Desde hace unos días, se ha reportado un incremento en los ataques por medio de phishing. Esta palabra inglesa, creada a imagen de fishing, que se refiere a pescar; designa un tipo común de vulnerabilidad que se basa en ponernos un señuelo para que “piquemos” y cedamos datos confidenciales a lugares que no son confiables. Muy asociado con el spam de correos, suele tomar la forma de una página web en la que confiamos, clonándola, pero no asociada con la web original, de tal forma que engañados introducimos nuestros datos pensando que son seguros.
Entre los puntos a vigilar, siempre destaca mirar nuestra barra de direcciones y asegurarnos que esta corresponde con el sitio que buscamos. Otro de los puntos en los que mejoró la seguridad es el uso extendido de HTTPs, ya que este nos avisa si existe una redirección extraña en la web. Pero como en todo, una vez existe una mejora en la seguridad, existe alguien buscando como burlarla otra vez.
En este caso, se han aprovechado de una característica bienintencionada de los navegadores Firefox, Chrome y Opera, que es la de mostrarnos dominios en caracteres que entendemos. De esta forma, empleaban el conocido como “punycode”, por el cual un dominio que empezase por xn-- se entendería como escrito en unicode y por tanto nuestro navegador lo traducía. De esta forma, dominios seguros podrían ser sustituidos por homólogos unicode que no se parecen en nada salvo porque nuestro navegador así lo implementa.
Si a ello le sumamos que con Let’s Encrypt podemos dotar de seguridad HTTPs a un dominio fácilmente, el engaño está servido. En la página wordfence han hecho una prueba de concepto, en la que el dominio https://xn--e1awd7f.com/ se hace pasar por el dominio https://www.epic.com/ . Evidentemente, como prueba de concepto que es, nos avisan de que nos han engañado y nos redirigen a lugares seguros. Pero esto no deja de mostrar que es posible un ataque de este tipo que nos engañe lo suficiente como para que acabemos dando nuestros datos personales, ya que tanto el dominio como la clave de seguridad parecen fiables.
¿Como solucionarlo?
En Firefox
El panda rojo nos proporciona un método sencillo de desactivar esa funcionalidad, simplemente tenemos que ir a about:config en nuestro navegador, y cambiar el valor de network.IDN_show_punycode de false a true. Probado y funcional.
En Chrome
Aquí no nos queda más que esperar. Ahora mismo en el canal “Canary”, que es el de la versión alfa de Chrome, se encuentra solucionado, con lo cual en un par de versiones se solventará, aunque es probable que gracias a este revuelo adelanten ese parche a la próxima versión.
En otros navegadores
De Opera no tenemos noticias si lo solventarán o no, los demás navegadores son seguros ante este tipo de vulnerabilidad. Sorprende que Vivaldi, que comparte base Chromium con Chrome y Opera, no sea vulnerable.
Este tipo de ataques empezó con sustituciones de alfabetos (emplear cirílico en vez del occidental), pero como vemos se van sofisticando. Mucho ojo al navegar.
Desde el post de wordfence nos avisan de que una posible forma de asegurarnos es copiar la dirección que nos aparezca en un editor de textos, ya que así debería aparecer la codificación unicode. A falta de mejores soluciones, siempre puede servirnos si no nos sentimos seguros.
