El evento contó con la asistencia de más de 120 profesionales, entre los que se encontraba una representación de Hispasec Sistemas, en calidad de proveedor de servicios profesionales de seguridad informática, especialmente de soluciones avanzadas antiphishing y antifraude en general; que hemos desarrollado para dar servicio a banca electrónica, pasarelas de pago, tiendas y comercios en línea y empresas que prestan servicios vía Internet en general.
En síntesis, el mensaje que se puede extraer a modo de resumen, es que el phishing es un acto de crimen organizado, y como tal debe ser tratado, que los actores que participan en el escenario del fraude tienen todos su porción de responsabilidad y que es preciso transmitir y recordar a los usuarios de banca electrónica que no deben desconfiar del canal bancario electrónico, sino que deben ser conscientes de que han de contemplarse medidas preventivas para evitar ser víctimas de los engaños. La banca electrónica es, salvo expceciones extraordinarias, segura y confiable. En éste punto hubo total consenso entre los ponentes, e Hispasec se une a éste mensaje.
Es imperativo no obstante que las víctimas denuncien. La DGP ha habilitado hace tiempo una cuenta de correo para efectuar denuncias. En el buzón fraudeinternet@policia.es se reciben todas las notificaciones de los ciudadanos y empresas que quieran denunciar. Mediante la denuncia es posible asegurar que las Fuerzas y Cuerpos de Seguridad del Estado puedan ser conscientes de la problemática y proceder al aviso a las entidades financieras afectadas. Del mismo modo, pueden coordinar con los distintos proveedores de servicios el bloqueo de páginas donde se alojen los contenidos fraudulentos. Evidentemente, también procederán a la investigación y detención de los usuarios que practiquen estas técnicas.
Entre los ponentes, además de los miembros de la Brigada de Investigación Tecnológica, los cuales hicieron una brillante exposición de cómo conducen las investigaciones policiales en torno al fraude desde la BIT, hubo una nutrida representación de expertos en distintas áreas relativas al fraude bancario vía phishing.
Así pues, por parte del Cuerpo Nacional de Policía (CNP), participaron D. Miguel Ángel Barrado Casado, Comisario del CNP y Jefe del CAT de la Comisaría de Policía Judicial, que presentó las jornadas. D. Francisco Javier Migueláñez, Comisario del CNP y Comisario Jefe de la BIT, que presentó formalmente a la BIT.
A modo de moderadores, alternaron funciones el Jefe de la Sección Técnica de la BIT, el Inspector José Manuel Colodrás Lozano, así como el Inspector Jefe D. José Vicente Rubio Moreno, Jefe de la Sección Operativa II de la BIT, que además explicó a los asistentes la problemática de la investigación de los problemas relativos al fraude.
La inspectora Jefe Dª. Nieves Gamoneda Sánchez, Jefa del Grupo de Fraudes en Internet I, explicó con brillantez el desarrollo y la investigación que el CNP realiza en temas de fraude bancario. El área de informática estuvo representada por D. José Luís Díez Aguado, Inspector Jefe del CNP, responsable de todo lo concerniente al DNI electrónico.
Otros ponentes fueron el jurista D. Óscar Morales García, profesor de Derecho Penal en la Universidad Oberta de Catalunya, que realizó una brillante disertación sobre los problemas legales del phishing y la aplicación de la legislación vigente en los casos judiciales sobre fraude. Red.es contó con D.Alfonso Cabas Alonso, que ofreció al público consejos diversos para evitar incurrir en el fraude.
Representando entidades bancarias, expusieron su problemática y actuaciones D. José Luis Serna Calvo, de la Confederación Española de Cajas de Ahorros (CECA), D. Pedro Pablo López Bernal, de Caja Rural, que transmitió los fundamentos del protocolo Antiphishing, Carlos Campmany Campoy de BBVA y D. Pedro Castillo Muros, de Bankinter, que hablaron sobre las políticas de ambas entidades en materia de seguridad y prevención del fraude, desde el punto de vista de las entidades bancarias.
