Hablar de esto sería muy largo, además no tengo los suficientes conocimientos técnicos para ello, no obstante, sí que puedo comentar cosas que no acabo de entender y, como poco son absolutamente contradictorias.
Hace unos pocos días recibo un mensaje por correo electrónico de BBVA, que seguidamente reproduzco de forma parcial:
No es la primera vez que veo esto y no solo de BBVA, también lo he visto en Caixa Bank, en relación a préstamos preconcedidos que en el mismo mail (también) te pone un enlace para acceder directamente, pero no guardé esto, por tanto, no puedo insertarlo aquí.
Banc Sabadell tiene, al menos por el momento una actuación que entiendo más segura, te emplaza a que consultes la correspondencia web, pero no inserta enlace alguno.
Lo primero que se me ocurre es ver las advertencias de seguridad de BBVA y de Caixa Bank, pongo el enlace de la información de BBVA https://www.bbva.es/finanzas-vistazo/ciberseguridad/ultima-hora/mensajes-de-texto-fraudulentos-suplantando-bbva.html en la cual se indica:
No proporciones información personal o bancaria en páginas web a las que has accedido desde un enlace incluido en un email o SMS.
Ahora veamos en Caixa Bank: https://www.caixabank.es/particular/seguridad/phishing_es.html que no es tan tajante pero si indica:
Si no analizas correctamente el correo siguiendo los anteriores pasos de seguridad, corres el riesgo de clicar en un enlace fraudulento, con lo que podrás llegar a ceder tus claves de acceso al ciberdelincuente.
Pero si que hay diversas advertencias y las hemos recibo en ocasiones del estilo:
CaixaBank nunca te va a solicitar información ni credenciales bancarias a través de correo electrónico, SMS u otros canales digitales. Si recibes alguna notificación de este tipo, desconfía, analiza el correo con detenimiento y no cliques nada si no puedes asegurar su legitimidad.
Pero esta advertencia la hemos visto de casi cualquier entidad financiera
Es cierto que en muchos de estos mensajes, supongo porque los mismo vienen del extranjero, con dominios de estados BY (Bielorusia) RU (Rusia), etc. o bien con errores de ortografía como por ejemplo BancoSatander, AlgenciaTributaria …, es evidente que un banco en España la Seguridad Social o la Agencia Tributaria no te va a mandar un mensaje desde Bielorusia !!, no obstante hay otros mensajes en los que es fácil detectar errores, no se trata de faltas ortográficas o que se ha realizado una traducción automática de otro idioma y la literalidad de tal conversión supone una redactado cuando menos algo raro.
Si en teoría el banco no te va a pedir nunca las claves por mail o sms, esto no es exactamente pedirlas, pero se le parece mucho porque te lleva a la web del banco de manera directa, con lo cual si el mensaje fuera fraudulento (no lo es en el caso de la foto del comienzo) uno ya habría puesto las claves !!!
No, no accedí por el enlace, lo hice por la web del banco y, efectivamente había una comunicación relevante, por ello conozco que el mensaje era real.
Luego de vez en cuando en presa aparece este tipo de noticias:
Puedo entender perfectamente que un banco no puede hacerse responsable del lugar donde accede un cliente con su móvil u ordenador, es que es evidente que no se les puede responsabilizar de todo, y no voy a opinar sobre si las sentencias han considerado correctamente todos los argumentos de las partes o no, en primer lugar porque no hay datos suficientes en una noticia de prensa como para formarse una opinión, ni ver la base del porque el tribunal considero que si había responsabilidad.
Ahora bien, de lo que si es responsable es del cumplimiento de la normativa la Directiva Comunitaria PSD2, que entre otros asuntos indica:
La Directiva de la PSD2 estipula estrictos requisitos de seguridad para garantizar los pagos electrónicos y la protección de datos. Además, se requiere un sistema de doble autenticación (datos de la tarjeta y mensaje SMS en un móvil).
Y obviamente debe evitar que se puedan quebrantar las dos premisas de autorización, por ejemplo que no sea fácil cambiar el móvil de recepción del mensaje o bien controles suficientes cuando se accede a la web a través de un terminal distinto al habitual. Supongo que tecnológicamente habrá maneras incluso de sortear tales seguridades, si no las hubiera no tendríamos tantas noticias de estafas por internet.
Sin embargo y volviendo a lo que se indica al principio, en mi opinión, esto de mandar mensajes publicitarios o bien para consultar la web y, poniendo en tal mensaje un enlace para acceder a la página del banco, no ayuda en nada a la seguridad, es más lo que produce es de alguna manera “normalizar” que los clientes no sospechen de enlaces recibidos, por ser algo no excepcional en su relación con el banco.