La Comisión de Seguridad de la Asociación de Internautas publicó el pasado mes de junio un extenso informe , elaborado tras varios meses de investigación por Hugo Vázquez (Director Técnico de PENTEST, Consultores de Seguridad Telemática) y certificado por el ESCERT, en el que se hace una completa revisión sobre la seguridad de la banca online en España. 
La conclusión mas inmediata que se desprende del presente informe es que los sistemas de firma de banca online, ya sea basados en ‘tokens’ físicos, teclados virtuales, u otros, actualmente distan mucho de poder considerarse como soluciones robustas pues prácticamente todos adolecen del mismo fallo: que su seguridad se implementa -en gran medida- a través de un protocolo, http, que jamás se diseñó para ser seguro, sino solo funcional.
 
Hasta que llegue el día en que los mecanismos de verificación de la identidad del usuario de una aplicación web sean “robustos�, la banca on-line estará expuesta a toda serie de riesgos. ¿Se pueden eliminar completamente dichos riesgos? No es probable, pero si que se pueden reducir en gran medida mediante la realización de pruebas periódicas especializadas sobre los sistemas de seguridad empleados.
 
Tras la lectura del informe podemos pensar que aun queda mucho trabajo en la banca online. Pero tampoco podemos olvidar los nuevos métodos empleados por las entidades bancarias, en este informe se aportan también ideas para un futuro mas seguro.
 
Pero por otra parte debemos preocuparnos por noticias como las de que un supuesto fallo de seguridad del banco HSBC ha expuesto a más de tres millones de cuentas a potenciales fraudes, según informò ‘The Guardian’.

El defecto detectado en el acceso por Internet a las cuentas de ese banco significa que los 3,1 millones de clientes facultados para utilizar ese servicio han estado expuestos a ese peligro durante dos años, según el periódico.
¿Podemos prevenir posibles ataques de fraude de ‘phishing’ bancario?

La oleada de ataques en el mes de Julio de este año,  fue constante, la Comisión de Seguridad de la Asociación de Internautas detectó y alertó durante estos 27 días del mes de julio, más de 34 casos de ataques fraudulentos de phishing, sin contar otros tipos de fraudes realizados como ofertas falsas de trabajo (Scam), ni estafas tipo phishing-car.
Muchas veces nos preguntamos cómo los usuarios o clientes de las entidades bancarias pueden caer en este tipo de trampa, pero  traslademos otras preguntas a la entidades bancarias:
¿La entidad bancaria puede prevenir este tipo de ataques?
¿Es culpable la entidad bancaria de estos ataques y qué responsabilidad tiene?

Por un lado NO son culpables, es lógico, tanto el cliente víctima de un ataque phishing como la entidad bancaria afectada son afectados por la acción de un ciber-delincuente o estafador.

• Al cliente le roban sus claves y su dinero.
• El banco es afectado de forma directa ya que su imagen es dañada por este tipo de ataques.

Por otro lado SI son culpables y vamos a poner un ejemplo claro, la poca prevención ante un posible ataque phishing por parte de alguna entidad bancaria es notable. En la actualidad muchos ataques de phishing se producen por medio de un correo electrónico, éste contiene ‘durante distintos ataques’ la misma url (dirección) que es usada como REDIRECCIONADOR a otras web servidores trampas. La entidad bancaria denuncia y cierra la web trampa, pero dejando en segundo plano la dirección usada como redireccionador en los correos, cuando es esta la responsable del problema.

¿Qué es el ´phishing´?

El ‘phishing’ es una modalidad de estafa diseñada con la finalidad de robarle la identidad. El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños. Este tipo de fraude se recibe habitualmente a través de mensajes de correo electrónico o de ventanas emergentes. Esta técnica es utilizada para captar datos bancarios de los usuarios a través de la utilización de la imagen de la entidad bancaria.

Consejos contra el ´phishing´

Aspectos a tener en cuenta para evitar el phishing:
1.- Sospeche de cualquier correo electrónico con solicitudes urgentes de información personal, que utilice argumentos como:
-Problemas de carácter técnico.
-Detecciones de posibles fraudes.
-Cambio de política de seguridad.
-Promoción de nuevos productos y/o servicios.
-Premios, regalos, concursos, etc…
Además, este tipo de correos suele incorporar advertencias tales como: ‘si no realiza la confirmación/cambio solicitada, en el transcurso de — horas/días se procederá al bloqueo/cancelación, de su cuenta bancaria/cuenta de cliente, etc…’; de forma que se fuerza una respuesta casi inmediata del usuario.

Dado que el phishing es una técnica de envío masivo de correos electrónicos a múltiples usuarios, es posible que reciba correos electrónicos de entidades o empresas de las que usted no es cliente, y en los que se solicita igualmente dichos datos. En estos casos, directamente, descártelos.

2.- Sospeche de los correos electrónicos que le soliciten información como: nombre de usuario, password o clave de acceso, número de tarjeta de crédito, fecha de caducidad, número de la seguridad social, etc…

3.- Los mensajes de correo electrónico de phishing no suelen estar personalizados, mientras que los mensajes de las entidades de las que somos clientes suelen estar personalizados.

4.- Evite rellenar formularios en correos electrónicos que le soliciten información financiera personal.

5.- No utilice los enlaces incluidos en los correos electrónicos que conducen “aparentemente� a las entidades, especialmente si sospecha que el mensaje podría no ser auténtico. Diríjase directamente, a través de su navegador, a la página web de la entidad o empresa.

6.- Antes de facilitar cualquier dato sensible (datos bancarios, números de tarjetas de crédito, número de la seguridad social, etc…) asegúrese de que se encuentra en una web segura.
Las páginas web que utilizan protocolos de seguridad, que impiden la captación de datos por parte de terceros no autorizados, se caracterizan porque la dirección web que aparece en la barra de navegación comienza con el protocolo ‘https’ y en la parte inferior de la página aparece un candado.

Igualmente podemos comprobar la veracidad del protocolo de seguridad; para ello, podemos clickear dos veces en el candado de la parte inferior de la página, y nos aparecerá una ventana en la que se identifica a la compañía de certificación y al titular del protocolo, así como su validez.

7.- Asegúrese de tener el navegador web actualizado y con los últimos parches de seguridad instalados.

8.- Si continua teniendo dudas acerca de la veracidad del correo electrónico, de su emisor o de su finalidad, no dude en ponerse en contacto con la entidad de la que es cliente.

9.- Por último, compruebe regularmente sus cuentas bancarias para asegurarse que todos los movimientos o transacciones son legítimos. En caso de detectar algo sospechoso, no dude en ponerse en contacto con su entidad bancaria.