En representación de los ISPs, ofrecieron sendas ponencias Dª Marta Villén Sotomayor, de Telefónica de España, y D. Juan Miguel Velasco López-Urda, de Telefónica Data, en las que narraron el punto de vista de los proveedores de servicios de Internet, en cuanto a responsabilidades y actuación en materia de bloqueos. D. Mariano Largo del Amo expuso el punto de vista de las empresas de seguridad.
Especialmente útil para el usuario final fue el punto de vista de D. José María Luque Guerrero, de la comisión de seguridad de la Asociación de Internautas, que focalizó su discurso en las medidas que los usuarios deben tomar para prevenir ser víctimas de este fraude.
Hispasec, en su continua lucha en la prevención y el tratamiento posterior del phishing, vuelve a insistir en lo que los conferenciantes destacaron. La cadena se suele romper por el eslabón más débil y éste por desgracia suele ser el cliente final. Algunas medidas para prevenir ser víctimas del fraude pueden ser las siguientes:
Ante todo, consulte a su entidad. Todas las entidades ofrecen información sobre seguridad informática y seguridad en el uso de aplicaciones bancarias. Consulte a los servicios de atención al cliente y solicite las recomendaciones de su entidad. Nadie mejor que ellas para darles la información básica para realizar operaciones bancarias seguras en sus ordenadores personales.
Bajo ninguna circunstancia deben seguirse enlaces que conduzcan a su portal bancario ni a su sistema de banca electrónica. Utilice siempre las direcciones introducidas a mano en su navegador. Su entidad jamás le va a solicitar claves de ningún tipo a través del correo, ni le va a enviar mensajes de correo con temáticas relativa a la necesidad de confirmar datos ante supuestas cancelaciones. Desconfíe siempre de éstos mensajes.
Otros consejos útiles son la comprobación previa al uso de los datos de registro de su portal. Averigüe cuándo se usó la cuenta por última vez, si su banco le facilita esta información, y constate que usted realizó ese uso y no un posible estafador que se hubiera hecho con sus claves.
Vigile la seguridad de su terminal, y evite en lo posible el uso de terminales públicos para operaciones bancarias. Actualice su sistema, disponga de un buen antivirus, y certifique periódicamente que su equipo está libre de spyware, troyanos y malware en general. Para los usos públicos, procure en la medida de que sus conocimientos lo permitan, disponer de distribuciones «live» seguras (se ejecutan directamente en la unidad CD) para acceder a los servicios. Para tal efecto, son muy útiles las distribuciones «live» Linux, con gestor de escritorio y dotadas de navegadores seguros, con la ventaja de ser absolutamente gratuitas. Los clientes de correo seguro y los filtros de spam son muy útiles para evitar problemas.
Conserve sus claves y sus tarjetas de coordenadas bancarias a buen recaudo. Procure cambiarlas periódicamente, y asegúrese de que cierra las sesiones y se borran los archivos temporales después de un uso de su sistema. Salvo usos domésticos muy controlados, no debe almacenar nunca contraseñas en el navegador.
Denuncie cualquier irregularidad. Es la única manera de que el proceso de erradicación de la lacra del phishing sea efectivo. Ponga en conocimiento de su entidad los intentos de fraude que reciba por email.
Comuníquese con las autoridades y notifique las problemáticas.
Vigile su correo electrónico. Casi la totalidad de mensajes de phishing llegan a nosotros vía email, luego disponga de una dirección segura para cuestiones relevantes, como asuntos bancarios. No debe publicar o dar a conocer esta dirección en foros, chats ni medios públicos. Comuníquela únicamente a las personas de su confianza. La gran mayoría de listas de correo indeseado proceden de rastreos a través de correos cadena, foros, chats y tablones de anuncios en la red, con lo que evitar participar con nuestros emails en esos lugares es una garantía de no recepción de publicidad y/o Phishing.
Y como último consejo, no haga nada de lo que no esté absolutamente seguro. Si su sentido común le hace sospechar, deténgase y plantéese el problema. La distancia entre quedarnos tranquilos y perder nuestros ahorros está, por desgracia, a un sólo click de distancia.
Sergio Hernando
Noticias Hispasec
