martes, 14 de junio de 2005

Comentarios a "Policia, banca y otros sectores en la lucha contra el phishing" de Noticias Hispasec

Leo en la noticia Hispasec del viernes comentarios entorno a la reunión de la semana pasada organizada por la Brigada de Delitos Tecnologicos entorno al phishing.
La noticia puede leerse en Policía, banca y otros sectores en la lucha contra el phishing .

Lo que me llama poderosamente la atención son afirmaciones tales como "La banca electrónica es, salvo expceciones extraordinarias,segura y confiable. En éste punto hubo total consenso entre los ponentes, e Hispasec se une a éste mensaje." y si uno sigue leyendo el texto y las recomendaciones que Hispasec da al usuario para prevenir incidentes tiene:

"Hispasec, en su continua lucha en la prevención y el tratamiento
posterior del phishing, vuelve a insistir en lo que los conferenciantes
destacaron. La cadena se suele romper por el eslabón más débil y éste
por desgracia suele ser el cliente final. Algunas medidas para prevenir
ser víctimas del fraude pueden ser las siguientes:

- Ante todo, consulte a su entidad. Todas las entidades ofrecen
información sobre seguridad informática y seguridad en el uso de
aplicaciones bancarias. Consulte a los servicios de atención al cliente
y solicite las recomendaciones de su entidad. Nadie mejor que ellas para
darles la información básica para realizar operaciones bancarias seguras
en sus ordenadores personales.

- Bajo ninguna circunstancia deben seguirse enlaces que conduzcan a su
portal bancario ni a su sistema de banca electrónica. Utilice siempre
las direcciones introducidas a mano en su navegador. Su entidad jamás le
va a solicitar claves de ningún tipo a través del correo, ni le va a
enviar mensajes de correo con temáticas relativa a la necesidad de
confirmar datos ante supuestas cancelaciones. Desconfíe siempre de éstos
mensajes.

- Otros consejos útiles son la comprobación previa al uso de los datos de
registro de su portal. Averigüe cuándo se usó la cuenta por última vez,
si su banco le facilita esta información, y constate que usted realizó
ese uso y no un posible estafador que se hubiera hecho con sus claves.

- Vigile la seguridad de su terminal, y evite en lo posible el uso de
terminales públicos para operaciones bancarias. Actualice su sistema,
disponga de un buen antivirus, y certifique periódicamente que su equipo
está libre de spyware, troyanos y malware en general. Para los usos
públicos, procure en la medida de que sus conocimientos lo permitan,
disponer de distribuciones "live" seguras (se ejecutan directamente en
la unidad CD) para acceder a los servicios. Para tal efecto, son muy
útiles las distribuciones "live" Linux, con gestor de escritorio y
dotadas de navegadores seguros, con la ventaja de ser absolutamente
gratuitas. Los clientes de correo seguro y los filtros de spam son muy
útiles para evitar problemas.

- Conserve sus claves y sus tarjetas de coordenadas bancarias a buen
recaudo. Procure cambiarlas periódicamente, y asegúrese de que cierra
las sesiones y se borran los archivos temporales después de un uso de su
sistema. Salvo usos domésticos muy controlados, no debe almacenar nunca
contraseñas en el navegador.

- Denuncie cualquier irregularidad. Es la única manera de que el proceso
de erradicación de la lacra del phishing sea efectivo. Ponga en
conocimiento de su entidad los intentos de fraude que reciba por email.
Comuníquese con las autoridades y notifique las problemáticas.

- Vigile su correo electrónico. Casi la totalidad de mensajes de phishing
llegan a nosotros vía email, luego disponga de una dirección segura para
cuestiones relevantes, como asuntos bancarios. No debe publicar o dar a
conocer esta dirección en foros, chats ni medios públicos. Comuníquela
únicamente a las personas de su confianza. La gran mayoría de listas de
correo indeseado proceden de rastreos a través de correos cadena, foros,
chats y tablones de anuncios en la red, con lo que evitar participar con
nuestros emails en esos lugares es una garantía de no recepción de
publicidad y/o Phishing.

- Y como último consejo, no haga nada de lo que no esté absolutamente
seguro. Si su sentido común le hace sospechar, deténgase y plantéese el
problema. La distancia entre quedarnos tranquilos y perder nuestros ahorros está, por desgracia, a un sólo click de distancia."

¿Pero no hemos quedado en que es seguro? ¿Qué debemos entender por seguro en este caso?

Creo que aqui han de separarse conceptos diferentes, que por deformación profesional se utilizan de forma mezclada.
Una cosa es que la plataforma tecnologica de la banca on-line disponga de las medidas técnicas adecuadas y que la transacción a ejecutar se realice en un entorno seguro y otra muy distinta es que este proceso sea seguro y no permita el fraude. En el caso de la banca electrónica, nos encontramos en el primer caso. Tecnologicamente se han proporcionado bastantes medios para garantizar la seguridad, pero ello no significa que la utilización de la banca on-line sea segura.

Si comparamos las recomendaciones realizadas sobre la banca electronica a la banca real, podríamos estar sugiriendo cosas como:

- Para hacer una transacción en su banco, primero compruebe:
1) Que el bajo comercial donde va a entrar es propiedad de la entidad en donde usted tiene sus ahorros.
2) Que las nòminas de las personas que van a atenderle también pertenecen a la entidad en donde tiene sus ahorros.
3) Que nadie le sigue y le vigila en el momento en el que entra en la sucursal.
4) Que el dinero lo guarda en un sitio seguro y que no hay delincuentes esperandole.

¿Consideraríamos seguro trabajar con los bancos en estas circunstancias?

Está muy bien que los bancos lleven las oficinas a nuestra casa pero está claro que esto plantea nuevos riesgos que hay que también saber gestionar.Creo que lo único que debe hacerse es plantear los potenciales riesgos a los que un usuario "común" sin conocimientos avanzados está expuesto en el uso de estos servicios y hacer entender que el Banco, por mucho que quiera, no puede proteger mucho más que nosotros mismos nuestro PC. Pero estos riesgos ¡han de estar claros! y deben ser aceptados por el cliente. Nunca ocultados ni minimizados con afirmaciones como que "la banca electrónica es segura".

Además, para mayor sorpresa y despues de vendernos previamente unas lineas tranquilizadoras respecto a los riesgos a controlar en el acceso a la banca electrónica el artículo termina "La distancia entre quedarnos tranquilos y perder nuestros ahorros está, por desgracia, a un sólo click de distancia."

¿Qué confianza espera que le de como cliente al uso de la Banca electrónica?
 
;