20 de julio de 2010

Protección anti-phishing de Windows Live Messenger 2010, ¿el nuevo UAC?




Uno de los problemas más graves que han afectado tanto a Messenger como a Windows Live en general son los ataques de phishing a sus usuarios. Estos se dan en el servicio de mensajería, a través del envío de enlaces falsos, y también en SkyDrive y los perfiles de Windows Live, mediante la publicación de dichos links fradulentos. Y ahora que las funciones sociales de Messenger van in-crecendo, las posibilidades para estos ataques aumentan.

Para intentar solucionar esto, Microsoft ha agregado la tecnología anti-phishing SmartScreen a Messenger, que analiza los links que visitamos y nos advierte en caso de que correspondan a sitios de seguridad dudosa (algo similar a lo que ya hace Facebook con los enlaces publicados allí). SmartScreen revisa cada enlace compartido a través de Windows Live (Messenger, Hotmail, SkyDrive, etc), y revisa su reputación en función de una base de datos que informa sobre su confiabilidad y cantidad de tráfico.

Si el sitio registra historial de fraudes vía phishing, se mostrará una pantalla de bloqueo en rojo que nos impedirá continuar, a menos que copiemos la URL y la peguemos en la barra de direcciones. Esto es algo que también hacen algunos navegadores (Chrome, Firefox, Internet Explorer), pero en este caso la protección es independiente del navegador: aunque usemos IE6, igual veremos la advertencia, ya que esta se genera por el hecho de hacer clic en el link desde algún sitio de Windows Live.

En caso de que el sitio sea confiable, se redirigirá automáticamente hacia el enlace original, y si no existe información sobre él (por ejemplo, es un blog con 10 visitas al mes) se mostrará una página intermedia, recordando al usuario “cuidar su contraseña” antes de continuar.

En lo personal creo que este filtro es una medida correcta, que será relativamente efectiva en cuanto a proteger a usuarios novatos (aquellas mismas personas a las que se le “instalan solas” decenas de barras de herramientas en el navegador). Sin embargo, para los usuarios medio-avanzados puede resultar un poco molesto. Es ahí donde sale a la luz el problema N°1 del filtro SmartScreen: no se puede desactivar.

Además, no estoy seguro de cuan útil sea la página de “Recuerda cuidar tu contraseña”, ya que es algo de perogrullo para la gran mayoría de las personas (no niego que a los más inexpertos les pueda servir). Si el filtro SmartScreen no ha encontrado riesgo en el enlace, ¿para qué hacer perder tiempo al usuario con una advertencia obvia?. En lo personal he encontrado muy molesto este sistema de seguridad, casi tanto o más que el tristemente famoso UAC de Windows Vista.

Esperemos que subsanen eso de aquí a la versión final de Messenger 2010. Basta con que agreguen una opción permitiendo desactivar SmartScreen a quien lo desee.

No hay comentarios: