Ecotecno

Otra vez el dichoso spam de Caja Madrid en el cliente de correo. Y van...
Vamos a tratar el fenómeno del "Phising" (no confundir con pissing, aquí de guarrerías las justas ;).

El phising es la acción de suplantar páginas web para el robo de información confidencial, claves etc. Un timo, vamos. Así, cuando un incauto (la mayoría de usuarios de Internet no son expertos en seguridad o no saben qué pautas seguir para saber con certeza que están en la web oficial de su banco) recibe unos de esos correos en los que se le insta a verificar sus datos pues de lo contrario se le bloqueará la cuenta, y así lo hace, pone a disposición de esta gentuza sus datos personales, número de cuenta y clave de acceso. A partir de ahí se me ocurren unas cuantas formas de hacer el agosto.
No hay datos fiables de la incidencia de estas estafas en España. Pero el año pasado, las tres cuartas partes de los internautas estadounidenses recibieron ataques de phishing. De ellos, el 15% llegó a facilitar sus datos. Por suerte sólo dos de cada 100 vieron volar el dinero de sus cuentas. Las estimaciones hablan de que desaparecieron 500 millones de dólares.

Esto ocurre porque el diseño de las web de los bancos es claramente deficiente: impide al cliente saber si está en la web auténtica o en una falsa, lo que, además de generar desconfianza en la banca electrónica, hace más fácil el trabajo a los estafadores.

Hispasec ya el año pasado analizó las páginas de 50 entidades. Pues bien, en 19 de ellas, el 38%, no se fuerza al usuario a que introduzca sus datos de identificación en una página segura. Estas, a diferencia de las habituales, comienzan por las letras https. Esto no significa que los datos no viajen cifrados, pero el usuario no tiene manera de identificarlo.
Bancos de la talla de Bankinter, BSCH o la Caixa, aun contando con conexiones protegidas, no muestran su certificado de seguridad a la hora de pedir a sus clientes que se identifiquen. Otros como el BBVA, Banesto o Cajamadrid sí lo hacen. Como era previsible, las entidades nacidas en la Red, como Uno-e o Patagon pasaron la prueba sin tacha.
También analizaron la existencia de la dirección URL en la página de identificación. Aunque esta dirección puede ser falsificada, si el propio banco la oculta, se lo está poniendo más fácil a los criminales ahorrándoles tener que diseñar complicadas maniobras de enmascaramiento que oculten la dirección que están usando. El 10% de las entidades analizadas no mostraban esta identificación. Por último, el grupo de bancos que contaban con conexión segura ya desde la página de inicio tenían su certificado de seguridad, la única forma hoy por hoy de asegurarse de que son ellos, en toda regla.

Total, que los bancos, en su línea de negocio desde hace siglos, primaron la usabilidad frente a la seguridad, que no vende tanto. En el caso de que un usuario reciba un mensaje de correo incitándole a entrar en un servidor falso, la entidad poco puede hacer. Pero lo que sí puede es facilitar al cliente el comprobar si donde ha entrado es una imitación o no. Para los phisher, es sencillo clonar la web de un banco hasta el más mínimo detalle, colocarla en un servidor vulnerable y esperar a que alguien caiga en la trampa. Con pequeños cambios, los bancos podrían ponérselo más difícil.

No es por ser alarmista, pero ya se están vendiendo kits para hacer phising, programas que incluyen datos de los bancos españoles, herramientas para realizar envíos masivos de correo electrónico y listados de servidores vulnerables donde albergar las falsas páginas.
La amenaza es tan real que ya hay empresas (Netcraft, S21sec)que están sacando sistemas de defensa contra este tipo de estafas.

Eso sí, el arma principal contra este tipo de estafas es el conocimiento: tanto la información (abajo un link) como su trasmisión con herramientas como la de netcraft. La web es el máximo exponente de lo que mi tocayo Alfredo Romeo llama el “poder de muchos”. Hay miles de ejemplos en los que se demuestra que para muchos problemas no hay mejor solución que contar con la potencia que ofrece cientos de miles de personas trabajando a la vez. Lo saben las grandes corporaciones, que ven cómo no es una cuestión de recursos humanos o económicos.

Cómo protegerse contra el pishing:
Asociación de Internautas
Barra de herramientas de Netcraft (para Firefox y Explorer)