El conocido experto en seguridad Bruce Schneier habla en su weblog sobre phishing. Concretamente, lo hace enlazando a una columna que ha publicado en la no menos conocida página Wired.
A real remedy for phishers es el título de la columna de Bruce, en la que hace referencia, en primera instancia, al histórico hecho de que California se convirtiera la semana pasada en el primer estado norteamericano en considerar la phishing bajo un epígrafe concreto y determinado dentro de su ordenamiento jurídico.
Opina Schneier, con mucha razón, que las entidades financieras han evitado hasta el momento remediar el phishing de una manera seria, ya que, resulta más barato pagar los costes del fraude. Al hilo de ésto, critica a la nueva legislación californiana, e invita a que se abandonen las prácticas basadas sólo en castigar a los criminales: según el autor, las leyes deberían obligar a las compañías financieras a endurecer seriamente sus modelos de protección de los activos de sus clientes.
El problema del phishing no puede sólo ser afrontado únicamente basando las estrategias en el concepto de alta disponibilidad de información personal en las redes, y por tanto, alta probabilidad de que ésta información sensible acabe en manos ajenas: la transmisión de datos es algo natural e inherente a la filosofía de la Internet, y así debe seguir siendo. Se trata de que esa información circule de un modo seguro y garantizando la privacidad, impidiendo usos ilegítimos. Schneier hace referencia también a técnicas de phishing más sofisticadas, en las que los atacantes segmentan y personalizan los ataques, haciéndolos prácticamente indetectables. Es lo que se viene a llamar spear phishing. Yo prefiero llamarlo phishing segmentado ;)
En resumen, Schneier promulga trasladar la totalidad de la responsabilidad a las entidades financieras, y en ese momento, el phishing pasará a la historia (metafóricamente hablando, claro). Y es que el phishing no desaparecerá porque los usuarios adquieran mejores hábitos en la seguridad, o por el mero hecho de endurecer las penas para los criminales. El phishing pasará a mejor vida cuando los datos a los que pueden acceder los criminales sean insuficientes para poder cometer los robos. Según Schneier, ésto sólo puede ser logrado trasladando la responsabilidad total de las pérdidas a las entidades financieras, ya sean pérdidas monetarias o de cualquier otro tipo, como las derivadas del robo de identidad.
Un artículo excelente, el cual os invito a leer completo. No defrauda.
2 comentarios sobre “Schneier habla sobre el phishing”
Comentarios cerrados.