16 abril 2008

Phishing y responsabilidades

Que los casos de phishing bancario están creciendo no es ninguna novedad. El problema es que sus dimensiones y sus consecuencias están alcanzando tales niveles que hemos llegado a un punto en el que desde distintos ámbitos parece que se considera necesario delimitar las responsabilidades asociadas. Y claro, aquí es donde los distintos interesados no se ponen de acuerdo.

Por una parte, tenemos el caso de los bancos británicos, que quieren que los usuarios de sistemas inseguros asuman su responsabilidad. De acuerdo con el código que han publicado, parece ser que los bancos no asumirán aquellas pérdidas en las que se pueda alegar incumplimiento, por parte de los usuarios, de medidas como tener un antivirus y antispyware actualizado.

Por otra parte, tenemos la postura que expone Julián Inza, que refleja que desde distintos ámbitos se acusa a las entidades financieras de lavarse las manos ante los casos de fraudes electrónicos. Este post afirma que la principal responsabilidad en relación al phishing bancario (y otros delitos electrónicos parecidos) debería quedar en manos de las entidades financieras por no utilizar sistemas de autenticación suficientemente fiables (no sólo técnicamente sino también en relación a su utilización práctica).

Desde mi punto de vista ambas posturas tienen su parte de razón. Es cierto que los bancos deberían desarrollar mejores soluciones de seguridad, y sobre todo hacer un especial esfuerzo en desplegar soluciones utilizables por clientes con muy poco conocimiento informático (y previsiblemente nulo en materia de seguridad informática), pero también es cierto que si no se hace nada por evitar que los equipos de este tipo de clientes se expongan a los principales riesgos automatizados que pululan hoy en día por Internet es casi seguro que tarde o temprano esos equipos acabarán bajo el control absoluto de los "malos" de Internet, y por consiguiente también sus cuentas bancarias. Es por eso que en distintos post he abogado tanto por un mayor esfuerzo en la concienciación pública en torno a la seguridad informática como por el desarrollo de soluciones de seguridad centradas en extremo del usuario, con el fin de potenciar el ya conocido eslabón más débil de la cadena.

Y en relación a estas reflexiones siempre se me plantea una duda. ¿Sería posible aunar una solución para el usuario final proporcionada por la propia entidad bancaria? ¿Sería posible desarrollar un "entorno de trabajo" tipo sandbox, por ejemplo, que se tuviera que descargar el usuario para poder acceder a la banca electrónica, y dentro del cual se pudiera certificar la seguridad de todas las operaciones desarrolladas? Sería una forma de que los bancos no sólo fueran capaces de garantizar la seguridad de las operaciones, sino de que también pudieran asumir las responsabilidades asociadas, ya que el entorno de operación de los clientes sería seguro y más allá sólo quedaría el propio usuario, de cuyas acciones siempre sería responsable. ¿Existen soluciones de este tipo? ¿Hay alguna en desarrollo? Si alguien tiene alguna respuesta para mis preguntas, tiene a su disposición los comentarios.

8 comentarios:

Javier Cao Avellaneda dijo...

A la problemática de la suplantación de identidad en las operaciones bancarias ya dio respuesta Bruce Schneier en el post "The failure of two-factor authentication. (url http://www.schneier.com/blog/archives/2005/03/the_failure_of.html)

La mejor estrategia es autenticar cada transacción, no el acceso del usuario a poder realizarlas. Creo que algunas entidades financieras ya están trabajando en esta linea, con una autenticación basada en envíos SMS al móvil.

Respecto al tema planteado, comparto contigo postura respecto a que es un problema de responsabilidad compartida, pero con la balanza de la responsabilidad un poco más cargada hacia las entidades finacieras.

Recuerdo hace cinco o seis años que cuando ibas a hablar a los bancos de la firma digital y de la autenticación de servidor, pero también de cliente, te cerraban las puertas. Era según ellos, un gasto injustificado porque no había tanto riesgo. Ahora resulta que SI puede ser un gasto justificado pero el problema es que no tienen tiempo para reaccionar. Banesto por ejemplo, tiene montada una PKI propia registrada para establecer relaciones con sus clientes con validez jurídica.

De todas maneras, otra cosa que no entiendo es por qué cuando contratas un servicio online, la entidad no reparte un pequeño manual o triptico con las instrucciones más elementales de seguridad y explica los principales riesgos de los que el usuario debera defenderse. Imagino que entienden que eso asusta clientes, pero más los asustan las noticias de phishing. Y si por un lado ellos ahorran y quieren que sus servicios cada vez más no requieran presencia física, ¿por qué no robustecen un poco más la solución e invierten en gestionar los riesgos que este nuevo modelo de hacer las cosas genera?

