Sistema eficaz contra el phishing

Varias entidades financieras, entre ellas Caixa de Galicia y el Santander, han adoptado un sistema de confirmación mediante SMS que parece una buena idea para evitar el phishing. Para poder beneficiarse de esta medida de seguridad hay que darse de alta en el servicio y facilitar el número de móvil del cliente. Una vez realizada la transferencia, el cliente recibe un mensaje SMS en su móvil, indicando un número de confirmación de la operación. El cliente debe introducir ese número en la orden de transferencia para que ésta se complete.

El phishing y el farming en el Código Penal

El Proyecto de Ley de modificación del Código Penal incluye ligeras variaciones en los tipos penales relativos a la estafa electrónica en la que quedan subsumidos el phishing y el farming. El artículo 248 quedaría con el siguiente texto: "También se consideran reos de estafa: a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo."

Evidencias de cibercandidez

Acabo de recibir tres mensajes seguidos de phishing y me pregunto si alguien en su sano juicio es capaz de asumir que la entidad bancaria con la que lleva trabajando toda la vida puede enviarle un mensaje con el siguiente texto: "Cliente querido, Usted pudo no haber estado enterado, no obstante aparece en ser que los terceros puedan acceder a su bank account y utilizarla en propositos personales y muy maliciosos. Una vez que fueramos enterados de esta actividad desautorizada y riesgosa, la accion inmediata fue tomada de seguro. Verifique por favor el acoplamiento abajo, compruebe su bank account y vea si todo el es aceptable con todos los datos personales que teniendo. Recuerdos".

CaixaProtect

La Caixa ha lanzado CaixaProtect, un servicio gratuito que garantiza a sus clientes la protección total ante cualquier operación fraudulenta (no realizada por el titular) en los entornos de banca por Internet, cajeros automáticos y tarjetas. Además, engloba la política de calidad de servicio y atención al cliente en la reclamación de operaciones en dichos entornos. El importe máximo del total de operaciones por tarjeta perdida o robada y fraude por Línea Abierta es de 10.000 euros. Una buena iniciativa para aumentar la confianza del cliente en el uso de Internet para sus compras y operaciones bancarias. Además, ayuda a sensibilizar sobre la importancia de la seguridad, en una época en la que el phishing se está aprovechando del desconocimiento de los usuarios de la red.

El día de la cibercandidez

La principal conclusión que puede extraerse del artículo "Privacidad en Internet" de la enciclopedia libre Wikipedia, en su versión actual, es que la privacidad en Internet prácticamente no existe. Por eso, cuando me pregunto si hay algo que podamos celebrar en este campo en el día de Internet, no sé si centrarme en los avances tecnológicos que permiten a los usuarios proteger su intimidad y a los desaprensivos invadirla, o en el triunfo total del pasotismo, es decir, la más absoluta despreocupación de algunos usuarios en proteger sus datos personales.

No puede negarse que hoy en día el usuario dispone de muchas más herramientas para ocultar su identidad y navegar anónimamente. También hay más información sobre los riesgos existentes y las cautelas que deben adoptarse al visitar páginas desconocidas o cumplimentar formularios.

Casi todos sabemos lo que pasa cuando respondemos a un mensaje de alguien que dice ser nuestro banco y nos pide las claves para acceder a nuestra cuenta de banca electrónica.

Sin embargo, y a pesar de todo, sigue habiendo una elevada tasa de usuarios que por desconocimiento o despreocupación, cae en todas las trampas. En el día de Internet queremos celebrar las ventajas que la red ha aportado a nuestra vida profesional o personal, pero este año propongo que hagamos un homenaje al "cibergarrulo", al cándido usuario de Internet que no puede esperar al 28 de diciembre para formar parte de la larga lista de santos inocentes que son víctimas de las más evidentes calamidades.

Y no me refiero al elevado número de visitas que recibía el dominio yaju.com antes de ser recuperado por Yahoo, sino a situaciones de reiterado descuido que ayudan a comprender por qué el timo de la estampita tuvo en su tiempo tanto éxito.

