Martes, 30 de marzo de 2010
En nuestra publicación reciente del blog de seguridad en línea de Google, describimos nuestro sistema para identificar páginas con suplantación de identidad (phishing). De los millones de páginas web que nuestros escáneres analizan en busca de suplantación de identidad (phishing), identificamos correctamente 9 de cada 10 páginas. Nuestro sistema de clasificación solo marca incorrectamente un sitio que no es de suplantación de identidad (phishing) como tal aproximadamente 1 de cada 10,000 veces, lo cual es mucho mejor que los sistemas similares. Según nuestra experiencia, estos sitios "falsos positivos" suelen crearse para distribuir spam o involucrarse en otras actividades sospechosas. Si descubres que tu sitio se agregó a nuestra lista de páginas de suplantación de identidad (phishing) por error, infórmanos. Por otro lado, si tu sitio se agregó a nuestra lista de software malicioso ("Este sitio puede dañar tu computadora"), debes seguir las instrucciones para solucionar problemas de software malicioso. Nuestro equipo intenta responder a todos los reclamos en el plazo de un día y, por lo general, lo hacemos en unas pocas horas.
Lamentablemente, a veces, cuando intentamos hacer un seguimiento de tus informes, descubrimos que estamos tan confundidos como nuestro sistema automatizado. Si tienes un sitio web, estos son algunos lineamientos simples que nos permitirán corregir rápidamente cualquier error y ayudar a mantener tu sitio fuera de nuestra lista de páginas de suplantación de identidad (phishing).
No solicites nombres de usuario ni contraseñas que no pertenezcan a tu sitio.
Consideramos que este comportamiento es suplantación de identidad (phishing) por definición, así que no lo hagas. Si deseas proporcionar un servicio complementario a otro sitio, considera usar una API pública o OAuth en su lugar.
No muestres logotipos que no te pertenezcan cerca de los campos de acceso.
Es posible que un usuario que navega por la Web crea por error que el logotipo representa tu sitio web y que se lo engañe para que ingrese en tu sitio información personal que deseaba usar en otro lado. Además, no podemos estar seguros de que no lo hagas a propósito, por lo que es posible que bloqueemos tu sitio por seguridad. Para evitar malentendidos, te recomendamos que tengas cuidado cuando muestres estos logotipos.
Minimiza la cantidad de dominios que usa tu sitio, especialmente para los accesos.
Solicitar un nombre de usuario y una contraseña para el sitio X en el sitio Y es un comportamiento muy sospechoso. Además de hacer que sea más difícil para nosotros evaluar tu sitio web, es posible que estés indicándoles a tus visitantes de forma involuntaria que ignoren las URLs sospechosas, lo que las hace más vulnerables a los intentos de suplantación de identidad (phishing). Si debes tener tu página de acceso en un dominio diferente del de tu sitio principal, considera usar un proxy transparente para permitir que los usuarios accedan a esta página desde tu dominio principal. Si todo lo demás falla.…
Facilita la búsqueda de vínculos a tus páginas
Resulta difícil para nosotros (y para tus usuarios) determinar quién controla una página ajena al dominio en tu sitio si es difícil encontrar vínculos a esa página en el sitio principal. Lo único que se necesita para solucionar este problema es que cada página fuera del dominio se vincule a una página del dominio vinculada a ella. Si no lo hiciste y una de tus páginas aparece en nuestra lista por error, menciona en tu informe de error cómo podemos encontrar el vínculo de tu sitio principal en la página bloqueada incorrectamente. Sin embargo, si no realizas ninguna otra acción…
No envíes vínculos extraños por correo electrónico ni IM
Es imposible verificar los vínculos inusuales que solo aparecieron en tus correos electrónicos o mensajes instantáneos. Peor aún, el uso de estos tipos de vínculos condiciona a que tus usuarios, clientes o amigos hagan clic en vínculos extraños que reciban por correo electrónico o mensajería instantánea, lo que puede ponerlos en riesgo de sufrir otros delitos de Internet.
Si bien esperamos que estas recomendaciones tengan sentido común, en ocasiones hemos visto que grandes empresas de comercio electrónico y negocios infringen estos lineamientos. Seguirlos no solo mejorará tu experiencia con nuestros sistemas contra la suplantación de identidad (phishing), sino que también ayudará a brindarles a tus visitantes una mejor experiencia en línea.