Archivo de la etiqueta: phising

Cuidado: Phishing y timo en Internet en la oficina

A una compañera (llamémosle Ainara) de la tele le robaron este pasado jueves casi 6.000 euros, que desaparecieron de su cuenta corriente en el banco en que ingresa su nómina cada mes y en la que tiene su hipoteca. Los delincuentes hackearon la web del banco justo cuando Ainara comprobaba el estado de su cuenta corriente. En el centro de la home de la web del banco había un llamativo banner en el que se indicaba a los clientes que con el fin de “mejorar la seguridad de sus operaciones†facilitaran su número de móvil. Esto, por infrecuente, extrañó a Ainara pero como le era imposible continuar operando si no facilitaba su número de móvil introdujo en la casilla correspondiente su número de móvil. Al de pocos segundos, recibe un sms en su móvil que le pide que introduzca un número en el banner de la web del banco, que aún no había abandonado pues todo esto ocurre en menos de un minuto. Una vez cumple el requisito, sigue nuestra Ainara con sus operaciones en la web identificándose, como lo hace siempre, con su nº de DNI y su clave secreta. Los delincuentes (supimos después), ya en su poder los números de acceso de Ainara, ordenan haciéndose pasar por ella, dos transferencias desde su cuenta corriente a dos cuentas de otras tantas entidades financieras por importe de más 2.900 euros cada una (al parecer, cuando las transferencias son superiores a 3.000 euros, salta la alarma en los sistemas de seguridad web de los bancos). Fueron suficientes cinco minutos para que todo el proceso se ejecutara. La primera transferencia se hizo a las 16:37 horas y la otra a las 16:40 horas. De la conversación que mantuve con Ainara obtuve una información valiosa: ella no hizo transferencia alguna ese día (en realidad, usa Internet solo para consultas y casi nunca para hacer operaciones, al igual que quien suscribe) y no facilitó, ni se lo pidieron, su número de seguridad para ordenar transferencias, un filtro más de seguridad para evitar estos robos. A pesar de ello, como es obvio, sí lograron ordenar esas transferencias. ¿Cómo lo hicieron, cómo es que sabían esta segunda clave secreta? Obviamente, habían logrado ese dato de la web del banco mediante alguna manipulación previa.

No creo que sea casualidad que Ainara hubiera efectuado la semana anterior una transferencia desde la web de este mismo banco a una amiga para pagar un viaje que proyectan hacer juntas este verano.

¿Nos vamos haciendo cargo de cómo pudo ser el ataque a la web del banco, y de su temible vulnerabilidad? Sigamos con el relato.

Poco después, en torno a las diez de la noche de ese mismo 17 de mayo, la entidad bancaria se pone en contacto telefónico con Ainara para comunicarle “dos movimientos sospechosos de fraude†en su cuenta corriente. Ella, tan sorprendida como asustada, les confirma que nada sabe de esas transferencias. Y, naturalmente, exige que el banco adopte las medidas oportunas para que el menor plazo de tiempo se le reintegre el dinero desaparecido de su cuenta. Todo ello, según me cuenta la propia Ainara, no sin inquietud y un poco de vergüenza (cuando te engañan así, es inevitable sentirse un poco zoquete), pero en la confianza de que al tratarse de una violación de la web del banco por unos delincuentes, la entidad que gestiona su nómina, su hipoteca y su cuenta corriente se hará cargo del problema y lo resolverá sin dilación.

¿Y qué ocurrió a partir de aquí?
Anotamos en el habe del banco:

1) la rapidez (tardaron solo cinco horas) con que que el servicio antifraude del banco detectó la comisión del delito financiero y la comunicó al cliente

2) el propio técnico del banco que le llamó le tranquilizó asegurándole que iban a “parar†las transferencias y que todo se iba a resolver al día siguiente, viernes, cuando acudiera a su oficina habitual, ubicada en Galdakao (Bizkaia)

¿Y en el debe, en lo que podrían haber hecho mejor, qué ponemos? Veamos:

