La banca española une fuerzas contra el fraude a través de internet
Mar Jiménez/Ana Hernando / MADRID/LONDRES (11-02-2005)
Las entidades bancarias españolas han decidido unir fuerzas para defenderse del
phishing, una sofisticada forma de timo online, que consiste en envíos masivos
de correos electrónicos para atraer a los internautas hacia web falsas de
conocidas empresas, con objeto de hacerse con datos personales y contraseñas de
acceso a servicios, con un fin muy concreto, el robo.
Con cierto retraso, en opinión de algunos expertos, la banca española se ha
puesto manos a la obra para frenar este tipo de fraude y ha creado un grupo de
trabajo nacional contra el phishing, que cuenta con un experto en seguridad
informática de cada banco y caja de ahorros. El grupo está integrado dentro del
Centro de Coordinación Interbancario (CCI) y lleva funcionando tres meses, según
un portavoz del BBVA.
La estafa a través del phishing aumenta a un ritmo trepidante. La asociación
internacional Anti-Phishing Working Group, integrada por los principales grupos
de seguridad tecnológica y bancos, afirma que este tipo de ataques creció un
180% entre abril y mayo de 2004. Se calcula que en todo el mundo se registran
unos 3.000 millones al mes, con un incremento en noviembre del 29% y que 'pican'
un 5% de los internautas. En diciembre, el sector financiero recibió el 85% de
todos los ataques de phishing. Según la empresa de seguridad Symantec, durante
2004, esta técnica le costó a los bancos y emisores de tarjetas de crédito 930
millones de euros en daños.
Fernando Aparicio, profesor del Instituto de Empresa y socio de Security Xperts,
opina que en España hasta que no haya un caso de fraude importante que acabe en
los Tribunales, 'no se va a ver la urgencia de un verdadero plan preventivo'. En
EE UU y Reino Unido donde el phishing está atacando con especial virulencia, ya
hay bancos que ofrecen pólizas para asegurar el riesgo electrónico, con
cobertura específica en phishing, añade.
Un estudio de la firma española Hispasec, al cual dan crédito las entidades
consultadas, muestra que un 44% de las páginas web de los bancos españoles son
vulnerables a esta práctica. El estudio analiza los aspectos de diseño de la web
de autentificación del usuario de 50 entidades bancarias que podrían permitir
los ataques de phishing. 'El diseño es clave para que el usuario pueda comprobar
si realmente está en el servidor de su banco o se trata de uno falso que imita
al original', explican desde Hispasec.
En Reino Unido y EE UU se han creado seguros que cubren el
'phishing'
Esta compañía advertía en su web (http://www.hispasec.com) el 31 de enero que 22
de las 50 web analizadas se veían afectadas por algún problema. Entre las que
aprobaban estaban las del BBVA, Banco Popular, Caja Madrid, Banesto, Ibercaja o
el BBK. Otros como el SCH, Bankinter, Caja Duero o La Caixa no pasaban todos los
filtros.
El portavoz de un banco gran banco español explica que el idioma ha beneficiado
al sector de la banca en España. 'Los atacantes se manejan mejor en inglés. Y de
los pocos ataques que ha habido en nuestro país, las traducciones de los correos
eran tan malas que se veía que eran falsas. Es difícil engañar a un cliente con
un mensaje encabezado con Estemada clientus'. No obstante, BBVA, Banco Popular y
Caja Madrid reconocen seguir atentamente los comunicados e investigaciones de
las organizaciones internacionales sobre este tema. Otros bancos han preferido
no hacer declaraciones.
La mayoría de las entidades citadas han hecho llegar a sus clientes por
diferentes vías instrucciones sobre el problema. 'Les informamos que sus claves
y códigos de acceso son personales e intransferibles. Además, les advertimos que
no accedan a los servicios desde enlaces en los correos electrónicos ni desde
web de terceros y que, en su lugar, utilicen la opción de favoritos del
navegador o introduzca manualmente la dirección; que comprueben que la conexión
con la entidad se realiza de forma segura, mediante un certificado válido',
subrayan desde Caja Madrid. Esta entidad incluso hace pruebas periódicas de
intrusión y vulnerabilidad de sus sistemas Internet con empresas externas.
Compensaciones tras el fraude
En el fraude del phishing hay todavía muchos problemas por resolver. Desde
afinar la tecnología de seguridad, que permita que los exploradores y el
software de verificación de certificados de las web mejore, a determinar quién
debe asumir el coste del fraude. Los bancos españoles coinciden en que 'cada
caso se trata de manera individualizada, aunque la mayoría se han parado a
tiempo y comunicado a las fuerzas de seguridad del Estado y a los clientes, de
forma que el impacto económico es escaso'.
En Reino Unido, la Asociación de Clarificación de Pagos (Apacs) señaló
recientemente que los bancos podrían rehusar el pago de los daños causados por
este tipo de fraude, si consideran que sus clientes han ignorado las
advertencias de seguridad realizadas previamente por las entidades.
Apacs opina que la garantía existirá mientras los bancos estén todavía en el
proceso de crear conciencia del riesgo, pero que pasado un tiempo la entidad no
tendrá obligación. 'La garantía no puede ser eterna'. Los bancos británicos
devolvieron 6.5 millones a 2000 clientes víctimas de phishing en 2004.
Fuente: Cincodias.com
courses:.fr.de.pt.jp