Es lo que dice D. Víctor Domingo, de la Asociación de Internautas, en una entrevista concedida a Yahoo!
¿Qué opino yo? Yo creo que nadie es invulnerable al phishing. No quiero abrir un flame con D. Víctor, una persona que goza de mis máximos respetos, así que asumo que el titular es la típica coletilla periodística que a alguien se le ha escapado, sin mala intención. Así que, explicado esto, me gustaría sumarme a la opinión de Víctor, pero matizando esa frase. La convertiría en algo así:
Un usuario muy bien informado y documentado es prácticamente invulnerable al fraude
¿Y por qué hago esta argumentación? Quizás por la tremenda especialización del fraude, que hace que cada día sea más complejo analizar nuestro propio estado de vulnerabilidad. Ya no basta con estar formado. Hay que estar demasiado bien formado.
Cualquier usuario que cumpla con los siguientes requisitos, será, con toda probabilidad, inmune a los fraudes:
- Conocer perfectamente las tipologías de amenaza emitidas por correo, así como la identificación total de las mismas. Es deseable apoyarse en algún sistema de gestión de correo eficaz, del tipo antispam. Mucho mejor si el antispam empleado lo gobernamos nosotros mismos.
- Conocer perfectamente los sistemas de autenticación y ser conscientes de que hasta los más modernos sistemas antifraude pueden ser explotados.
- Operar con un sistema que no sea Microsoft Windows, ya que los troyanos bancarios se fabrican al 99,9% para explotación en entornos Windows. No conozco ningún troyano bancario para UNIX (no son rentables, luego no se «comercializan»)
- Operar con un sistema Windows, pero tener claro cómo autodiagnosticar posibles fuentes de problemas: por citar algunos ejemplos, cómo monitorizar el sistema, cómo atajar los rootkits, emplear navegadores y clientres de correo que no favorezcan la contaminación con malware … en definitiva, tener un conocimiento avanzado sobre la gestión de un entorno y aplicaciones Microsoft.
- Tener claro que ninguna solución antivirus, ninguna, ni ha detectado el 100% de amenazas, ni las detecta ni las detectará. Aunque tengas 15 motores corriendo a la vez, una variante personalizada de un troyano va a saltarse tu antivirus sin que se emita alerta alguna. Incluso en algunas soluciones heurísticas, y es que los que fabrican malware saben lo que hacen y lo hacen a conciencia. El fraude no es diversión de script kiddies, es crimen organizado. Los antivirus son un buen complemento a la seguridad, pero no suponen en ningún caso la solución completa a la seguridad.
- Asumir que cualquiera puede despistarse y ser una víctima. Nada peor que ir de confiado por la vida, especialmente en seguridad. Los sobraos son los que siempre meten la pata primero. Y no lo digo por el Sr. Domingo, que conste :), me refiero a esas personas que confían demasiado en su capacidad y se creen invulnerables. Son los que hacen más ruído al caer.
Si se dan todos esos factores, es posible que el usuario no sufra nunca un problema de robo de credenciales. ¿Cuál es el problema? Sencillo, ese perfil no es el perfil de cualquier usuario, D. Víctor. Ya quisiéramos todos los que andamos metidos en el ajo de la lucha contra el fraude.
Por cierto, felicidades por la campaña :)
«Tener claro que ninguna solución antivirus, ninguna, ni ha detectado el 100% de amenazas, ni las detecta ni las detectará.»
Esto me recuerda a un chiste:
Un hombre va a la consulta del médico porque se encuentra enfermo.
Paciente: Doctor, ¿qué me pasa?
Doctor: Tiene Vd. la enfermedad de Smith.
Paciente: ¿Y en qué consiste esa enfermedad?
Doctor: Aún no lo sabemos, Sr. Smith.
La medicina, al igual que los motores de antivirus, siempre va por detrás de las enfermedades, los virus y las plagas. _Siempre_.
Hola Sergio,
Estoy de acuerdo con tu enfoque, prácticamente al 100%. Te paso un enlace útil que, aunque sólo limitado a email-phishing, estaría muy bien hacer el equivalente en castellano para incluirlo en la campaña anti-fraude. Son ejemplos dibujados / explicados.
«http://mailfrontier.com/docs/field_guide.pdf»
El ‘phishing’ tiene múltiples variantes técnicas, (no solo via email, bien lo sabes) pero creo que inclusive el público mejor formado, no lo tiene tan presente: search-engine phishing (ej: recargas móviles), malware-phishing (ej: keylogging), DNS-phishing (ej: infección de fichero hosts), etc
El phishing y sus ramificaciones tendrá, lamentablemente una larga vida. Y sinceramente, creo que los bancos ya pueden hacer muchas cosas; como Bank of America (sistema SiteKey), por ejemplo.
Muchas más cosas podría decir, pero me detengo aquí :-)
Un saludo,