1) La vulnerabilidad de la web del banco, uno de los mayores del país y del mundo, por cierto. La facilidad con que hackearon durante unos minutos su página web; y que, además, pudieran hacerse con la segunda clave secreta de la cliente, que había utilizado esa clave ¡una semana antes! para ordenar una trasnferencia

2) Que, al día siguiente, la directora de la sucursal del banco a la que Ainara acude a hacer sus gestiones presenciales, mostró una actitud bien distinta: le comunica que se ha puesto en contacto con el departamento de Fraudes de su banco y que es Ainara quien debe tomar la iniciativa; en concreto, cursar una denuncia en la Ertzaintza, cosa que hace esa misma mañana, la del pasado viernes, no sin emplear dos horas en el cometido. Cuando minutos después, envía por email la denuncia a la directora de la sucursal, esta le dice que no puede garantizar nada y que las diligencias siguen su curso. Planchazo. Además se sumirle en el temor y la desesperanza, esta actitud le sorprende, pues le han robado casi 6.000 euros de su cuenta corriente en un banco cuya web han violado los delincuentes, y parece que la culpa se la echan a ella. Unos delincuentes cuya estrategia se basa en hacer creer al cliente que la página web del banco que han vulnerado es la web original, y que la información que le piden es solicitada por el propio banco, y no por unos cacos. Parece obvio que la seguridad de la web que el banco ofrece a los usuarios para que estos hagan sus gestiones es responsabilidad exclusiva del propio banco, y no de sus clientes. ¿o no es así?

¿Y cómo concluye la historia?

Aún no lo sabemos, pero pinta bien. Quiero pensar que en parte se debe a una larga y documentada reclamación que enviamos al servicio de atención al cliente del banco el mismo viernes exigiendo que se hiciera cargo del problema. Más que nada, para que se dieran cuenta de que la cliente no se chupa el dedo ni está rumiendo su desconsuelo, paralizada por el miedo y poseída por la pegajosa vergüenza de no haber reparado en el engaño. Hoy, lunes, acaba de recibir llamada de la directora de la sucursal que, desprovista de empatía o amabilidad alguna, le asegura que recuperará su dinero en uno o dos días; no sin eximirse ella de la responsabilidad, ya que, según manifiesta, el problema nada tiene que ver con su trabajo ni con su sucursal; da a entender que es un asunto “de los de Internet del banco†y de la propia Ainara, que ha caído en la trampa urdida por los ladrones. Estos, los de seguridad de la web, acaban de enviar un mail a Ainara (“…verificamos que con fecha 17 de mayo tiene aperturado un procedimiento de fraude…â€), en el que reconocen que las “dos transferencias fraudulentas se realizaron a través de la página web de nuestro bancoâ€. Algo es algo.

Los 6.000 euros que volaron de la cuenta corriente de Ainara volverán a su sitio, estoy seguro, pero ello no va impedir que nos quede a ambos un regusto amargo tras valorar lo ocurrido desde el jueves. El comportamiento del banco en lo que a atención al cliente y protección de sus intereses y derechos respecta, ha sido insatisfactorio. El banco debería haber asumido desde un principio que el origen del problema estuvo en la inseguridad de su web y, partiendo de ahí, tranquilizar a su cliente y garantizarle desde el minuto uno que iba a recuperar su dinero. Y no tenerle cuatro días con la duda de si podía perderlo.

Este de Ainara es solo uno de los cientos de casos de estafas en la web registradas en los archivos policiales. Y no nos equivoqueños: se trata de una treintañera inteligente y despierta, lo que nos habla de que todos (y no sólo los mayores, los niños, los poco iniciados en la Red o el personal extremadamente ingenuo, que de todo hay) tenemos que permanecer alerta; cualquiera de nosotros puede ser víctima de un timo en Internet.

Y como nunca está de más, permitidme que os proponga diez medidas de prevención para minimizar la posibilidad de que nos roben en la Red mediante el phising o robo de datos; seguro que las conocéis, pero no nos vendrá mal repasarlas.

1) Nuestras contraseñas y claves secretas para operar en la web de bancos y cajas son un tesoro, deben ser aleatorias y no obvias (nombres de familiares, fechas señaladas…) ni lógicas; nadie ha de conocerlas y no debemos dejarlas al alcance de nadie (¡si hay quien las lleva en la cartera, y quien las tiene en la oficina a la vista de todo el mundo!)

