Acceder

Riesgo Phishing a través de enlaces por correo electrónico – cosas que no entiendo !! *305* 

 
 
Hablar de esto sería muy largo, además no tengo los suficientes conocimientos técnicos para ello, no obstante, sí que puedo comentar cosas que no acabo de entender y, como poco son absolutamente contradictorias. 

Hace unos pocos días recibo un mensaje por correo electrónico de BBVA, que seguidamente reproduzco de forma parcial: 

 
 

No es la primera vez que veo esto y no solo de BBVA, también lo he visto en Caixa Bank, en relación a préstamos preconcedidos que en el mismo mail (también) te pone un enlace para acceder directamente, pero no guardé esto, por tanto, no puedo insertarlo aquí. 

Banc Sabadell tiene, al menos por el momento una actuación que entiendo más segura, te emplaza a que consultes la correspondencia web, pero no inserta enlace alguno.
 
Lo primero que se me ocurre es ver las advertencias de seguridad de BBVA y de Caixa Bank, pongo el enlace de la información de BBVA https://www.bbva.es/finanzas-vistazo/ciberseguridad/ultima-hora/mensajes-de-texto-fraudulentos-suplantando-bbva.html en la cual se indica: 

No proporciones información personal o bancaria en páginas web a las que has accedido desde un enlace incluido en un email o SMS. 

Ahora veamos en Caixa Bank:  https://www.caixabank.es/particular/seguridad/phishing_es.html que no es tan tajante pero si indica: 

Si no analizas correctamente el correo siguiendo los anteriores pasos de seguridad, corres el riesgo de clicar en un enlace fraudulento, con lo que podrás llegar a ceder tus claves de acceso al ciberdelincuente.  

 Pero si que hay diversas advertencias y las hemos recibo en ocasiones del estilo: 

CaixaBank nunca te va a solicitar información ni credenciales bancarias a través de correo electrónico, SMS u otros canales digitales. Si recibes alguna notificación de este tipo, desconfía, analiza el correo con detenimiento y no cliques nada si no puedes asegurar su legitimidad. 

Pero esta advertencia la hemos visto de casi cualquier entidad financiera 

Es cierto que en muchos de estos mensajes, supongo porque los mismo vienen del extranjero, con dominios de estados BY (Bielorusia) RU (Rusia), etc. o bien con errores de ortografía como por ejemplo BancoSatander, AlgenciaTributaria …, es evidente que un banco en España la Seguridad Social o la Agencia Tributaria no te va a mandar un mensaje desde Bielorusia !!, no obstante hay otros mensajes en los que es fácil detectar errores, no se trata de faltas ortográficas o que se ha realizado una traducción automática de otro idioma y la literalidad de tal conversión supone una redactado cuando menos algo raro.  

Si en teoría el banco no te va a pedir nunca las claves por mail o sms, esto no es exactamente pedirlas, pero se le parece mucho porque te lleva a la web del banco de manera directa, con lo cual si el mensaje fuera fraudulento (no lo es en el caso de la foto del comienzo) uno ya habría puesto las claves !!! 


No, no accedí por el enlace, lo hice por la web del banco y, efectivamente había una comunicación relevante, por ello conozco que el mensaje era real. 

Luego de vez en cuando en presa aparece este tipo de noticias: 

Puedo entender perfectamente que un banco no puede hacerse responsable del lugar donde accede un cliente con su móvil u ordenador, es que es evidente que no se les puede responsabilizar de todo, y no voy a opinar sobre si las sentencias han considerado correctamente todos los argumentos de las partes o no, en primer lugar porque no hay datos suficientes en una noticia de prensa como para formarse una opinión, ni ver la base del porque el tribunal considero que si había responsabilidad. 

Ahora bien, de lo que si es responsable es del cumplimiento de la normativa la Directiva Comunitaria PSD2, que entre otros asuntos indica: 
 
La Directiva de la PSD2 estipula estrictos requisitos de seguridad para garantizar los pagos electrónicos y la protección de datos. Además, se requiere un sistema de doble autenticación (datos de la tarjeta y mensaje SMS en un móvil).
 
Y obviamente debe evitar que se puedan quebrantar las dos premisas de autorización, por ejemplo que no sea fácil cambiar el móvil de recepción del mensaje o bien controles suficientes cuando se accede a la web a través de un terminal distinto al habitual. Supongo que tecnológicamente habrá maneras incluso de sortear tales seguridades, si no las hubiera no tendríamos tantas noticias de estafas por internet. 

Sin embargo y volviendo a lo que se indica al principio, en mi opinión, esto de mandar mensajes publicitarios o bien para consultar la web y, poniendo en tal mensaje un enlace para acceder a la página del banco, no ayuda en nada a la seguridad, es más lo que produce es de alguna manera “normalizar” que los clientes no sospechen de enlaces recibidos, por ser algo no excepcional en su relación con el banco. 


