayoría, son aquellos no capacitados y que por razones de desconocimiento, descuido y sana ignorancia no tienen las herramientas necesarias (el conocimiento) para evitar este tipo de engaños, realizados por delincuentes.

La situación que planteo es la siguiente:
No importa (o influye poco) el sistema operativo, el navegador, el firewall, el antivirus o las miles de aplicaciones utilizadas. Lo
verdaderamente importante es la educación que has recibido (quizás inconscientemente) al elegir un producto. Es decir que si eliges utilizar Firefox sobre Windows, quizás sea porque ya te has planteado
las posibles consecuencias de utilizar Internet Explorer.

Ahora, utilizar Firefox no te hará invulnerable, ni mucho menos, pero el planteamiento e internalización del pensamiento de buscar alternativas dejará una marca indeleble en quien decida: dejará la educación y el conocimiento.

Tal vez también se termine eligiendo Internet Explorer pero, con el sólo hecho de plantear alternativas, ya habremos aprendido que, por ejemplo, no debemos hacer click y aceptar cualquier "historia" como cierta.

Es por eso que traigo a colación la frase al pie del presente Boletín.

Para experimentar en carne propia estos dichos, decidí realizar algo semejante en Segu-Info. Para ello durante 10 días incorporamos un mensaje a nuestra página inicial.

En ella podía leerse:"Haz click aquí e inféctate GRATIS"


El enlace llevaba a un video absolutamente inofensivo mostrando lo que puede suceder si se presiona cualquier botón [2].

En los 10 días mencionados se realizaron 122 click.
Entiendo que por ser Segu-Info un sitio en que se puede confiar muchos usuarios hicieron click por una mezcla de confianza y curiosidad y para "ver que sucedía".
Esta curiosidad es la que precisamente es explotada por los delincuentes para realizar ataques.

No dudo que otros usuarios ingresaron al enlace al leer la palabra "gratis", que, junto con "free" parece tener un encanto especial.

Otros usuarios (a quienes agradecemos) nos informaron sobre el hecho de que podíamos haber sido atacados (defacement) y que por eso aparecía ese enlace en la página inicial. Esto podría haber sucedido y en ese caso los usuarios confiados habrían sido infectados realmente.

Entonces, pensemos en estas preguntas y en sus respuestas:

  • ¿qué lleva al usuario a confiar cuando algo es "gratis"?
  • ¿qué esperaban encontrar en ese enlace?. Papa Noel y los Reyes no existen (no, tampoco en la web).
  • ¿por qué hacer click?. No confíes en nadie.

[1] ¡Haga clic aquí para infectar su PC gratis!
http://seguinfo.blogspot.com/2007/05/haga-clic-aqu-para-infectar-su-pc.html

[2] Video: "NO presiones el botón"
http://www.youtube.com/watch?v=U1LrVugzXZA

Buenos Aires, 02 de junio de 2007

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto