Servicios

Sistemas de ataque más comunes y cautelas que deben tomarse en la utilización de la banca electrónica

El phishing consiste en solicitar al cliente de una entidad de crédito que visite una página web falsa y en hacerle creer que se encuentra en la página original o copiada. La vía de difusión más habitual de esta técnica es el correo electrónico, aunque últimamente se han detectado otras vías como el teléfono o el fax. Una vez en la página falsa, se pide al visitante que introduzca sus datos personales (nombre de usuario, claves de acceso, etc.), que posteriormente usan los creadores de la estafa para hacer disposiciones en las cuentas de los clientes.

El pharming es una técnica más compleja que la anterior, pero no deja de ser una evolución de aquella. Consiste en explotar la vulnerabilidad de los sistemas de servidores DNS (1) (siglas en inglés del Sistema de Nombres de Dominio) de modo que el atacante adquiere el nombre de dominio de un sitio web y desvía el tráfico de esa página a otro sitio distinto del verdadero. Si el sitio al que se desvía el tráfico es una copia de la página web de una entidad financiera, puede usarse para obtener ilícitamente la contraseña, el número de identificación personal o el número de cuenta del cliente.

El registro de pulsaciones-más comúnmente conocido como keystroke logging o keylogging- en ocasiones se utiliza como una técnica de espionaje para obtener contraseñas o claves cifradas y así traspasar las medidas de seguridad que las entidades de crédito establecen para la protección de los clientes.

Este registro de pulsaciones puede realizarse mediante sistemas de hardware y de software. En el mercado pueden encontrarse dispositivos que se conectan al cable de un teclado, los cuales se instalan de manera muy sencilla y rápida, pero son detectables a la vista. También pueden encontrarse otros dispositivos que se pueden instalar dentro de los teclados, por lo que son imperceptibles; pero para su instalación se necesitan ciertos conocimientos de electrónica. Asimismo, existen aplicaciones de software que realizan esta misma función y que pueden distribuirse mediante troyanos, que son unos virus informáticos o programas dañinos capaces de alojarse en los ordenadores y permitir el acceso a usuarios externos, a través de una red local o de Internet.

También existen sistemas denominados sniffers, que consisten en unos programas de captura de paquetes de red, los cuales se pueden utilizar con fines maliciosos para obtener información confidencial de los clientes de las entidades.

Para evitar en los posible estos fraudes se puede:

• Utilizar el protocolo SSL (secure sockets layer), que permite cifrar la conexión e incluso garantiza la autenticación.
• Comprobar el propietario del dominio al que se está accediendo.
• Desconfiar de las peticiones de información personal mediante correo electrónico o llamadas telefónicas que aparentemente proceden de entidades de crédito.

(1) El DNS almacena la información asociada a los nombres de dominio en una base de datos distribuida en Internet, y en concreto facilita la dirección numérica IP asociada al nombre de dominio.