miércoles, 8 de febrero de 2006

Un "robo de identidad" estimado en 22 millones de euros

Hace poco preparando una charla de concienciación a usuarios me puse a actualizar las noticias que suelo mostrar para hacer ver que esto de la "seguridad de la información" no es un juego de niños. Dado que todos los incidentes son muy mediaticos ya en prensa convencional encuentras noticias interesantes para referenciar. En concreto, en el Pais apareció el 18 de Enero una noticia entorno al robo de identidades en la Hacienda francesa. La noticia original puede leerse en la web de El País aquí. Citando literalmente el artículo, "Una banda criminal ha estafado al menos 22 millones de euros (aunque se cree que la cantidad es mucho más elevada) a la Hacienda británica usando para ello su propio portal de Internet. El que podría terminar siendo el mayor fraude de la historia del país ha puesto al erario público al borde del colapso, según el diario The Times."

Hoy leo en el Blog de Schneier las reflexiones entorno a este hecho.

Es curioso ver cómo se destaca que el interés político por facilitar el pago o reembolso puede haber causado semejante estropicio. Fue tanto el interés por simplificar el proceso que incluso se estableció como mecanismo la solicitud de reembolso mediante una página Web. Desafortunadamente para el creador de semejante servicio, los únicos requisitos para efectuar el reembolso es conocer el número de la seguridad social y el nombre de la madre. Sólo indicando un numero de cuenta en donde proceder al reembolso la transacción se ejecuta. Tal como comenta el propio Schneier, con lo descrito hasta ahora dice "Alguien que conozca algo entorno a la seguridad ya puede imaginarse que paso".

Lo importante de los comentarios de Schneier son que aunque la prensa ha etiquetado el incidente como un robo de identidad, realmente el problema ha sido el pésimo mecanismo de autenticación de la transacción. Un mecanismo que utiliza algo semi secreto y que no requiere ningún tipo de comprobación o de validación más antes de realizar la transferencia no puede ya considerarse válido en los tiempos que corren.
 
;