6
¿Te ha gustado mi artículo?
Si quieres saber más y estar al día de mis reflexiones, suscríbete a mi blog y sé el primero en recibir las nuevas publicaciones en tu correo electrónico
  1. #6
    18/06/22 11:04
    Un caso más, a sumar a la larga lista de sentencias, que se hubiese evitado si @bbva-espana mejorase su sistema de seguridad de acceso en lo relativo al cambio del número de móvil en cajeros -por ejemplo, como escribía en mi último comentario.
  2. #5
    03/06/22 08:43
    En mi opinión, las Entidades Bancarias, y los Organismos Regulatorios, en ausencia de aquellas, tienen a su alcance capacidades técnicas muy sencillas de implementar para mejorar la seguridad de sus cliente frente al "phishing" -especialmente de aquellos para quienes el uso de las tecnologías informáticas es más desconocido o ingrato

    En la mayoría de los casos de “phishing” descritos en RANKIA hay un momento en el que el “timador” quiere limitar que el “timado” conozca sus intenciones y para ello una de las primeras acciones que (suele) realiza(r) es cambiar el número de móvil del cliente en la WEB de la entidad bancaria… para, desde ese momento, que sea el móvil del “estafador” el que reciba los códigos de verificación de doble redundancia… 

    Si la Entidad Bancaria, o la normativa regulatoria, permitiese que los clientes elijan (aquellos que lo deseen) que, en su contrato de Banca por Internet, se incluya una clausula para que el número de móvil solo lo pueda cambiar presencialmente en una oficina; el cliente elije si quiere o no dicha condición, que -lógicamente- solo puede cambiar presencialmente. 

    Y como esta, seguro que saldrían otras mejoras de seguridad que, a poco que fueran de interés para las Entidades Bancarias, mejorarían su seguridad… no digo que con esta medida se eliminarían al 100% los casos de “phishing” pero si se limitarían las cantidades estafadas al entrar otras coberturas elegibles de forma presencial, e.g. no permitir las transferencias al extranjero, no permitir cambiar el límite de la tarjeta, no permitir compras en internet con cargo a tarjeta, etc., coberturas que una gran mayoría de clientes no utilizará nunca o casi nunca y que son la ventana por la que sale el dinero en los casos de "phishing".

    Un saludo 
  3. en respuesta a Fernan2
    -
    Top 10
    #4
    30/05/22 14:51
    Ya Fernan2, esto supongo que es algo así como la habitual "guerra" de los comerciales con los de riesgos (los de impago) de un banco o de cualquier empresa grande. Aquí el tema es que se da banca on line a cualquiera y sin "cursillo",  que tampoco tengo claro que ello no fuera una discriminación, no se trata de la gente sea tonta, sino que solo por principio, quien no esta muy acostumbrado a temas de papeleo tendrá,  por lo general, un mayor riesgo de inadecuada utilización de los servicios.

    No hace falta que piense en mi madre que tiene 85 años y esto de las tecnologías lo lleva francamente mal, sino en muchísima gente que con menos edad, lo lleva igual o peor.

    No sé que iba a ocurrir en un juzgado si en un momento me pillan a mi, atendiendo a un enlace supuestamente remitido por el banco, resultado ser una estafa, les fallan los controles de IP, de la doble confirmación o lo que sea, y de ello tenemos diversos hilos en Rankia, que los presuntamente estafados no aciertan a comprender como pudo fallar la "re-confirmación", habiendo reconocido que si, que entraron en el enlace y como prueba de responsabilidad del banco en el asunto, la posibilidad de un fallo de seguridad, aporto a la demanda el correo electrónico que cada mes y sin excepción, me remite dicha entidad financiera para prestarme dinero "sin papeleo alguno", con un enlace bien grande en el centro de la comunicación.

    Es evidente que un juzgado no son matemáticas, de serlo en lugar de jueces tendríamos a contables sentenciado !!!! pero ante esta disyuntiva las posibilidades de que el banco fuera determinado responsable, iban a ser muchas. 

    Tu que esto de la informática lo conoces infinitamente mejor que yo, habrás visto intentos de phishing con una calidad asombrosa y que sin conocer ciertos sistemas para verificar de donde viene realmente el correo, la apariencia de realidad es impresionante, sin fallos de ortografía, sin que la procedencia de lugar a sospechas, etc. y no temas como Algenciatributaria.ru o Bcosatander.by, mandar un aviso de tu cuenta en Cajamar o Banca Pueyo, de la cual no fuiste cliente en tu vida, para reactivar la cuenta ... todo lo cual clama al cielo !!!!
  4. en respuesta a Solrac
    -
    Top 25
    #3
    30/05/22 14:30
    Es que los de dirección tampoco se aclaran, porque saben que la seguridad es lo más importante, pero sus bonus van ligados a ventas y no a seguridad.
  5. en respuesta a Fernan2
    -
    Top 25
    #2
    30/05/22 14:14
    Que los de seguridad y marketing tienen intereses contrapuestos es muy típico. Cómo, por ejemplo, también lo es en industria producción y mantenimiento. A veces es que ni se hablan.
    Pero para eso está dirección, para poner orden, cohoneh 😅
  6. Top 25
    #1
    30/05/22 13:21
    Esto es muy fácil de explicar: Hay responsables de seguridad que establecen las directivas a seguir, que siempre incluyen alguna variante de "desconfía de los emails", y luego hay responsables de marketing, cuya preocupación no es la seguridad sino la venta, y que saben que venden más si ponen el enlace.

    Al final es todo equilibrar la seguridad y la comodidad, lo que en inglés se llama "tradeoff", ya que tienes dos cosas deseables (en este caso seguridad versus comodidad/conveniencia -> ventas) y cuanto más tengas de una menos tendrás de la otra.

    La única forma que veo de solucionar esto sería que un banco quisiera presumir de "somos el banco más seguro", en cuyo caso la seguridad sería parte de la estrategia de marketing, y por tanto no pondrían estos enlaces en los mensajes de marketing "porque a diferencia de los otros nosotros nos preocupamos por tu seguridad". Pero de momento no sé ningún banco que lleve su seguridad por bandera, y si lo hubiera sería sólo uno; los correos con enlaces van a seguir llegándonos, porque las ventas mandan.

Definiciones de interés
Sitios que sigo