Escrito por: Sibylla Orsini Monmorency el 16 Nov 2007 - URL Permanente
POR VERDATU
Hasta que llegue el día en que los mecanismos de verificación de la identidad del usuario de una aplicación web sean “robustos”, la banca on-line estará expuesta a toda serie de riesgos. ¿Se pueden eliminar completamente dichos riesgos? No es probable, pero si que se pueden reducir en gran medida.
La Comisión de Seguridad de la Asociación de Internautas publicó el pasado mes de junio un extenso informe , elaborado tras varios meses de investigación por Hugo Vázquez (Director Técnico de PENTEST, Consultores de Seguridad Telemática) y certificado por el ESCERT, en el que se hace una completa revisión sobre la seguridad de la banca online en España.
La conclusión mas inmediata que se desprende del presente informe es que los sistemas de firma de banca online, ya sea basados en ‘tokens’ físicos, teclados virtuales, u otros, actualmente distan mucho de poder considerarse como soluciones robustas pues prácticamente todos adolecen del mismo fallo: que su seguridad se implementa -en gran medida- a través de un protocolo, http, que jamás se diseñó para ser seguro, sino solo funcional.
¿Qué es el ´PHISHING?
El ‘phishing’ es una modalidad de estafa diseñada con la finalidad de robarle la identidad. El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños. Este tipo de fraude se recibe habitualmente a través de mensajes de correo electrónico o de ventanas emergentes.
Esta técnica es utilizada para captar datos bancarios de los usuarios a través de la utilización de la imagen de la entidad bancaria.
Consejos contra el ´phishing´
Aspectos a tener en cuenta para evitar el phishing:
1.- Sospeche de cualquier correo electrónico con solicitudes urgentes de información personal, que utilice argumentos como:
-Problemas de carácter técnico.
-Detecciones de posibles fraudes.
-Cambio de política de seguridad
.
-Promoción de nuevos productos y/o servicios.
-Premios, regalos, concursos, etc...
Dado que el phishing es una técnica de envío masivo de correos electrónicos a múltiples usuarios, es posible que reciba correos electrónicos de entidades o empresas de las que usted no es cliente, y en los que se solicita igualmente dichos datos. En estos casos, directamente, descártelos.
Además, este tipo de correos suele incorporar advertencias tales como: ‘si no realiza la confirmación/cambio solicitada, en el transcurso de --- horas/días se procederá al bloqueo/cancelación, de su cuenta bancaria/cuenta de cliente, etc...’; de forma que se fuerza una respuesta casi inmediata del usuario.
2.- Sospeche de los correos electrónicos que le soliciten información como: nombre de usuario, password o clave de acceso, número de tarjeta de crédito, fecha de caducidad, número de la seguridad social, etc...
3.- Los mensajes de correo electrónico de phishing no suelen estar personalizados, mientras que los mensajes de las entidades de las que somos clientes suelen estar personalizados.
4.- Evite rellenar formularios en correos electrónicos que le soliciten información financiera personal.
5.- No utilice los enlaces incluidos en los correos electrónicos que conducen “aparentemente” a las entidades, especialmente si sospecha que el mensaje podría no ser auténtico. Diríjase directamente, a través de su navegador, a la página web de la entidad o empresa.
6.- Antes de facilitar cualquier dato sensible (datos bancarios, números de tarjetas de crédito, número de la seguridad social, etc...) asegúrese de que se encuentra en una web segura.
Las páginas web que utilizan protocolos de seguridad, que impiden la captación de datos por parte de terceros no autorizados, se caracterizan porque la dirección web que aparece en la barra de navegación comienza con el protocolo ‘https’ y en la parte inferior de la página aparece un candado.
Igualmente podemos comprobar la veracidad del protocolo de seguridad; para ello, podemos clickear dos veces en el candado de la parte inferior de la página, y nos aparecerá una ventana en la que se identifica a la compañía de certificación y al titular del protocolo, así como su validez.
7.- Asegúrese de tener el navegador web actualizado y con los últimos parches de seguridad instalados.
8.- Si continua teniendo dudas acerca de la veracidad del correo electrónico, de su emisor o de su finalidad, no dude en ponerse en contacto con la entidad de la que es cliente.
9.- Por último, compruebe regularmente sus cuentas bancarias para asegurarse que todos los movimientos o transacciones son legítimos. En caso de detectar algo sospechoso, no dude en ponerse en contacto con su entidad bancaria.