Antonio Ramos dijo...

De todas formas no debemos olvidar otro factor que es, si cabe, más importante, la externalidad: Debemos generar incentivos para que la inversión en seguridad que realicen los bancos tenga un sentido. Es decir, aquel banco que tenga mejores medidas de seguridad, debería tener mayores contraprestaciones (no pagar el fraude, por ejemplo).

Para esto, el Banco de España también tiene que mojarse... Esa es, al menos, mi opinión:
http://www.antonio-ramos.es/2008/04/la-responsabilidad-del-banco-de-espaa.html

Antonio Ramos dijo...

De todas formas no debemos olvidar otro factor que es, si cabe, más importante, la externalidad: Debemos generar incentivos para que la inversión en seguridad que realicen los bancos tenga un sentido. Es decir, aquel banco que tenga mejores medidas de seguridad, debería tener mayores contraprestaciones (no pagar el fraude, por ejemplo).

Para esto, el Banco de España también tiene que mojarse... Esa es, al menos, mi opinión:
http://www.antonio-ramos.es/2008/04/la-responsabilidad-del-banco-de-espaa.html

Anónimo dijo...

Joseba,

Buenas de nuevo. Hacía tiempo que no comentaba nada por estos lares, pero te sigo leyendo.

Insisto en mi comentario hecho al post de Julián Inza y a cuyo fondo se refiere Javier en su comentario.

A día de hoy, y desde por lo menos el año 2000, la solución no es otra que pasar la autenticación y la autorización de operaciones a un entorno algo más seguro como el móvil. Al menos la espera de PKI alguna en el móvil, a pesar de la opinión de Schneier.

Mobipay de hecho es una realidad para la autenticación de clientes y autorización de operaciones, pero no ha sido efectivamente desplegada por las entidades financieras. Tan sólo le falta permitir la autenticación en el entorno de banca electrónica, cosa que tampoco es extremadamente difícil y que seguramante tienen resuelta. El problema comercial puede ser el coste de los mensajes enviado por el usuarios, pero lo que parece es que las entidades financieras simplemente pasan del tema y prefieren tirar de seguro.

Mobipay aporta seguridad no sólo en las transacciones face2face o presenciales, sino también y sobre todo en las transacciones remotas.

En cualquier caso, y a pesar de los avisos de Schneier en contra de la autenticación fuerte, la Ley de Medidas de Impulso a la Sociedad de la Información requiere entre otras a las entidades financieras implantar un canal telemático basado en el uso de certificados reconocidos de firma electrónica, pero esta norma no incluye régimen de infracciones y sanciones con lo que... Aún así entidades como CajaMadrid y Bankinter ya lo tienen implantado.

La seguridad de los usuarios de Internet puede venir bien de las propias entidades financieras (Mobipay, SMS certificados, sandboxes,...) o de terceros como por ejemplo los ISPs o empresas que presten servicios de seguridad gestionada a estos o a los usuarios de forma indirecta por ejemplo a través de las mismas entidades financieras.

No obstante, estos dos últimos casos tienen ciertos problemas legales que han de tratar de resolverse por vía contractual y que tienen un coste de gestión (secreto de las comunicaciones, intimidad y LOPD, sobre todo si las IP han de ser consideradas datos de carácter personal ;-p). Aparte está el hecho de que estas soluciones de seguridad pueden atraer el interés de curiosear en la jugosa información que sobre los usuarios puedan proveer sus propios equipos, al más puro estilo Sony Rootkit ;-p

Por otra parte, se está cociendo una reforma de la Directiva de ePrivacidad que, entre otros muchos asuntos, todos interesantes por cierto, se está promoviendo que incluya la obligación para empresas como por ejemplo las entidades financieras de notificar los incidentes de seguridad sufridos. ¿Quizás nos venga así la "externalidad" que comenta Sorani?

Interesante debate el que se nos viene encima.

Un saludo

Joseba Enjuto dijo...

Comentarios realmente interesantes. No hay nada como que nos pueda afectar al bolsillo para que la gente se anime, eh? ;-)

Estoy de acuerdo en que la balanza de la responsabilidad se incline del lado de quien mayores recursos dispone. Además, si entendemos la seguridad como una característica del servicio, es el proveedor de dicho servicio quien debería garantizarla.

También entiendo que, del mismo modo que la sociedad debe hacer un esfuerzo por "obligar" a los proveedores de servicio a que asuman la responsabilidad de la seguridad, también debería habilitar medidas para premiar a aquellos que lo cumplen. Y si la cultura de seguridad de la sociedad es insuficiente, no me parece desacertado incluir elementos de motivación adicionales a los propios factores de mercado. Aunque debería quedar clara la línea divisoria entre incentivar y regular...

