Desde hace unos cuantos años vengo defendiendo que el mensaje que dan las entidades financieras en los casos de phishing no son correctos. No se trata de que «le hayan engañado al cliente por no ser cuidadoso con las claves» sino que «han engañado al cliente porque el sistema de autenticación que ofrece el banco favorece el engaño«.
Efectivamente, la «ingeniería social» diseña engaños que en ocasiones tienen bien poco de tecnologicos, pero que son muy creibles por la escasa interiorización de los usuarios sobre las materias de seguridad en entornos internet. Pero es que los usuarios no tienen por qué ser especialistas, y las entidades financieras deberían definir «experiencias de usuario» comunes con herramientas básicas de seguridad que permitieran a los usuarios detectar cuando están siendo engañados.
El actual enfoque de la banca frente a las redes de phishing se parece al de las gacelas que se plantean escapar del león. No se trata de correr más que el león, se trata de correr más que la gacela más lenta, que es la que sucumbirá en la carrera. Es decir, cada entidad no se plantea resolver el problema, sino dificultar el fraude solo un poco más que la entidad vecina, contando con que los delincuentes se cebarán primero sobre las entidades más expuestas.
Al final perdemos todos. Los clientes por las molestias causadas, y las entidades financieras por la pérdida de credibilidad, que es lo mismo que la pérdida de confianza. El principal activo de las entidades financieras.
Yo llevo muchos años clamando en el desierto por lo que me parece un enfoque reprobable del tratamiento de la seguridad por las entidades financieras (salvo honrosas excepciones como la de Caixa Galicia), y mi principal crítica es que las entidades no hayan sido capaces de consensuar el modelo común de gestión de la seguridad de sus usarios de banca electrónica, pese a las advertencias de los especialistas y los informes emitidos en el marco del CCI (Centro de Cooperación Interbancaria).
Por otro lado, en cierto modo no me extraña. Si cada vez que las entidades se reunen para cualquer tema la Comisión Nacional de la Competencia ve fantasmas de concertación anticompetitiva, se te quitan las ganas de buscar el bien común.
(Otro dia hablaré de mi percepción sobre la «incompetencia» de la Comisión Nacional de la Competencia).
Así que el artículo aparecido hace unos días en El País, tiene, en mi opinión, un carácter agitador imprescindible. En el Banco de España «ya no cuela» el tema de la responsabilidad del usuario, y es preciso ponerse serios con el problema de la seguridad.
(También estoy tentado de escribir un artículo con mis «recetas»)
El artículo, de Piedad Oregui, apareció en la sección salmón de El País el domingo 13 de abril de 2008.
El Banco de España critica a las entidades financieras por lavarse las manos ante los casos de fraudes electrónicos
El Banco de España lo tiene claro: las entidades financieras no pueden lavarse las manos en lo relativo al fraude electrónico. Su servicio de reclamaciones -las primeras quejas por este motivo comenzaron a recibirse a finales de 2005 y, desde entonces, se han ido acelerando- es contundente. «No parece equitativo ni proporcionado que las entidades eludan sin más su responsabilidad, dirigiendo a sus clientes a los tribunales de justicia y haciendo recaer en los mismos la totalidad de los importes defraudados. No se estima ajustado a las buenas prácticas bancarias que las entidades, al amparo de las cláusulas contractuales que les exoneran de toda responsabilidad, se desentiendan de los problemas de sus clientes sin realizar actividad probatoria alguna que permita determinar lo realmente sucedido; debiendo, en definitiva, demostrar un cierto grado de diligencia en la gestión de estas reclamaciones de sus clientes. Éstos -no debe olvidarse- han depositado en aquéllas no sólo sus fondos, sino también su confianza».
Clientes indefensos
«Las entidades», prosigue el banco emisor, «al hacer recaer en sus clientes toda la responsabilidad, así como la carga de la prueba de haber actuado correctamente, les colocan en una situación de inferioridad e indefensión, cuando son las propias entidades las que les han ofrecido el sistema y han elegido el mecanismo de seguridad que han estimado más conveniente, resultando, por tanto, que cualquier fraude operado pondría en evidencia la debilidad del sistema de autenticación utilizado».
