En busca de un antídoto definitivo para el 'phishing'

En 2002, The Economist alertaba de que el comercio electrónico podría tambalearse por una nueva modalidad de estafa bautizada con el nombre de phishing -combinación de las palabras inglesas 'fishing' (pescando), y 'passwords' (contraseñas)-. El diario económico se cuestionaba quién asumiría la responsabilidad ante este fraude en la Red. Los posibles candidatos eran las entidades financieras cuyos clientes sufrían el timo, las compañías de software que presentan vulnerabilidades en sus programas, los usuarios incautos, e incluso los poderes públicos. Tres años más tarde la pregunta aún queda en el aire.

El phishing consiste normalmente en un envío masivo de mensajes electrónicos, en los que aparece una web falsa clonada a partir de la de una de una entidad bancaria. En esta imitación se pide que se introduzcan los números PIN, nombres de usuario, o contraseñas de sus cuentas bancarias digitales, con la excusa de actualizarlas. Otra modalidad, aún más convincente, aprovecha la página real de la entidad bancaria para desviar al usuario a una página falsa, pero de apariencia idéntica, en la que se piden las claves. Una vez revelados los datos, estos delincuentes tecnológicos tienen en su poder un abanico de posibilidades tan amplio como dinero contenga la cuenta.

Los costes que el phishing ha supuesto para los bancos no son nada triviales. Según recogía hace unas semanas el diario económico Cinco Días, durante 2004, este timo costó en torno a 930 millones de euros en daños a las entidades financieras y emisoras de tarjetas de crédito.

Formación de los usuarios

Los bancos que disponen de estos servicios digitales culpan a la poca audacia de los usuarios a la hora de caer en la trampa, y advierten de que no son sus sistemas de seguridad los que están fallando, sino la cautela de sus clientes. Para un portavoz de Caja Madrid, la reflexión que puede sacarse en claro sobre la estafa es que no puede hablarse de inseguridad en los métodos de transacciones bancarias digitales, ya que no se están accediendo a sus páginas internas: "Lo único que podemos hacer es alertar del peligro del phishing en nuestra página", explica.

Desde la administración pública también se escudan en la irresponsabilidad de los navegantes ante este tipo de fraudes. Según Marcos Gómez, responsable del Centro de Alerta Temprana de Virus (CATA) de la empresa Red.es: "En el caso del phishing, el usuario "cae en la trampa hábilmente montada y da las contraseñas de acceso a sus cuentas de banca electrónica, por lo que la culpa es de la candidez del usuario".

Red.es: "Obtener estos datos personales no es delito"

Además, la competencia de la administración sólo llega a proteger al usuario de lo que esté tipificado como de delito", afirma el responsable del CATA. "Hasta el momento, obtener estos datos personales no es un acto delictivo", explica Marcos Gómez, "El único acto delictivo está en el hecho de conseguir de manera fraudulenta nuestras cuentas de correo a las que mandan las páginas clonadas de las entidades bancarias, y en el uso de sus logoscorporativos".

El Centro de Alertas Temprana de Virus, que ha comenzado a cooperar con la Asociación de Bancos para tratar de limitar los efectos del phishing, considera que las entidades financieras han tenido "un cuidado extremo" en hacer que sus páginas de acceso y operación de cuentas digitales sean lo suficientemente seguras. En definitiva, se trata de un método de ingeniería "mucho más efectivo que intentar atacar el sitio web de un banco". Pero muchas asociaciones en Internet se niegan a aceptar que la responsabilidad sea exclusivamente de esta falta de perspicacia de los navegantes.

