Hola,
Os paso un link a un texto que he escrito reciementemente en el blog de seguridad del Observatorio de Seguridad del Instituto Nacional de Tecnologías de la Comunicación (INTECO)
En este caso se trata de banca telefónica, y la estrecha relación que guardan la seguridad y el factor humano. Espero resulte de vuestro agrado.
Un saludo,
Sergio,
Quizás te pueda interesar este par de posts en relación con el factor humano y la atención telefónica:
http://blog.s21sec.com/2008/03/el-pretexting-en-la-legislacin-espaola.html
Un saludo
Álvaro,
Os tengo agregados en el RSS, y en su día leí el artículo, pero te agradezco lo compartas porque guarda relación con lo que comentamos, y creo que es una buena explicación del origen del problema.
Yo soy de los que creo que hay que aprovechar la infraesturctura bancaria para robustecer los canales. Preguntar a un cliente por un par de posiciones del PIN o una coordenada de su tarjeta es más que suficiente para autenticarlo (siempre exisitirá el riesgo de que nos hayan birlado el PIN o su tarjeta, pero es un riesgo más acotado y menos probable)
También creo que hay que ser inflexible en los canales «client not present». Si no tienes esa coordenada o el PIN, acude a la oficina, que no cuesta tanto. Dar facilidades es siempre caldo de cultivo para la ingeniería social, aunque es comprensible que algunas entidades con fuerte transaccionalidad telefónica (incluso en las bancas donde es el único canal existente, que las hay) relajen sus requisitos para no mandar a clientes importantes a una oficina (sobre todo si están fuera de su país y no hay oficinas próximas). En estos casos, deben asumir los riesgos e implantar controles adicionales en los call centers.
Por cierto, buen trabajo en los «labs» :)
Un saludo,
Sergio,
Totalmente de acuerdo.
Por ejemplo en algunas compañías tienen bien tratado el tema de la autenticación telefónica, pero a veces para gestiones específicas te redirigen a otro Departamento/entidad del grupo (créditos, recursos de multas de tráfico,…), donde, bueno, no pasa nada porque ya te has autenticado previamente y les habilitan el acceso a tus datos, pero ya aprovechan para darte el «otro número telefónico» y te ruegan contactes directamente en sucesivas ocasiones. Cuando sigues su ruego caes en la cuenta de que la autenticación deja bastante que desear y que su rigor nada tiene que ver con la del número de cabecera. Con el agravante de que, en algunos casos, en los «otros números» tratan datos personales que tienen asociado un requerimiento legal e mayor protección (datos de nivel medio o alto). Moraleja, aunque lleve más tiempo, mejor véte por el número de cabecera
¿Para cuándo cumplirán las entidades obligadas con el artículo 2 de la Ley 56/2007 de Medidas de Impulso a la Sociedad de la Información? Como tampoco tienen infracción asociadas al incumplimiento me temo que será algo de a ver quién mueve ficha antes. En los bancos ya han empezado, pero por ejemplo en la eléctricas aún no he tenido constancia de que alguna haya movido ficha.
Un saludo
PD: En realidad yo estoy en la pata S21sec a secas, pero indudablemente desde aquí aportamos hacia S21sec Labs y escribimos en «su blog».