11:49 27/07/04
¿ESTÁ SEGURO UN BANCO EN INTERNET?
Mercè Molist
El verano pasado no fue nada divertido para algunos clientes de Caixa
Galicia. Una mafia internacional, dedicada a robar tarjetas de
crédito, gastó miles de euros de clientes de esta
entidad, comprando en Malasia, Melbourne, Sudáfrica, Venezuela y
Estados Unidos, vía Internet. Los ladrones habían
asaltado la base de datos de Caixa Galicia y robado en bloque
información de los clientes. La entidad nunca confesó
cómo lo hicieron ni el monto del fraude, algo normal en los
bancos, que suelen callar los ataques a su seguridad y
reputación.
¿Es segura la banca en línea? Los expertos en seguridad
informática coinciden en un rotundo no. Los ataques de
"crackers" a los bancos suelen quedar en secreto, excepto en los casos
en que el "cracker", con un claro interés social, lo denuncia
públicamente. Como el joven holandés que, el año
pasado, congregó a los medios de comunicación para
mostrarles cómo entraba fácilmente en tres de los cuatro
bancos más importantes de su país, aprovechando un
conocido error de sus servidores web, marca Microsoft.
Interceptó conexiones de los clientes, consiguió acceso
total y nadie se enteró.
Los "crackers" han hecho de todo en los bancos online, pero sólo
unos pocos se han llevado dinero, explica Madfran, miembro del grupo
hacker español SET: "Lo que está en peligro son los datos
de los clientes, pero difícilmente su dinero. Si das una orden
de transferencia para quedarte el dinero, quedas retratado en todos los
puntos de destino, a no ser que organices un complejo sistema de
enlaces entre cuentas". Según Madran, "en un rápido
mostreo hecho en España, de seis bancos, dos permiten que
alguien con paciencia pueda espiar el identificador y contraseña
de los clientes".
Programas mal configurados, la inocencia de los clientes que
envían sus contraseñas a mensajes electrónicos
fraudulentos, las escuchas en línea, ataques de los propios
empleados, suplantación de la identidad de compañias
externas que operan con el banco... Son los métodos que suelen
usar los "crackers bancarios". En España, la mayoría de
sistemas de autenticación de las entidades financieras funcionan
por contraseña, mientras que en el norte de Europa usan lectores
de tarjeta, supuestamente más seguros. Pero, dice Madran, "lo
más inseguro es identificar a los usuarios por el DNI, ya que se
lo pueden robar o adivinar por otros métodos".
Según uno de los pocos estudios independientes sobre seguridad
informática en bancos, hecho en 2003 por la consultora Deloitte
& Touche. El 40% de las 500 entidades bancarias más
importantes del mundo ha sufrido como mínimo un ataque
importante el pasado año. Al preguntar a los bancos si
confían en la protección de sus sistemas, sólo el
48% lo afirma con rotundidad. Recientemente, el profesor australiano
Bill Caelli declaraba públicamente que la seguridad de las
transacciones por Internet es "manifiestamente no adecuada",
especialmente hacer operaciones bancarias desde casa: "Los ordenadores
personales nunca se diseñaron para esto. No los usen, no son
seguros".
PESCANDO INCAUTOS
El primer fraude a una entidad bancaria usando Internet fue el robo del
Citibank, en 1994. El hacker ruso Vladimir Levin transfirió a su
favor unos diez millones de euros de diversas cuentas, aunque Citibank
sólo recuperó 400.000. Un juez sentenció a Levin a
tres años de prisión. El ruso entró en la red
informática del banco usando contraseñas y códigos
robados a sus clientes, quienes son tradicionalmente el enlace
más débil en la cadena de la seguridad bancaria. Los
delincuentes lo saben y por eso les bombardean con virus que entran en
sus ordenadores y copian sus datos bancarios o les mandan mensajes
electrónicos, conminándoles a poner sus
contraseñas y números de tarjeta en webs fraudulentas.
Ésta práctica, llamada "phishing", es la última
moda entre la delincuencia informática: envían mensajes
masivos, supuestamente procedentes de un banco, donde instan a los
clientes a visitar una página web falsa e introducir en ella sus
datos. A nivel mundial, Citibank fue la primera y es la entidad
más afectada por la práctica del "phishing". Según
el periodista Dave Farber, "los mensajes supuestamente procedentes de
Citibank se han vuelto tan omnipresentes que se están
convirtiendo en rutina para el propio banco. Son el nuevo pasatiempo
favorito de los críos que juegan a ser 'crackers'". Algunos
bancos españoles han sufrido también este intento de
estafa a sus clientes. El año pasado, BBVA Net y, este
año, Banco Popular.
VSAntivirus recomienda: "Desconfíe siempre de los mensajes que
dicen provenir de entidades bancarias. Si le piden que de
información confidencial, no lo haga sin estar absolutamente
seguro. Cualquier compañía responsable le llevará
a un servidor seguro para que ponga allí sus datos. Un indicador
de sitio seguro es que la dirección del enlace empiece con
https: y la presencia de un pequeño candado amarillo en el
rincón inferior a su derecha del navegador. Un doble clic sobre
el mismo debe mostrarle la información del certificado de
Autoridad, que debe coincidir con el nombre del banco, estar vigente y
ser válido. Si aún así duda de la veracidad del
formulario, no dé ninguna información y consulte de
inmediato con la institución, preferiblemente vía
teléfono".
PREGUNTAS A LA HORA DE USAR UN BANCO EN LÍNEA
1. ¿Le facilitan un punto de contacto para temas de seguridad?
2. ¿En la web publican alguna política de privacidad o de seguridad?
3. ¿Sabe qué medidas de seguridad utiliza el banco?
4. ¿Sabe si usan un cortafuegos o sistemas de detección de intrusos para proteger su servicio web?
5. ¿Sabe qué certificados digitales utilizan?
6. ¿Alguna tercera parte imparcial ha realizado una auditoría del sitio web?
7. ¿Sabe cómo protegen la información sobre las cuentas de sus clientes?
Scam: Otro timo a clientes del Grupo Banco Popular
http://www.vsantivirus.com/scam-grupobanco3.htm
¡Sigue la estafa contra usuarios de BBVA Net!
http://www.vsantivirus.com/scam-bbvanet2.htm
Mafia de las tarjetas estafa a clientes de Caixa Galicia
http://www.vsantivirus.com/11-07-03c.htm
Internet banking 'no longer safe'
http://www.theadvertiser.news.com.au/common/story_page/0,5936,8912876%255E421,00.html
Banks fail to protect IT systems
http://www.theregister.co.uk/2003/05/15/banks_fail_to_protect/
Banks: A veil of safety
http://news.com.com/2009-1017-893226.html
Copyleft 2004 Mercè Molist.
Verbatim copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.
<<