La banca electrónica, ante la enésima estafa, ha recordado a sus clientes las medidas que deben tomar para proteger su dinero. Pero ahora resulta que las dos más importantes pueden burlarse. Quizá sea hora de que los bancos asuman que el â??phisingâ?? también es cosa suya.
Esta semana ha sido el BBVA, la pasada le sucedió a Banesto, la anterior a Caja Madrid. En realidad, no hay banco grande o pequeño, caja de ahorros o montepío que no haya sufrido un intento de estafa. Bueno, a decir verdad, los que la sufren son sus clientes, no las entidades. Unos 10.000 españoles, según el Observatorio Español de Internet, ya han picado el anzuelo, y lo peor está por llegar. Cada mes, se duplica el envío de correos timadores. Hasta ahora, la forma de saber si un cliente estaba en la página real de su banco y no en una falsa, lo que se conoce como phising, era ver que la dirección de la web empezaba por HTTPS, donde la S informa de que se entra en un servidor seguro. Otro de los elementos de seguridad era el icono de un candado en la parte inferior de la página. Al pinchar en él, se despliega un certificado que asegura la identidad del banco. Pues bien, estas medidas se pueden burlar como ha hecho la consultora de seguridad Hispasec. Aprovechando un fallo muy común en el diseño de las páginas, el cliente puede pensar que está en la de su banco cuando en realidad está enviando sus datos a un estafador. La prueba ha revelado que el 12% de las 50 entidades financieras españolas examinadas están expuestas a este ataque. Y eso que sólo analizaron la home, la página de bienvenida de los bancos. ¿Tan grave es? «Lo único que nos queda es no hacer caso a nada», dice pesimista Antonio Ropero, de Hispasec.
De cara al usuario, la seguridad de la banca electrónica se basa en tres pilares, la dirección HTTPS, el certificado de seguridad y el constante recuerdo que hacen los bancos a sus clientes de que ellos jamás piden datos por email. Los dos primeros están ahora en entredicho y «ya sólo nos protege teclear directamente la dirección de nuestro banco en el navegador».
Como dice Ropero, «no basta tener un firewall o un servidor seguro», lo que en el mundo real equivale a gruesos muros y una caja fuerte de apertura retardada. Esto es Internet y «necesitan aplicar la seguridad al diseño de sus páginas web, la seguridad no está sólo en el certificado también reside en la programación». Hispasec recomienda a los bancos realizar auditorías periódicas de sus páginas.
Otra diferencia entre la banca electrónica y la de la calle es que, si atracan su banco, la entidad cubre los riesgos, asegurando la integridad de sus cuentas. En la Red, las cosas no están tan claras. Técnicamente, el cliente estafado está revelando voluntariamente sus claves de acceso. Los bancos, mientras fortifican sus redes internas, se limitan a recordar que ellos no envían correos pidiendo datos personales. «Hasta ahora, la responsabilidad era asunto del usuario. Ya es hora de que el banco asuma su parte». Un primer paso es el que aconseja Hispasec de mejorar el diseño de las páginas.
GEOLOCALIZACIí?N. Una medida proactiva es la que propone Quova. Esta empresa ha tenido una idea tan sencilla como efectiva. Ellos lo llaman geolocalización por IP. «Nuestra tecnología puede detectar el origen de un usuario mediante la dirección IP de su ordenador», explica Luke Allen, de Quova. De esta manera, si un banco recibe una orden de transferencia desde Rusia y resulta que el titular de la cuenta vive en Elche, saltan las alarmas. El sistema, en función de los parámetros establecidos, puede autorizar la transacción, congelarla hasta que un empleado la revise manualmente o, apoyándose en otras tecnologías, avisar al cliente. Gracias a la dirección IP se puede determinar desde dónde se produce la conexión con un margen de error de unos kilómetros. La geolocalización no es nueva, pero sí su aplicación a la lucha contra el phising.
Otra de sus ventajas es que permite descubrir el tipo de conexión: banda ancha, si se está usando un proxy anónimo, el proveedor… Datos que pueden ayudar a perseguir al estafador si las anteriores medidas fallaron y el dinero voló.