martes, 30 de enero de 2007

Ni la Agencia Tributaria se libra del Phising

Circula hoy una noticia relacionada con el envío masivo de spam y su consecuente phising sobre el portal de la Agencia Tributaria.

Obviamente el ingenio va agudizandose cada vez más y el estafador pretende engañar mediante ingeniería social, reclamando los datos confidenciales desde fuentes de confianza contrastada. Para esos objetivos quien mejor que nuestra Agencia Tributaria, famosa en el mundo entero por sus logros en eso que llaman la "E-Administración".

La noticia solamente es curiosa por el hecho de que quien ha sido suplantado ha sido la propia Administración Pública. Ahora, coincido con el blog donde he encontrado la noticia respecto a que "pruebas" aporta la "Administración Pública" para ser digna de nuestra "ciber-confianza".

Tal como apunta la Bitácora de los Hermanos Carrero, el Estado debería empezar a pensar en una "politica" común sobre la publicación de servicios telemáticos, de manera que el ciudadano pueda sospechar a la primera de cambio cuando crea estar frente a una web falsa o suplantada. Para ello, deberían consensuarse una serie de aspectos:
- Unificar criterios respecto a los dominios y utilizar siempre nuestro .es
- Presentar el certificado de servidor para poder verificar mediante el certificado que estamos entrando en una Web no suplantada y correspondiente con el dominio correcto.

Parece no mucho pedir, pero viendo el poder de reacción y corrección de "otras Webs públicas" y en concreto, la Web con la información de quienes son los prestadores de servicios de certificación homologados por el Ministerio, pues no podemos esperar nada bueno de esto de la e-Administración.

Parecen no hacerse las cosas con la rigurosidad con las que quedan establecidas a nivel jurídico por la ley de Firma Digital, tal como ya denuncié en "La E-Administración dando mal ejemplo" que nueve meses despues sigue igual, con la novedad de que ahora Internet Explorer 7 presenta semejante cartel al acceder a una Web de la Administración Pública.



¡ Administradores del Ministerio de Cincia y Tecnología, hagan honor al Ministerio que dirigen! y sobre todo, no nos dejen sin poder verificar qué instituciones son prestadoras de certificados de confianza porque se están cargando ¡la RAIZ de la confianza a nivel de entidades de certificación!

Si no puedo verificar si un certificado RAIZ es o no legal, no podré confiar en NINGUNO (siempre desde el punto de vista jurídico).

¿Tendremos que acostumbranos a estar en Webs públicas con semejante aspecto?.



Esto no es un tema de navegadores, da igual que sea Firefox, IExplorer 7, el problema está en la no correspondencia entre el dominio y el certificado de servidor que tiene instalado el servidor Web.

El enlace a la noticia detallada del phishing de la Agencia Tributaria puede leerse en Ni la Agencia Tributaria se libra del Phising
 
;