Martes, 30 de marzo del 2010
En una entrada reciente del blog sobre seguridad online de Google, hablamos sobre nuestro sistema para identificar páginas de phishing. Entre los millones de páginas web que analizan nuestros sistemas en busca de estas amenazas, conseguimos identificar 9 de cada 10 páginas de phishing. Nuestro sistema de clasificación solo se equivoca (marcando un sitio como phishing cuando no lo es) 1 de cada 10.000 veces, lo que demuestra su eficacia con respecto a otros sistemas similares. Y, según nuestra experiencia, estos sitios que dan "falsos positivos" se suelen crear para distribuir spam o pueden estar involucrados en otras actividades sospechosas. Si descubres que tu sitio se ha añadido a nuestra lista de páginas de phishing ("posible caso de phishing (falsificación web)") por error, infórmanos. Si tu sitio se ha añadido a nuestra lista de software malicioso ("Este sitio puede dañar tu ordenador"), debes seguir las instrucciones para solucionar problemas de software malicioso. Nuestro equipo intenta solucionar todas las reclamaciones en un plazo de un día y suele responder en cuestión de horas.
Lamentablemente, hay ocasiones en las que, al intentar comprobar los informes recibidos, nos encontramos con que la información que manejamos tanto nosotros como nuestro sistema automatizado es más bien confusa. Si gestionas un sitio web, aquí te ofrecemos unas directrices sencillas que nos ayudarán a solucionar rápidamente cualquier error que se produzca y, en primer lugar, te ayudarán a evitar que tu sitio se incluya en la lista de páginas de phishing.
No solicites nombres de usuario ni contraseñas de otros sitios.
Esta conducta se considera en toda regla una forma de phishing, así que evítala. Si quieres prestar un servicio complementario a otro sitio, plantéate el uso de una API pública o de OAuth.
Evita mostrar logotipos que no sean tuyos cerca de campos de inicio de sesión.
Cualquiera que navegue por la Web podría pensar por error que el logotipo identifica a tu sitio web e introducir en él información personal que en un principio iba destinada a otro sitio. Además, no siempre tenemos la completa seguridad de que esta práctica no sea intencionada, por lo que podríamos bloquear tu sitio por prevención. Para evitar malentendidos, te recomendamos precaución al mostrar estos logotipos.
Minimiza el número de dominios que se usan en tu sitio, especialmente para inicios de sesión.
Pedir un nombre de usuario y una contraseña para un sitio X en el sitio Y parece muy sospechoso. Además de dificultar la evaluación de tu sitio web, puedes estar acostumbrando sin querer a tus visitantes a ignorar las URLs sospechosas, lo que los hace más vulnerables a los intentos de phishing reales. Si te ves en la obligación de utilizar un dominio distinto al de tu sitio principal en tu página de inicio de sesión, procura usar un proxy transparente que permita a los usuarios acceder a esta página desde tu dominio principal. Si nada de lo anterior funciona...
Procura que sea fácil encontrar los enlaces a tus páginas.
Tanto a nosotros como a tus usuarios nos costará determinar quién controla una página de otro dominio en tu sitio si los enlaces a esa página desde el sitio principal son difíciles de encontrar. Para solucionar este problema, lo único que hay que hacer es enlazar cada página de otro dominio con una página del dominio principal que, a su vez, redirija a aquella. Si no has hecho esto y una de tus páginas acaba incluyéndose por error en nuestra lista, indícanos en tu informe de errores cómo encontrar el enlace desde tu sitio principal a la página bloqueada por error. Pero si no haces nada más, al menos...
No envíes enlaces desconocidos a través del correo electrónico ni de mensajería instantánea.
Nos resulta imposible comprobar enlaces poco habituales que solo aparecen en tus mensajes de correo o en mensajes instantáneos. Es más, el uso de este tipo de enlaces induce a tus usuarios, clientes o amigos a hacer clic en enlaces desconocidos que reciben a través del correo o de mensajes instantáneos, lo que los convierte en un posible blanco de otros delitos por Internet, además del phishing.
Aunque estas recomendaciones deberían ser cuestiones de sentido común, a veces nos encontramos con casos de grandes empresas financieras y de comercio electrónico que rompen estas reglas. El cumplimiento de estas normas no solo te permite evitar incidencias con nuestros sistemas de detección de phishing, sino que, además, te ayuda a optimizar la experiencia online de los visitantes de tu sitio.