Las barras antiphishing no aprueban

Los dos más utilizados, Firefox y la nueva versión de Internet Explorer, incluyen de serie sistemas para detectar las páginas fraudulentas. Existen otras barras que pueden ser acopladas a casi todos los navegadores, pero un estudio de la universidad Carnegie

Mellon concluye que su efectividad en general deja mucho que desear.

“Finding Phish: An Evaluation of Anti-Phishing Toolbars” es un estudio independiente realizado por la universidad Carnegie Mellon en Pittsburgh, que pone a prueba diez barras antiphishing distintas. Microsoft Explorer 7, eBay, Google, Netcraft, Netscape, Cloudmark, Earthlink, TrustWatch de Geotrust, Spoofguard de Stanford University, y SiteAdvisor de McAfee.

Se han realizado varios tipos de pruebas que observaban el comportamiento de la barra en el tiempo, y su capacidad de reaccionar ante nuevas amenazas. También se ha intentado engañar a las barras con técnicas de ofuscación de la URL. A pesar de lo sencillo de la solución de este tipo de engaños, y de que todas las barras usan distintas técnicas de detección, la mayoría (Cloudmark, Google, McAfee, TrustWatch, Netcraft, y Netscape) caían en la trampa.

El estudio concluye que incluso de entre las que se podrían considerar más efectivas, (Earthlink, Netcraft, Google, Coudmark, e Internet Explorer 7) sólo detectaban el 85% de páginas fraudulentas. El resto no llegaban al 50% de detección, y los buenos resultados hay que matizarlos también con un alto porcentaje de falsos positivos.

Se han ayudado de repositorios de lugares sospechosos de phishing como phishtank.com y otras fuentes propias, aunque parece que el estudio no ha sido demasiado profundo y que no se han basado en una muestra suficientemente amplia de ataques. En el mismo documento advierten de que evaluar algo así resulta excesivamente complejo. Es un campo muy dinámico como para ofrecer una visión determinante y se debería matizar mucho cada caso.

Aunque en el informe afirman que ninguna barra se puede considerar como una firme candidata a defender al usuario y que en general no aprueban, como primera línea de defensa una barra antiphishing puede ser una gran ayuda, siempre que se sepa ser crítico con sus “consejos”. Sin duda no habría que fiarse totalmente de su criterio a la hora confiar o no en la veracidad de una página, pues ocurre exactamente lo mismo que con las soluciones antivirus: que un antivirus no detecte un archivo como sospechoso no garantiza nada, lo comprobamos a diario en VirusTotal. Con las soluciones antiphishing como con los antivirus, sólo un estudio pormenorizado de cada caso puede ofrecer ciertas garantías.

Además, estas medidas paliativas están a la baja, pues atacan al “phishing tradicional” (el que se basa en la introducción de credenciales en páginas falsas). Cada vez más, los robos de contraseñas se realizan a través de sofisticados troyanos bancarios, capaces de robar las credenciales incluso al visitar una página legítima. En estos casos es el propio sistema el que está comprometido y como medida preventiva (entre muchas otras), encajan mejor los antivirus que las barras.