La banca española une fuerzas contra el fraude a través de internet
La firma de seguridad Hispasec asegura que un 44% de los bancos españoles son vulnerables ante ataques de 'phishing'
Las entidades bancarias españolas han decidido unir fuerzas para defenderse del phishing, una sofisticada forma de timo online, que consiste en envíos masivos de correos electrónicos para atraer a los internautas hacia web falsas de conocidas empresas, con objeto de hacerse con datos personales y contraseñas de acceso a servicios, con un fin muy concreto, el robo.
Con cierto retraso, en opinión de algunos expertos, la banca española se ha puesto manos a la obra para frenar este tipo de fraude y ha creado un grupo de trabajo nacional contra el phishing, que cuenta con un experto en seguridad informática de cada banco y caja de ahorros. El grupo está integrado dentro del Centro de Coordinación Interbancario (CCI) y lleva funcionando tres meses, según un portavoz del BBVA.
La estafa a través del phishing aumenta a un ritmo trepidante. La asociación internacional Anti-Phishing Working Group, integrada por los principales grupos de seguridad tecnológica y bancos, afirma que este tipo de ataques creció un 180% entre abril y mayo de 2004. Se calcula que en todo el mundo se registran unos 3.000 millones al mes, con un incremento en noviembre del 29% y que 'pican' un 5% de los internautas. En diciembre, el sector financiero recibió el 85% de todos los ataques de phishing. Según la empresa de seguridad Symantec, durante 2004, esta técnica le costó a los bancos y emisores de tarjetas de crédito 930 millones de euros en daños.
En Reino Unido y EE UU se han creado seguros que cubren el 'phishing'
Fernando Aparicio, profesor del Instituto de Empresa y socio de Security Xperts, opina que en España hasta que no haya un caso de fraude importante que acabe en los Tribunales, 'no se va a ver la urgencia de un verdadero plan preventivo'. En EE UU y Reino Unido donde el phishing está atacando con especial virulencia, ya hay bancos que ofrecen pólizas para asegurar el riesgo electrónico, con cobertura específica en phishing, añade.
Un estudio de la firma española Hispasec, al cual dan crédito las entidades consultadas, muestra que un 44% de las páginas web de los bancos españoles son vulnerables a esta práctica. El estudio analiza los aspectos de diseño de la web de autentificación del usuario de 50 entidades bancarias que podrían permitir los ataques de phishing. 'El diseño es clave para que el usuario pueda comprobar si realmente está en el servidor de su banco o se trata de uno falso que imita al original', explican desde Hispasec.
Esta compañía advertía en su web (http://www.hispasec.com) el 31 de enero que 22 de las 50 web analizadas se veían afectadas por algún problema. Entre las que aprobaban estaban las del BBVA, Banco Popular, Caja Madrid, Banesto, Ibercaja o el BBK. Otros como el SCH, Bankinter, Caja Duero o La Caixa no pasaban todos los filtros.
El portavoz de un banco gran banco español explica que el idioma ha beneficiado al sector de la banca en España. 'Los atacantes se manejan mejor en inglés. Y de los pocos ataques que ha habido en nuestro país, las traducciones de los correos eran tan malas que se veía que eran falsas. Es difícil engañar a un cliente con un mensaje encabezado con Estemada clientus'. No obstante, BBVA, Banco Popular y Caja Madrid reconocen seguir atentamente los comunicados e investigaciones de las organizaciones internacionales sobre este tema. Otros bancos han preferido no hacer declaraciones.
La mayoría de las entidades citadas han hecho llegar a sus clientes por diferentes vías instrucciones sobre el problema. 'Les informamos que sus claves y códigos de acceso son personales e intransferibles. Además, les advertimos que no accedan a los servicios desde enlaces en los correos electrónicos ni desde web de terceros y que, en su lugar, utilicen la opción de favoritos del navegador o introduzca manualmente la dirección; que comprueben que la conexión con la entidad se realiza de forma segura, mediante un certificado válido', subrayan desde Caja Madrid. Esta entidad incluso hace pruebas periódicas de intrusión y vulnerabilidad de sus sistemas Internet con empresas externas.
Compensaciones tras el fraude
En el fraude del phishing hay todavía muchos problemas por resolver. Desde afinar la tecnología de seguridad, que permita que los exploradores y el software de verificación de certificados de las web mejore, a determinar quién debe asumir el coste del fraude. Los bancos españoles coinciden en que 'cada caso se trata de manera individualizada, aunque la mayoría se han parado a tiempo y comunicado a las fuerzas de seguridad del Estado y a los clientes, de forma que el impacto económico es escaso'.En Reino Unido, la Asociación de Clarificación de Pagos (Apacs) señaló recientemente que los bancos podrían rehusar el pago de los daños causados por este tipo de fraude, si consideran que sus clientes han ignorado las advertencias de seguridad realizadas previamente por las entidades.Apacs opina que la garantía existirá mientras los bancos estén todavía en el proceso de crear conciencia del riesgo, pero que pasado un tiempo la entidad no tendrá obligación. 'La garantía no puede ser eterna'. Los bancos británicos devolvieron 6,5 millones a 2.000 clientes víctimas de phishing en 2004.
REDES DE LUCHA MUNDIAL
18 FIRMAS COMPARTEN INFORMACIâNEn los últimos meses el número de correos electrónicos relacionados con el phishingse han duplicado y ya suponen el 0,5% de todos los mensajes en la Red, según Symantec. Ante la creciente amenaza de los timos online, se han empezado a crear redes internacionales como Digital PhisNet, integrada por 18 grandes firmas de los sectores de seguridad informática, banca, proveedores de servicios de Internet y comercio electrónico. Grupos tan dispares como AOL, Citibank, eBay y Microsofthan encontrado causa común en la lucha contra el phishingy han decidido compartir información que les permita dar cerrojazo en el menor tiempo posible a las webs fraudulentas.FRAUDE CON FâRMULA VÍRICAEl problema añadido que tienen los bancos y firmas de comercio electrónico con este tipo de fraudes es que los timadores no paran de encontrar nuevas fórmulas. Aparte de web falsas, los más sofisticados usan tecnologías de virus como los troyanos, instalados de forma remota en el ordenador, que son capaces de seguir los movimientos del teclado e incluso grabar pantallazos cuando el usuario está conectado con su banco. Con esa información, los ciberdelincuentes pueden conseguir contraseñaspara entrar en la cuenta bancaria y desplumar al usuario. Como dicen desde Symantec, los nuevos hackers ya no buscan la fama como creadores de virus, los fines ahora son económicos.EBAY LANZA UN §E-MAIL§ PRIVADOLa firma de subastas por Internet fue una de las primeras en tenérselas que ver con copias falsas de su web con las que los timadores intentaron y, en algún caso, consiguieron robar a sus clientes. Para protegerse contra el phishing, eBay acaba de lanzar en EE UU un servicio privado de e-mailen el que los usuarios entrarán con sus claves. Muchos dudan de la eficacia de la medida y algunos de los usuarios ya dicen estar recibiendo spamy phishing.