“phising” es el termino que identifica a una práctica consistente en robar las claves de acceso a páginas sensibles como la banca, empresas, organismos, etc. Para conseguirlo el falsificador crea una página igual que la original, envía un correo masivo e indiscriminado a millones de usuarios con algún “cebo” para invitarte a entrar en esa página (seguridad, mantenimiento, …) haciendo creer que es la original y luego espera a que alguien “pique”. El que entra le da sus claves y a partir de ese momento el falsificador puede entrar y operar por nosotros en nuestro banco o entidad desde cualquier país del mundo.
Esta práctica se aprovecha de las características y debilidades de Internet: la globalidad (la pagina falsa y el falsificador están en países distintos), la facilidad de falsificar una página web (prácticamente cortar y pegar), la posibilidad de enviar millones de correos de forma indiscriminada utilizando técnicas de spamming sin ningún coste para el que los envía, utilizando en muchos casos, recursos de terceros.
“El principal problema de estas prácticas es el impacto negativo en el uso de aplicaciones como el comercio electrónico, banca electrónica y administración electrónica. Además supone un freno real a la incorporación de nuevos usuarios debido a la merma de confianza que estas noticias provocan en los ciudadanos que aún no estan conectados. Estamos ante un reto que exige medidas eficaces que estén operativas en poco tiempo.”, afirmó Pérez Subías presidente de la Asociación de Usuarios.
Soluciones sencillas para problemas complejos
Hasta el momento todos los consejos que se están dando y oyendo para combatir este fenómeno van en la línea de que sea el Usuarios el que detecte si la aplicación es autentica o falsa algo, por otra parte, tremendamente complejo para el usuario ya que la falsificación en muchos casos es casi perfecta. Otros consejos van en la línea de no hacer caso de lo que te dicen a través del correo electrónico con el consiguiente descrédito para esta aplicación que es uno de los pilares de Internet.
La Asociación de Usuarios propone que se utilice un procedimiento de identificación en varios pasos y que uno de ellos sirva para que el Usuario identifique al web de forma clara y sencilla.
Veamos un ejemplo:
– Primero el usuario se identifica con la aplicación (Identidad de Usuario)
– En segundo lugar es la aplicación la que me da la una información personal y me pide la respuesta a otra cuestión personal (por ejemplo el nombre de mis padres, hijos, mascota, lugar o fecha de nacimiento,….)- este paso le permite al usuario reconocer a la aplicación ya que esta es una información que se suministro en el proceso de alta o registro y por tanto un falsificado no dispone de ella.
– Finalmente, si el proceso es correcto, se pide la Clave de acceso o password que abre la aplicación. El usuario solo dará esta información si el paso intermedio ha sido correcto.
La solución propuesta pasa por que antes de abrir la aplicación el Usuario pueda ver un dato y responder a una cuestión personal que solo la aplicación original tiene, de esta forma cualquier usuario con independencia de su grado de formación puede comprobar que esta ante su proveedor real con independencia de su nivel de formación.
En la Asociación entendemos que la complejidad del medio exige una sensibilización de los Usuarios pero también es responsabilidad de las Empresas y de las Administraciones que ofrecen estos servicios actuar con diligencia y eficacia para dar respuesta a problemas tan importantes como el “phising” o el “Spam” y transmitir confianza y seguridad a los ciudadanos.