En Internet se unen desconocimiento y candidez y el resultado no puede ser otro que un incremento constante del spam, un número nada desdeñable de estafas electrónicas y una suma anual millonaria en transferencias bancarias a países del Este.

La opción fácil ha sido dar las culpas a la red, pero mi opinión es que los usuarios somos responsables en gran parte de lo que nos pasa en Internet, y me gustaría documentar esta idea con algunos ejemplos.

No leemos las condiciones generales de contratación. Hay muchos usuarios que están dispuestos a dar sus datos personales, especialmente su dirección de correo electrónico a cambio de un tono polifónico para el móvil, una foto de un artista muy popular o una canción en formato MP3.

En algunos casos, esas cláusulas que se aceptan con un simple clic y también con una gran dosis de frivolidad, incluyen la aceptación de fórmulas de marketing sumamente intrusivas y abren las puertas a la instalación de programas de spyware y adware. Algunos programas de P2P incluso establecen la obligación de aceptar publicidad mediante adware como contrapartida al uso de una plataforma que permite el intercambio de ficheros.

Por otra parte, la obsesión del usuario por conseguir bajarse películas en el menor tiempo posible le lleva a ampliar el número de directorios habilitados para la descarga, sin darse cuenta de que en ellos puede haber datos personales. Para comprobar esta dinámica sólo hay que introducir las palabras "currículum", "contactos" o "contraseñas" en eMule.

Otra prueba del nivel de desconocimiento o de descuido del usuario es la cantidad de routers inalámbricos desprotegidos con los que te encuentras si haces una búsqueda de puntos de acceso WiFi en cualquier barrio de una ciudad.

Pero el exponente más grave de la candidez del usuario se centra este año en el phishing. A pesar de las advertencias de las entidades financieras sobre el riesgo de facilitar las claves de banca electrónica a través de Internet, sigue produciéndose un nivel importante de respuesta a las solicitudes que se reciben por correo electrónico. El caso más grave de "cibercandidez" que conozco es el de un usuario que llamó a su banco quejándose porque llevaba media hora transcribiendo toda su tarjeta de coordenadas a un formulario de un sitio web, que además estaba lleno de faltas de ortografía. No entendía por qué le pedían semejante esfuerzo.

Todos reclamamos más información por parte de las empresas y las Administraciones Públicas, pero después de más de diez años de Internet en España, tal vez ya ha llegado el momento de que el usuario asuma su responsabilidad y empiece a utilizar esta tecnología con conocimientos y sobre todo, con sentido común.

(Artículo publicado en elpais.es el 12 de mayo de 2006)

Directiva de conservación de datos

El Diario Oficial de la Unión Europea del 13 de abril de 2006 publica la Directiva 2006/24/CE del Parlamento Europeo y del Consejo sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones. Descargar PDF

Phishing en 2006

Según un estudio de la Asociación de Internautas, el phishing seguirá creciendo en 2006. A principios de 2005 la vida media de una web falsa dedicada al phishing oscilaba entre los 7 y los 12 días mínimos de vida. A finales del mismo año, y gracias a la actuación de las entidades financieras, la vida media de una web falsa es de 24 a 48 horas.

Spyware

Un estudio del proveedor de acceso Earthlink realizado durante el primer trimestre de 2004 sobre un millón de equipos informáticos, ha detectado una media de 28 programas espía en cada ordenador. La finalidad de este tipo de software, que se instala en el ordenador del usuario de forma inadvertida, depende del nivel de malicia de su creador. Algunos programas violan la intimidad del usuario monitorizando lo que hace y enviando sus datos a un servidor en el que serán segmentados en función de sus hábitos y preferencias. Esta segmentación será después explotada para enviar publicidad no solicitada de forma selectiva. Otros programas capturan el teclado del ordenador y registran las cadenas de caracteres introducidas por el usuario, entre las que puede haber claves de acceso a intranets corporativas o contraseñas de banca electrónica. Nada impide que estos pequeños programas se destinen al espionaje industrial, pero muy pocas empresas incluyen la detección del spyware en sus políticas de seguridad.