El ataque de phishing es uno de los métodos más utilizados por los delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta, como contraseñas, números de tarjetas de crédito o números de cuenta. Este tipo de ataques representan un riesgo tanto para las empresas como para los usuarios normales, ya que en lo que llevamos de año ya se han detectado más de 145.000 campañas de phishing por correo electrónico cada mes, además de 125.000 sitios web dedicados a robar información. Según los expertos, los ataques de phishing son cada vez más complejos y sofisticados, lo cual los hace más difíciles de detectar. Por ello, el laboratorio NSS ha realizado un estudio en el que compara la seguridad ante el phishing de tres de los navegadores más utilizados por los usuarios: Google Chrome, Microsoft Edge y Mozilla Firefox.
Los ataques de Phishing pueden realizarse de dos formas. La primera es intentar persuadir a la víctima para que sea ella misma la que proporcione datos personales al atacante, rellenando algún tipo de formulario o simplemente contestando un correo electrónico. La información puede ser desde usuarios y contraseñas de acceso a ciertos servicios, hasta número de tarjetas de crédito o cualquier tipo de información personal. El segundo tipo es intentar atraer al usuario para instalar una aplicación maliciosa o entrar en una página web en la que el software malintencionado se instalará a través del navegador. Tanto uno como otro pueden llegar al usuario por diversos medios, desde correos electrónicos hasta mensajes instantáneos, e incluso a través de las redes sociales.
El estudio realizado por los laboratorios NSS incluye una batería de pruebas llevadas a cabo entre el 1 y el 12 de octubre de 2016. La idea del estudio era comprobar la capacidad de los principales navegadores web para protegerse contra el phishing. La base de la protección contra el phishing de los navegadores es un sistema basado en la nube que rastrea internet en busca de sitios web maliciosos. Una vez detectados, este sistema clasifica el contenido y añade los sitios web a una lista negra o blanca, según lo que haya localizado. Esta técnica se puede aplicar de forma manual, automática o con una combinación de ambas. Cuando un navegador va a entrar a una página web, consulta la dirección en los sistemas de reputación y, si procede, aplica funciones de advertencia o bloqueo. Si el sitio web que estamos visitando tiene algo «malo», el navegador lanza un mensaje de aviso y bloquea el acceso; si el sitio web es «bueno», simplemente se accede, la comprobación es transparente para el usuario.
En los 12 días de pruebas se llegaron a utilizar hasta 991 sitios web de phishing diferentes, recogiendo 78.921 resultados. NSS evaluó la capacidad de los navegadores para bloquear un sitio web malicioso tan rápidamente como era descubierto en Internet.
Esta gráfica muestra el tiempo que tardaron los navegadores en bloquear una amenaza tras su introducción en el ciclo de pruebas. La protección inicial de los sitios de phishing osciló entre el 82,7% de Google Chrome y el 92,1% de Microsoft Edge.
Otra de las pruebas realizadas muestra cuánto tiempo transcurre hasta que se agrega un sitio web de phishing a la lista de bloqueo de los navegadores. El tiempo medio para bloquear un sitio web fue de 56,4 minutos. El navegador Microsoft Edge fue significativamente más rápido que los otros dos navegadores incluidos en el estudio.
Por último, los investigadores realizaron una prueba de uso real, probando una serie de sitios web en tiempo real cada 6 horas. Se realizaron 44 pruebas incrementales durante los 12 días y se asignó una puntuación que representa la protección en un momento dado. Estos son los resultados:
A pesar de que tanto Chrome como Firefox utilizan la API de navegación segura de Google, Chrome lo hizo algo peor en la protección temprana de las amenazas. Sin duda, destaca Microsoft Edge por encima de ambos.
Con estos datos, el resultado final del estudio concluye con la representación de la tasa de bloqueo promedia para el phishing de los tres navegadores utilizados:
La mejor tasa de captura de sitios web de phishing durante los 12 días de pruebas la obtuvo el navegador Microsoft Edge, con un 91,4%. El navegador Google Chrome se coloca en segunda posición, con un 82,4%, seguido de cerca por el navegador Mozilla Firefox, el cual consigue una tasa del 81,4%.
Como no va ser el mas seguro microsoft si los hacker no pierden el tiempo en un soft que casi nadie se anima o utliza jaja