Webs más fáciles de usar

Hispasec Systems -una empresa dedicada a la seguridad en Internet- apunta a que aspectos "básicos", como el diseño de una página web, puede prevenir que los usuarios caigan en este tipo de fraude. Un estudio a cerca de 50 páginas webs de entidades bancarias realizado por Hispasec demostró que un 44% de las páginas de los bancos españoles mostraban fallos que les hacían vulnerables al phishing. 22 de las 50 evaluadas no pasaban todos los filtros de seguridad, o presentaban algún defecto en su diseño que les hacía más fáciles de atacar. Entre ellas figuraban las del SCH, Bankinter, Caja Duero o La Caixa.

El estudio ponía a prueba tres aspectos en cada página web evaluada, y que deberían poder ser comprobados con facilidad por el usuario. En el campo de dirección que aparece en el navegador debe aparecer la URL completa, con el dominio al que pertenece precedido de https://, y nunca sólo http://. Deberá existir también un símbolo que ilustra un candado cerrado o una llave completa en la barra de estado, icono a través del que se podrá visualizar información sobre el certificado de seguridad y la autenticidad de la página haciendo doble clic en él. Éstos elementos son parte del diseño de la página, y no un error del software de navegación en la Red. Aunque éste es también un elemento importante a tener en cuenta ante los ataques de phishing.

Software más seguro

Desde las empresas de software se aclara que, a pesar de estar constantemente en alerta para solventar los fallos que aprovechan los ciberdelincuentes, es difícil controlar todas las lagunas de Internet. "Los hackers suelen localizarlos primero", confiesa Tor Orland de Opera. Paul Mutton, de Netcraft, coincide: "Probablemente existan muchos 'agujeros' en la programación que dé entrada a los ciberdelincuentes antes de que lo hagamos nosotros desde las propias empresas". Además, según Mutton, la labor de detección se hace aún más difícil por que son específicos a cada navegador, "por lo que no puede aplicarse una solución genérica a cada caso".

Soluciones momentáneas

Desde Red.es se insta a los usuarios a que lleven a cabo una serie de normas de "fácil aplicación" para no caer en la trampa. La primera consiste en no abrir mensajes escritos en idiomas diferentes al propio, ya que la entidad no se dirige al usuario en otra lengua que la elegida inicialmente. Es mejor tampoco hacer caso de correos enviados por supuestos bancos de los que no se sea cliente, ni de mensajes sobre sorteos u ofertas económicas en los que se les pidan datos personales. Según Red.es es conveniente no abrir alertas que avisen del cese de actividades financieras que lleguen a su buzón, ya que éstas también pueden contener material falso. En definitiva, la advertencia de la empresa pública es que se use el "sentido común" ante esta avalancha de ataques de phishing, en Internet, y de que elimine material sospechoso que llegue de forma imprevista a su correo.

Para Verisign, la solución pasaría por más colaboración entre las ISP de los distintos países, y un reforzamiento de las leyes locales para condenar este tipo de actividades.

Por su parte, la empresa de seguridad en Internet, Cable and Wireless opina que la introducción de la firma y los certificados digitales resolverían el problema de la identificación del remitente de los mensajes. Pero la implantación de estos sistemas es larga y costosa, por lo que la mayoría de los expertos apuntan a que la educación de los internautas sobre estas estafas en la Red es la medida más urgente para prevenir que el fraude llegue a consumarse.

La Asociación de Usuarios de Internet (AUI) va más allá, y propone que antes de abrir la aplicación, el usuario pueda responder a una pregunta personal que sólo consta en la aplicación original. "Esto solventaría una carencia de formación cibernética, ya que cualquier usuario, con independencia de su grado de alfabetismo digital, podría comprobar que está ante un proveedor real". Pero la mayoría de los bancos consultados opinan que esto supondrían una vuelta atrás tecnológica en sus servicios online. "La solución podría llegar con el DNI electrónico", pronostica un portavoz del BBVA.

No obstante, la AUI recuerda que también es responsabilidad de los bancos y las administraciones que ofrezcan estos servicios, "transmitir confianza y seguridad a los ciudadanos, y actuar con diligencia y eficacia para dar respuesta a problemas como el phishing.