Son varias las razones que el Banco de España aduce para justificar este tirón de orejas a la banca, y ello pese a que, desde su punto de vista, «con carácter general, las entidades de crédito cuentan con medidas de seguridad internas muy eficaces y acertadas a efectos de prevenir y minimizar el fraude electrónico». Para la máxima autoridad monetaria, en primer lugar, «estas medidas, muy importantes en su fin, no son suficientes para eludir los riesgos, pues las actuales sofisticaciones de los fraudes electrónicos superan las posibilidades del cliente medio que, en general, no es un experto en seguridad informática».
En segundo lugar, por razones técnicas: «Es de sobra conocido que los sistemas de autenticación ofrecidos a los clientes de banca electrónica por la mayoría de las entidades de crédito son sistemas débiles o de un solo factor (una clave fija o aleatoria), a pesar de que la mayoría de los expertos en seguridad informática coinciden al señalar que las medidas de autenticación son más eficaces si incorporan dos factores: algo que el cliente conoce (una clave) y algo que el cliente tiene (un token, un teléfono móvil, etcétera). Estos sistemas de doble factor podrían evitar la captura indebida de la firma electrónica y, por consiguiente, el fraude».
En tercer lugar, por una cuestión de información: «Si bien en los contratos se informa al cliente de las condiciones para operar y de las consecuencias que le depararía un uso indebido de sus claves, no se le suele advertir del riesgo de que éstas puedan ser capturadas por los ciberdelincuentes para su posterior uso con fines delictivos ni de que, en este caso, deberá soportar los quebrantos ocasionados». Por último, la reprimenda tiene también un componente de «falta de responsabilidad». «Tampoco podemos olvidar que el usuario de banca electrónica puede acceder a este servicio no sólo desde su equipo en su domicilio sino también desde lugares públicos como bibliotecas, hoteles o cibercafés y, en muchos casos, sin necesidad de un puesto fijo gracias a las redes inalámbricas».
«Algunas entidades dan publicidad a esta facilidad en su página web», prosigue el razonamiento del Banco de España, «destacando que la banca electrónica permite realizar todo tipo de operaciones bancarias a través de Internet desde cualquier lugar en el que se encuentre y a cualquier hora. Dicho esto, puede resultar un tanto incongruente que si la entidad no ha limitado expresamente las vías de acceso a este canal, pretenda que su cliente sea el único responsable de la falta de seguridad del equipo a través del cual se efectuó la operación fraudulenta».
Responsabilidad de la banca
Por último, desde el Banco de España se recuerda que la recientemente publicada Directiva 2007/64/CE del Parlamento Europeo y del Consejo de 13 de noviembre de 2007 sobre servicios de pago en el mercado interior establece: «Cuando un usuario de servicios de pago niegue haber realizado una operación ya ejecutada (o alegue que ésta se realizó de manera incorrecta), corresponderá a su proveedor demostrar que la operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico o cualquier otra deficiencia, teniendo en cuenta que la utilización del instrumento de pago registrada por el proveedor no bastará necesariamente para demostrar que la operación fue autorizada por el ordenante, ni que éste actuó de manera fraudulenta o incumplió deliberadamente o por negligencia grave una o varias de sus obligaciones».
Cuadro: Los fraudes más habituales
- Fraudes derivados de la utilización con fines fraudulentos de las claves operacionales de clientes de banca electrónica, que tienen como resultado la realización de transferencias de fondos de las cuentas de los clientes a las de terceras personas (que se utilizan como intermediarios, comúnmente conocidos como «muleros»), desde las que a su vez se dispone de los fondos, normalmente en efectivo o mediante envío a través de un establecimiento de cambio o de envío de dinero como Western Union, perdiéndose la pista de la operación, lo que dificulta enormemente la localización de los autores de la estafa.
- Fraudes o timos tradicionales a través de páginas web (ofertas falsas de venta de productos o servicios difundidos a través de una determinada página web).
- Casos de suplantación de identidad en los que mediante la utilización de documentación robada -DNI, NIE o pasaporte- se abren cuentas o se contratan operaciones a nombre de la persona que ha sido objeto del robo o sustracción.