2) Si la web de nuestro banco o caja nos pide algo que nunca ha solicitado, sospechemos. Los ladrones se aprovechan de nuestros descuidos, y su objetivo es hacerse con nuestras claves de acceso para operar como si fuéramos nosotros.

3) Y qué decir de los emails que parecen proceder de nuestro banco o caja. Nunca nos va a enviar mensajes para solicitarnos nuestras contraseñas o claves. Es así de rotundo: quien lo hace es siempre un ladrón cibernético, que envía millones de emails; le basta con que uno de cada diez mil usuarios pique y le proporcione sus datos. El año pasado, clientes de una gran entidad bancaria española recibieron un mensaje que les comunicaba que su tarjeta había quedado bloqueada o que su cuenta va a ser cancelada, indicando que se pinchara en un link que dirigía a una página web en la que les solicitaban las claves de acceso o datos de la tarjeta de crédito.

4) El protocolo de acceso a nuestras cuentas es siempre el mismo y no es por casualidad: esta rutina es una medida de seguridad. Recelemos de cualquier mensaje que sugiera una modificación en este acceso. La web del banco (por mucho que comprobemos que seguimos en ella, por ejemplo mirando la url) puede haber sido hackeada, y de ser así, dejaría de ser segura.

5) Las operaciones bancarias por Internet, y sirve también para las compras y para ver el correo, hagámoslas desde nuestro ordenador personal o smartphone, que habremos blindado convenientemente contra estos ataques; evitemos ordenadores públicos, de cafeterías y del trabajo, mucho más vulnerables.

6) Atentos a los redireccionamientos, que pueden llevar a webs falsas idénticas a las originales. Para acceder al correo, a las web de los bancos y a esas páginas donde compramos productos o servicios usemos siempre nuestra carpeta de “Favoritosâ€. Es una medida de seguridad sencilla; no es infalible (a Ainara no le hubiera servido, por ejemplo), pero no cuesta nada adquirir ese hábito.

7) Usemos filtros de seguridad específicos para evitar que los phisher puedan usar programas que se instalan en nuestros ordenadores para espiar y posteriormente registrar los datos y claves que manejamos en nuestras operaciones bancarias o de compra.

8) Otro plus de seguridad es usar, si lo tenemos, el DNI electrónico para acceder a la web de nuestro banco o caja.

9) Mantengamos siempre actualizados el sistema operativo de nuestro ordenador, el navegador y los programas antivirus: Y contemos con un cortafuegos que logre aislar nuestro PC de ataques.

10) Hacer operaciones bancarias, y lo mismo puede predicarse de las compras mediante Internet, es seguro. Te pueden robar en la Red, pero no más que en la calle. Por entendernos: a nadie se le ocurre salir de un cajero contando con deleite y ostentación un montón de billetes de 200 euros. En la Red también hay normas de prevención y seguridad; no son tan intuitivas como las del mundo físico ni estamos tan familiarizadas con ellas, pero si las conocemos y aplicamos con cierto rigor podemos operar en Internet con unos parámetros de seguridad más que razonables. Y, de ese modo, no renunciar a la comodidad y a todas las facilidades que la Red nos aporta.

¿ Y la música?

Os traigo hoy a Michael Kiwanuka, cantautor y guitarrista británico de origen ugandés que le da al soul con ricas influencias del blues y el folk, cuyo álbum de debut, ‘Home Again’, se publicó a finales de marzo. Como efecto de renombrados premios recogidos por este disco (el de la BBC, entre ellos), Kiwanuka es ya bastante conocido entre nosotros. No deja de sonar convencional su música, pero el disco, en parte por muy bien arreglado y producido, se hace de escucha fácil y contiene varios temas de factura impecable, como este Tell me a tale, de tempo ágil y ritmo animado: Lo escuchamos, y vemos, interpretado en un brillante directo de Michael Kiwanuka con la nutrida banda que le acompaña sobre los escenarios.