Los masai y el phishing

La mayoría de nosotros recibimos todavía los extractos del banco por correo postal, pero ¿cuántos los destruimos en una trituradora para evitar que alguien obtenga nuestros datos personales y haga un uso fraudulento de los mismos?

Los masai y el phishing

6 diciembre 2008

LA OPINIÓN DEL EXPERTO

Según un estudio que ha encargado PayPal a Ipsos Research, el 65% de los encuestados en España simplemente rompe los extractos bancarios antes de tirarlos a la basura. Como poco, se podría afirmar que los españoles no somos muy precavidos y esta falta de cautela se traslada también al entorno virtual.

 

Otra de las llamativas conclusiones de ese estudio es el hecho de que casi un 20% de los usuarios de redes sociales en España, aún minoritarias pero que están creciendo muy rápidamente, tienen sus contraseñas bancarias disponibles entre la información que comparten con otros usuarios de estas redes.

 

Y es que, mientras que son escasos los usuarios que cumplen las recomendaciones de seguridad a la hora de crear contraseñas seguras (básicamente, usar combinaciones de mayúsculas, minúsculas y números, y cambiarlas regularmente) son muchedumbre los que emplean la fecha de nacimiento, el nombre de un familiar o de una mascota como contraseña para acceder a sus servicios de banca on-line.

 

Por ello, el peligro de ser víctimas de una estafa a través de Internet es, como en la vida “real” si no se aplica el sentido común, elevado. De ahí que gran parte de la responsabilidad de protegerse recaiga en el propio usuario, que debería tomar medidas como instalar un antivirus, usar un navegador que bloquee sitios Web fraudulentos, utilizar métodos de pago seguros como PayPal (que no comparten los datos financieros del comprador cuando se está realizando la compra por Internet) y, en el caso de amenazas como el phishing, no hacer clic en los enlaces de mensajes de correo electrónico que soliciten datos personales o financieros, aunque parezca que provienen de un banco, de la Agencia Tributaria o de otras entidades reconocidas.

 

Sin embargo, los ciberdelincuentes son cada vez más sofisticados y, tanto usuarios expertos como inexpertos, o simplemente despistados, pueden caer alguna vez en sus trampas. ¿El problema? Que, generalmente, nos damos cuenta de que alguien ha usado nuestros datos para realizar compras o efectuar movimientos en nuestras cuentas demasiado tarde, cuando ya se ha efectuado el delito.

 

Por ello, el papel de bancos y demás organizaciones a las que suplantan los emisores de phishing deben jugar un papel destacado en la prevención de este delito.

 

¿Seguro que todos sabemos qué es el phishing?

En el mundo de las Tecnologías de la Información y la Comunicación (TIC) y de los usuarios, digamos “avanzados”, la palabra phishing es de uso común, pero no hace falta irse a Etiopía y preguntar a un masai qué es phishing para comprobar que el término es ajeno por completo a muchas personas, sobre todo a gente de cierta edad que, poco a poco, se va introduciendo en el mundo de Internet.

 

Si hablamos de cifras, a escala mundial, Gartner estima que el pasado año el 3,3% de los 124 millones de usuarios que recibieron phishing perdieron dinero a causa de este fraude. Además, aunque lamentablemente el phishing es una amenaza global, España es “líder”, encabezando el ranking de países emisores de phishing, con un 16,7% durante el primer semestre del año, según datos de IBM.

 

Por eso, antes de proponer formas de combatir el phishing, procede definirlo aunque sea de forma breve. Phishing sería «un tipo de estafa que se basa en la adquisición de información confidencial, como pueden ser contraseñas para operar en banca on-line, datos de tarjetas de crédito o números de cuentas bancarias, por medio de e-mail, mensajería instantánea o llamadas telefónicas que simulan ser comunicaciones oficiales de una persona o entidad de confianza (sobre todo bancos) y en las que se solicita esa información confidencial» (la Wikipedia).

 

El abecé del phising

Y ahora, la cuestión clave, ¿cómo defenderse del phishing? Mientras se inventa el remedio definitivo, dos estrategias resultan fundamentales: evitar que los mensajes de phishing lleguen a las bandejas de entrada de los usuarios, e impedir que las webs emisoras de phishing sean abiertas por éstos.

 

Y éstas son algunas de las estrategias actuales de PayPal referentes a esta problemática pirata:

 

1. Recuperación del correo electrónico. Para conseguir que el phishing no llegue a los buzones de los clientes es necesaria la adopción de la autenticación de correo electrónico por parte de proveedores de servicios de Internet (ISP) y su compromiso de no entregar correo electrónico sin firma.

 

2. Evitar que los sitios de phishing se muestren a los receptores.

 

3. Impedir que las combinaciones de contraseña y nombre de usuario robadas se usen en el sitio web de PayPal.

 

4. Desincentivar su envío masivo mediante acciones legales y en cooperación con gobiernos y autoridades judiciales.

 

Por Fernando Aparicio, director general de PayPal España