viernes, 3 de septiembre de 2004
Pshishing, Scam y herramientas para evitarlo

Tal como comenta el artículo aparecido en el Mouse Digital - Cuidado con el "phishing", se está popularizando un nuevo método de estafa on-line. Aunque en España solo se han visto afectados hasta el momento el Banco Popular y el BBVA, las entidades financieras están planteandose cómo evitarlo.

Pues señores, malas noticias porque ya pudieron en su momento al diseñar las plataformas de banca on-line y no quisieron hacer nada.

Todos hemos comprobado como en una conexión on-line el banco nos presenta un certificado que acredita que la dirección del banco dispone de un certificado digital que autentica que esta url se corresponde con el banco físico al que parece representar.
Eso nos garantiza la identidad del banco y se llama autenticación de servidor.

Lo mismo podría haberse hecho con "los clientes". En el proceso de dar de alta el servicio, los bancos podían haber pensado en un sistema de acceso seguro y autenticado, más robusto que el desfasado mecanismo de "usuario-contraseña", pero claro, por costes no merecía la pena. Tener que entregar a cada cliente un certificado digital para que solo accedieran aquellos que tengan cuenta no les parecía valido...

Y ahora pasa lo que pasa. Si desde el primer momento no se ponen las mejores medidas de seguridad, al final, aparecen problemas.

El problema del scam y el pshishing tiene una solución tecnologíca desde hace años, la "FIRMA DIGITAL". Hemos acostumbrado a la gente a fiarse de la autenticidad de los correos, aunque no existe ninguna prueba "tecnica fiable" del mismo. Llevado al mundo físico, es como si hubieramos permitido entrar a un banco y sacar dinero a cualquier persona sin pedir el DNI en cada operación. Es fiarse sin evidencias, confiar sin pruebas. Y claro, cuando se peca de ingenuo o de bueno, al final hay alguien que quiere aprovecharse y ganar dinero de forma ilicita.
Aunque el artículo del Mouse digital habla de una nueva técnica de hacking, ni es scam es una técnica, ni es nueva. De toda la vida a esto se le ha llamado "Ingeniería Social" y es el método más común de hacking, usado desde los comienzos del mismo. Se trata de obtener información de alguien abusando de su confianza o mediante engaño. Tan solo se envía un correo electrónico haciendose pasar por un banco, y se publica en Internet una web con identica imagen a la del banco suplantado.

El problema es que la solución para todo esto solo pasa por la "FORMACIÓN DEL USUARIO FINAL", algo que hasta ahora ha sido olvidado. Tenemos que plantear ya en serio una educación tecnologica para ciudadanos, dado que parece que el mundo de lo cibernético está siendo invadido por el mundo de la delincuencia.
Ya en un PC tenemos instalado como poco los siguientes elementos:

- Antivirus
- Anti-spyware
- Detectores de intrusos
- Anti-troyanos
- Anti-pshishing

El PC se parece cada vez más a una fortaleza llena de fosos, muros y alarmas, para evitar ser devorados por los lobos del ciberespacio.

Hoy he encontrado una barra para Internet Explorer que evita que dentro de la pagina web se nos reenvíe a otro sitio o que aparezca una url en el navegador y que realmente estemos en otra dirección. Es libre y puede descargarse en EarthLink Toolbar.
 
;