Los fraudes derivados del uso de claves de acceso y operación en la mayoría de los casos se originan por la captura de dichas claves a través de alguno de los siguientes sistemas:
- Phishing: a través de un correo electrónico, generalmente enviado de forma masiva, el usuario recibe un aviso de una entidad de crédito que le indica la necesidad de visitar el sitio web de dicha entidad e introducir sus datos de acceso. La dirección desde la que se envía este correo es generalmente manipulada para confundir al usuario aparentando proceder de una cuenta de correo legítima de la entidad. Este correo incluye un link a la URL que el usuario ha de visitar y que le dirige a un sitio web que no se corresponde con el de la entidad afectada, aunque suele presentar un aspecto y funcionalidades similares. Todos los datos introducidos en la página fraudulenta son convenientemente registrados por los responsables del fraude siendo en algunos casos almacenados en algún fichero de la propia web o enviados a una cuenta de correo electrónico.
- Pharming: de forma similar al phishing, el fraude se produce por la redirección del usuario hacia una página que suplanta la imagen de la entidad de crédito correspondiente y que recoge los datos de acceso a los servicios online introducidos por el usuario. En este caso, la redirección del usuario hacia páginas distintas de la legítima de la entidad no se realiza con técnicas de ingeniería social sino que se debe a una modificación previa del DNS. Los primeros incidentes de este tipo se debían a una modificación en el fichero host del equipo del usuario, pero nuevas variantes apuntan a la utilización de servidores DNS externos comprometidos o a modificaciones en la configuración del router que proporciona al usuario un acceso a Internet por banda ancha. Este tipo de fraude electrónico se aloja por tanto bajo el dominio legítimo de la entidad cuya resolución DNS proporciona una dirección IP distinta de la legítima.
- Malware bancario (troyanos, keyloggers, etcétera): bajo este epígrafe se enmarcan todos aquellos casos de fraude a través de cualquier tipo de malware. Un ejemplo de mecanismos de este tipo son los keyloggers, que registran las pulsaciones del teclado y las envían para su posterior utilización sin el conocimiento del usuario. Los capturadores de pantalla presentan un funcionamiento y prestaciones similares. Otros códigos maliciosos detectan cuando el usuario accede al sitio web de una entidad de crédito y, de manera local, inyectan el código correspondiente para capturar las claves de acceso que el usuario introduce.
- Estafa piramidal / hoax / cartas nigerianas y otros timos tradicionales distribuidos por correo electrónico: en todos los casos se trata de intentos de fraude en los que, bajo diferentes estrategias de ingeniería social, el timador pretende convencer al usuario de que le adelante una determinada cantidad de dinero (que, por supuesto, no volverá a recuperar) o sus datos bancarios o personales (que serán posteriormente utilizados por el timador). Suelen distribuirse a través de correos electrónicos enviados de forma masiva.
Fuente: Servicio de Reclamaciones del Banco de España.
Todo es electrónico 
Realmente es un problema la inseguridad de la autenticación en algunos sistemas de banca electrónica.
No vale el derivar la responsabilidad al cliente. El usuario perjudicado ha de tener muy claro que el responsable último del fraude es la entidad financiera que ha diseñado un sistema inseguro.
Saludos.
Ay, qué pena de Mobipay!!!
Si podían estar resueltos desde hace mucho tiempo lo del phishing y otros muchos problemas de seguridad asociados a los medios de pago !!!
Imagino que esta puede ser una de estas recetas. El problema es que en este caso no va a ser tan fácil conseguir el ingrediente principal como ocurre con las recetas de Arguiñano. Visitas el mercado o el supermercado y encuentras todo. Mobipay está en el mercado, pero como si no lo estuviera. Puedes conseguirlo yendo a las delicatessen (lo que cuesta contratarlo), y luego antes de poder usarlo seguramente se te ha podrido el género (¿dónde lo usas?).
En fin una lástima.
En Japón ya pácticamente todo se puede pagar por el móvil.
Alguna idea de cuánto de maduras están las PKIs sobre los móviles? Me temo que la m-banking no va a poder caer dentro del compliance del artículo 2 de la Ley de Medidas de Impulso a la Sociedad de la Información, aunque por otra parte ni el e-banking. Has pensado qué sanción pueden tener las entidades obligadas por el art. 2 de esta Ley si no cumplen? Pues ninguna.
Un saludo
Veo que es un tema que nos preocupa a más de uno. En mi opinión, tampoco el Banco de España puede eximir su responsabilidad.