En cuanto a si el medio de asegurar las transacciones electrónicas es de 2 factores o de 2 medios, o si la proporciona el propio banco o un intermediario, no me parece la cuestión fundamental. Todas las alternativas son válidas frente a unas amenazas pero presentan riesgos frente a otras, y la seguridad real a medio plazo de cualquiera de ellas no es garantizable. Pero sí que creo que sería necesario establecer una serie de criterios mínimos para valorar dicha seguridad, y sobre todo informar en cada caso de los riesgos que no evita la solución adoptada, en línea con el folleto informativo que propone Javier.

Anónimo dijo...

Joseba,

Ciertamente la seguridad total no existe, pero lo que es indudable es que cualquiera de las soluciones apuntadas en tu post y en los comentarios significaría un gran paso adelante. Vamos que algo, aunque siga siendo inseguro, siempre será mejor que nada.

Desde luego la iniciativa de los bancos británicos de optar por transferir el riesgo a los usuarios, desde mi punto de vista es de una falta de diligencia y de un "rostro" atroces.

Aparte de que ¿cómo van a conocer que sus clientes afectados por phishing tenían o no activado y/o actualizado el antivirus? Para ello necesitan "entrar" en el ordenador de los usuarios. Deberían previamente informar a los usuarios de los datos que van a recopilar cada vez que sus clientes se conecten y además deberían contar con su consentimiento, cosa que por medio de contratos de adhesión en España dudo que pudieran hacer por ser este tipo de cláusulas abusivas. No he leído el código de los bancos británicos, simplemente una noticia en el Out-Law, pero ¿dicen algo de que vayan a recopilar datos personales de los ordenadores de sus clientes para comprobar esto o incluso para otros menesteres? ¿O dicen algo sobre si, ya puestos, van a utilizar la información recogida de los ordenadores de los usuarios para investigar las transacciones fraudulentas y analizar los ataques para mejorar sus sistemas? Anda que...

¿Realmente con tener un antivirus bien actualizado (algo que puede ser además interpretado de muy distintas maneras) puede bastar? Ya puestos también podían pedir que tu conexión wi-fi sea segura, que tengas una configuración de seguridad "high level" tanto para el sistema operativo como para el navegador, que conviertas tu casa en bunker, compres una destructora de papel y soportes electrónicos, hagas monitorización de la actividad del equipo,..., y hasta que te certifiques con la ISO 27001.

Sinceramente me parece una patochada y una solución que a todas luces va a ser un fracaso.

Por otra parte, eso de premiar a los mejores y darles esa externalidad tampoco lo veo. La inversión en seguridad por sí misma ya les estaría premiando. Para empezar los phishers acabarían cayendo en otras plataformas de banca electrónica, estarían cumpliendo con su deber de conformidad legal (buena imagen en cuanto a Gobierno Corporativo), aumentaría la confianza de los clientes, captarían nuevos clientes (por lo general, escaldados por la falta de seguridad de anteriores bancos, preocupados/atraidos por ese algo más de seguridad,...).

Salu2

Joseba Enjuto dijo...

Sin más datos, creo que a efectos prácticos la idea de los bancos ingleses se va a quedar en papel mojado. Efectivamente, es muy difícil "certificar" que los usuarios tengan equipos seguros, y no creo que les permitan eximirse totalmente de su responsabilidad aduciendo que no existen dichos PCs seguros. Aunque la idea de pedir a los usuarios que se certifiquen en ISO 27001 no se me había ocurrido. Igual es en lo que están pensando... jeje!

En cuanto a la externalidad, es cierto que el beneficio de una mayor seguridad sería evidente, pero... Y si en los tiempos que corren los bancos no están dispuestos a pensar en ese largo plazo? La opción de desarrollar incentivos limitados en el tiempo tampoco me parece tan mala. Al fin y al cabo, y salvando las distancias, no creo que el Plan Avanza vaya a seguir incentivando la ISO 27001 indefinidamente, y sin embargo sí que me parece un buen motor para la seguridad...

Anónimo dijo...

[url=http://rastimores.net/][img]http://rastimores.net/img-add/euro2.jpg[/img][/url]
[b]shareware software downloads, [url=http://rastimores.net/]face shop software[/url]
[url=http://akreoplastoes.net/][/url] academic software programs enabling form editor adobe acrobat 9
of software resellers in [url=http://rastimores.net/]10 selling software[/url] adobe software canada
[url=http://akreoplastoes.net/]sale software solutions[/url] education software purchase
[url=http://akreoplastoes.net/]software cd shop[/url] software for optical shop
buy cheap microsoft software [url=http://rastimores.net/]crack nero 9[/url][/b]