Phishing y operaciones bancarias en Internet
Como en muchas situaciones, Internet facilita el acceso a nuestras operaciones bancarias pero, a cambio, nos expone a posibles ataques y riesgos de fraude.
La banca por Internet cuenta con muchos servicios que nos ayudan y facilitan el día a día. Podemos realizar casi cualquier tipo de operaciones, desde las más simples, como modificar nuestros datos de acceso, a las más complejas, como la contratación de productos financieros.
Normalmente, todas las entidades financieras cuentan con excelentes mecanismos de seguridad que nos permiten realizar operaciones con muchas garantías. Pero, como es evidente, nadie es infalible ni existe la tecnología de seguridad perfecta, por lo que los problemas de seguridad al acceder a las bancas electrónicas siguen existiendo.
Al final, el eslabón más débil de la cadena de seguridad solemos ser nosotros, como usuarios de los servicios. Y es ahí donde entran en juego diversos mecanismos que los criminales suelen utilizar para poder “robarnos”.
El primero de ellos es el ‘phishing’. Se conoce como ‘phishing’ a los correos fraudulentos que intentan conducirnos a sitios web falsos donde se nos solicitará que introduzcamos nuestros datos de acceso a la banca electrónica. Estos correos pueden ser especialmente sofisticados o muy simples; en un ejemplo concreto, un correo nos conducía a una página falsa en Chipre y, desde allí, no solamente pedía contraseñas de acceso, también solicitaba, una por una, todas las cifras de nuestra tarjeta de coordenadas. Esta situación, que puede parecer demasiado descabellada como para poder funcionar, funciona y, aunque parezca imposible, hay gente que introduce toda la información solicitada, porque realmente creen que se la está pidiendo su banco.
Actualmente, el phishing ya se produce para casi cualquier acceso a páginas que nos pidan usuario, contraseña y otras credenciales desde banca, eBay, paypal hasta los simples facebook o twitter.
Como primera recomendación, debemos recordar que, ni nuestra entidad financiera, ni ninguna web seria, nos va a solicitar nunca que introduzcamos nuestros datos de acceso por labores de “mantenimiento”, “mejora” o “cambios en la web”. Y menos aún nos pedirá que detallemos todos los datos de nuestra tarjeta de coordenadas completa.
Cuando recibamos correos con aspecto sospechoso, con errores de construcción de frases o sintácticos, por ejemplo, solicitando un acceso a una dirección de nuestra entidad financiera, es una muy buena práctica verificar ese correo llamando directamente a los teléfonos de atención al cliente de nuestra entidad (nunca a teléfonos que consten en ese mismo correo-e).
Por norma, nunca debemos acceder a la entidad financiera pinchando enlaces que nos lleguen por correo-e; debemos hacerlo siempre tecleando nosotros manualmente la dirección de la entidad o la Web remota que queremos visitar.
El segundo tipo de problema con el que nos podemos enfrentar es el de los caballos de Troya, malware o virus avanzados. Contra estos últimos, las únicas medidas de protección con las que contamos son nuestro sentido común, buenas prácticas de seguridad y herramientas en nuestro ordenador.
Muchos programas maliciosos tienen como interés final vigilar nuestras operaciones bancarias para poder interceptar la información de acceso a nuestras cuentas. En casos de programas muy avanzados se han visto, incluso, funcionalidades de retoque de las cantidades y destinos en la transacción; el usuario sigue viendo en su navegador la información que cree legítima pero la transacción real que se realiza no tiene que ver con la que él ha autorizado.
Frente a este tipo de problemas, lo único que podemos hacer es asegurarnos de contar con las pertinentes herramientas de seguridad actualizadas y, lo más importante, con nuestras buenas prácticas e higiene en el uso de nuestro ordenador.
Por norma general, es una buena práctica establecer límites bajos en nuestras capacidades de realizar transferencias (que siempre podríamos ampliar en momentos puntuales), solicitar tarjetas de créditos específicas para operar por Internet (con límites de crédito) y es importante solicitar a nuestra entidad mecanismo de doble e, incluso, triple factor de autenticación.
Estos mecanismos de doble y triple factor, hacen referencia a la necesidad de recibir confirmaciones mediante un canal distinto al original en el que se ha hecho una solicitud. Por ejemplo, un mecanismo de doble factor es contar con la contraseña de banca electrónica por un lado, que memorizamos y recordamos, y contar con una tarjeta de coordenadas de plástico.
El tercer factor podría ser, recibir un mensaje SMS de confirmación en nuestro teléfono, de manera que veamos en éste todos los detalles de la transferencia que se supone que estamos solicitando. Si no estamos de acuerdo, no introduciríamos el código de confirmación.
Sería muy complicado para los criminales interceptar de forma simultánea nuestra comunicación por Internet y nuestro teléfono móvil, es por ello que es recomendable contar con estos mecanismos.
Como resumen:
- Nunca pinchemos un enlace desde un correo electrónico si dice venir de nuestra entidad financiera.
- Nunca nuestra entidad nos solicitará todos nuestros datos de acceso por correo-e.
- Frente a cualquier duda, llamemos por teléfono a nuestra entidad; siempre utilizando los datos de contacto que consten en nuestra tarjeta de crédito o los documentos oficiales.
- Si no contamos ya con ello, es una buena medida el uso de dobles y triples factores de verificación (tarjetas de coordenadas, SMS…).