Propuesta para dificultar el phishing
El año pasado el equipo expertos en seguridad de f-secure decidió hacer una simple investigación de phishing. Consistió en ver cuantos dominios .com, .net, .org, .us, .biz y .info empezaban por nombres de bancos y empresas.
Su resultado fue este:
| Patrón | Número |
|---|---|
| citibank* |
497 |
| bankofamerica* |
407 |
| lloyds* |
994 |
| bnpparibas* |
41 |
|
egold* |
691 |
| hsbc* |
1.258 |
| chase* |
6.470 |
| paypal* |
1.634 |
| ebay* |
8.057 |
Cuando alguien quiere registrar este tipo de nombres ¿por qué se lo permiten los Agentes Registradores?
Ejemplos de dominios registrados para citibank fueron:
citibank-america.com
citibank-credicard.com
citibank-credit-card.com
citibank-credit-cards.com
citibank-account-updating.com
citibank-creditcard.com
citibank-loans.com
citibank-login.com
citibank-online-security.com
citibank-secure.com
citibank-site.com
citibank-sucks.com
citibank-update.com
citibank-updateinfo.com
citibank-updating.com
citibankaccount.com
citibankaccountonline.com
citibankaccounts.com
citibankaccountsonline.com
citibankbank.com
Algunos de ellos eran perfectamente legítimos, pero no los 497 registrados, muchos de los cuales se dedican al phishing claramente. Si los Agentes Registradores evitaran el registro de dominios usando patrones tan sencillos como el que se muestra aquí, se dificultaría bastante el phishing.
Google Yahoo Technorati Meneame Digg
Suscribirse a Domisfera
La ICANN y los agentes registradores nunca han entrado en la idoneidad de nombres de dominio o no.
De hecho se negaron a cancelar dominios como los de batasuna, si mal no recuerdo. Sería empezar por los nombres de banco, y ya de paso, los nombres de famosos, etc…
Una cosa es cancelar y otra bien diferente es exigir legitimidad a la hora de hacer el registro y evitar registros de posibles dominios para phishing.
Al igual que no se dejan registrar dominios .edu.es o .gob.es a cualquiera, los agentes pueden implantar políticas de registro para evitar esta plaga.
Y si ICANN y agentes nunca han entrado en la idoneidad de los nombres de dominio, para eso están las propuestas, pues el hecho de que algo nunca antes se haya hecho, no significa que no se deba pedir, exigir o hacer por ser algo deseable.
En total desacuerdo. Seria dar espacio a los compañias grandes. Que sigue despues? que ninguna compañia puede registrar un dominio que incluya Amazon, ni Apple, etc. Se menciona Chase, es un apellido, si alguien siguiera tal politica ningun otra persona de apellido Chase puede desarrollar una compañia -dominio- que incluya su propio apellido? En fin, seria una disputa con solo ventajas para las grandes compañias de restringir el registro de dominios con antelacion para sus palabras favoritas.
A mí no me parecería descabellado una subida de precios para dedicar recursos humanos a controlar qué dominios y con cuáles propósitos se registran. De hecho, creo que paliaría dos lacras importantes: robos de identidad y especulación.
Va, saltadme a la yugular.
¿Y si yo registro citibank-loans.com para criticar el sistema crediticio de Citibank? Si un registrador me lo deniega, ¿dónde queda la libertad de expresión?
Decidir sobre eso es algo que no debería competer a ninguna autoridad administrativa.
Corso, no creo que esa decisión debiera estar en manos del registrador. Sí pienso, en cambio, que sería positivo el caso en que la organización encargada de ese DPN estableciera ciertas normas, coherentes y adecuadas, que tuvieran en cuenta determinados parámetros, como el nombre del dominio, su uso posterior, la identidad de quien solicita el registro…
¿Cuántos dominios tienen datos falsos en la información WHOIS? Muchos, muchísimos, y no sólo .com o .net, sino también .es. Algunos por protección de su privacidad; otros, la mayoría, ya sabemos por y para qué. Y respecto a esto, sólo hay una solución: dar un paso hacia el respeto de la intimidad u obligar a todo propietario a que se identifique claramente.
En cualquier caso, y en mi opinión, una alternativa al sistema actual, y como ya dije, con normas coherentes y adecuadas, no implica pérdida de libertad o derecho alguno. Es más, en caso de que tal hecho se produjera, siempre está la autoridad judicial como garante de los dictados de la legislación vigente.
En fin, la pela es la pela: todos barremos pa’casa.
Domisfera, los registradores no estan por esa labor, sino por sacar el máximo provecho de su negocio.
Los registradores estan por el ánimo de lucro, no son una Ong que protejan la seguridad de los internautas o la imagen de nadie.
Dilecto Ferrán:
Los registradores están por la labor que les de la gana.
Y si el lucro y la seguridad están reñidos para ti y crees que no son compatibles, creo que vivimos en mundos diferentes.
Ferran, míralo de esta forma: si quisieras abrir un negocio, ¿qué lugar preferirías: un barrio inseguro, con alta delincuencia, o por el contrario un lugar apacible, donde impera las buenas ley y norma?
Personalmente y contradiciendo el refranero español, yo no que en este caso haya que prevenir antes que curar.
Si es necesario la aprobación del nombre de cada dominio antes de la contratación para evitar el phishing, abrirías la caja de Pandora para que cualquier tipo de dominio en el que aparezca una parte del nombre de una marca, de una empresa, de un famoso … sea susceptible de bloqueo.
Yo lo haría a posteriori. Dejar registrar como hasta ahora cualquier nombre, y después, ante la denuncia de cualquier internauta, actuar con rapidez y diligencia sobre cualquier tipo de web fraudulenta.
[…] Eurid establecerá una nueva política que entrará en vigor el próximo 19 de febrero de 2007 que permitirá a los Agentes Registradores del .eu parar inmediatamente la tranferencia de un dominio si se sospecha de algún abuso. Esta regla pretende entorpecer actividades como el spam y el phishing. […]