Amenazas en la banca electrónica

Una reciente encuesta de Pew Internet concluye que el 15% de los usuarios de la red desconoce el significado de la palabra phishing a pesar de que el 35% reconoce haber recibido alguna vez una mensaje de correo a través de internet solicitando sus claves de banca electrónica.

El conocimiento de este anglicismo, que se refiere a la cosecha y pesca de contraseñas (password harvesting and fishing), es irrelevante, ya que lo que importa es que el usuario de un servicio de banca electrónica sepa que no debe facilitar sus claves a terceros. El problema reside en la llamada ingeniería social, ya que el engaño se produce sobre las personas utilizando una falsa apariencia que les genera confianza y les induce a actuar en contra de sus propios intereses. En esos casos, el usuario puede pensar que no está entregando las claves a un tercero, sino a su entidad bancaria, que necesita poder comprobar su legitimidad para realizar una operación o conseguir una nueva contraseña. Acto seguido, el autor de la estafa utiliza las claves facilitadas para realizar una transferencia desde la cuenta de la víctima a otra, que forma parte de la red encargada de hacer llegar el dinero a un beneficiario ilegítimo.

¿Qué nivel de candidez o inexperiencia se necesita en el usuario para conseguir que facilite sus claves? A veces parece increíble que alguien responda a un mensaje mal traducido, con errores ortográficos y con logos que no engañarían ni a un niño. Si embargo, la gente pica. Se ha llegado a decir que es un delito destinado a los cibergarrulos. Otras veces, la calidad de los logos de la entidad y el texto son impecables, e incluso se refieren a incidentes de seguridad como el propio phishing para justificar un inmediato cambio de claves. En esos casos, debe darse prioridad al principio de que una entidad bancaria nunca se dirigirá a sus clientes por correo electrónico para solicitar sus claves ni para pedirle que las cambie en una dirección de internet facilitada en el propio mensaje. Las entidades financieras han hecho un enorme esfuerzo divulgativo para difundir este mensaje. Pero, ¿cómo conseguir que un cliente confíe más en un mensaje que le dice que no haga nada que en otro que le dice que actúe inmediatamente para salvaguardar su dinero? La solución ha consistido en no enviar esta advertencia por correo electrónico sino en incluirla como aviso permanente en la propia plataforma de banca electrónica y como cláusula contractual en las condiciones generales que regulan este servicio.

Pero parece necesario ir un poco más lejos y conseguir un mayor nivel de sensibilización del cliente doméstico de banca electrónica respecto a las amenazas contra la seguridad en las que la parte más vulnerable no es el sistema informático sino el propio usuario. Y todo ello sin generar un nivel de alarma que haga perder la confianza en una entidad concreta o sugiera a los clientes que es mejor migrar a medios más tradicionales pero menos eficientes para ellos y para el sector. Se trata de un equilibrio difícil que tal vez se puede conseguir si la campaña proviene de la Administración o de un organismo que no se identifique con una sola entidad.

Respecto al usuario corporativo, la cuestión es más clara. Las empresas deben dar la suficiente formación al personal que opera de forma electrónica con las cuentas bancarias de la compañía e incluir estos riesgos en sus políticas de seguridad.