La petición me extrañó bastante, y no es porque la dirección de la página no se correspondiese con la de Banesto o porque el titular del dominio -según San whois- fuese la entidad bancaria, sino porque nunca he tenido una cuenta abierta en Banesto. Parece que la Asociación de Internautas se ha hecho eco del asunto, pero lo más sorprendente es que Banesto no diga ni mu en la home de su portal acerca de esta muestra de Cross Site Scripting.
Siempre me he preguntado cómo se lo montan estos estafadores de medio pelo tecnológico para saber a qué entidades tienen que suplantar en cada caso para que el tema tenga cierta credibilidad. Porque si ya saben en qué banco trabajo, también pueden conseguir mis datos personales y maldita la falta que les hace que yo se la facilite.
Llegué a plantearme si esta remesa de e-mails estaba dirigida a abogados y procuradores, ya que existe un convenio con Banesto por el que, al darnos de alta, podemos consultar el estado de las cuentas de consignación del Juzgado y hacer algunas operaciones, pero me parece demasiado complicado para una estafa tan burda. Seguramente el envío sea, en su mayor parte, a direcciones aleatorias, aunque estudios recientes han determinado que existen formas de vincular a los destinatarios con las sucursales suplantadas (a esto lo han llamado spear phishing, bonito, ¿no?).
Mi principal duda es: cuando consiguen que algún incauto facilite sus datos a un desconocido sin adoptar ningún tipo de precaución, ¿qué demonios hacen con esa información?. Porque, salvo en algún caso excepcional, los datos obtenidos les permitirán consultar el contenido de las cuentas, pero nunca operar, porque para ello necesitarán una de esas tarjetitas de códigos que facilitan todas las entidades bancarias para operar a través de Internet.
¿Aprovechan los datos bancarios para domiciliar recibos? ¿Usan los números de cuentas corrientes y tarjetas para comprar a través de Internet? ¿O es que ya no se lleva eso de los códigos? Ni idea.
Si ésta es la conducta, se trata de una estafa tan burda que difícilmente puede provocar un perjuicio real al afectado a poco que se preocupe por el tema, ya que podrá acreditar que él no ha contratado los servicios o adquirido los productos en cuestión. El problema será, principalmente, de la entidad bancaria o del presunto vendedor o prestador de los servicios.
Al parecer, existe otro tipo de estafa, un poco más avanzado técnicamente, que combina el phishing con redirección de puertos, uso de botnets y demás; de esta forma, se dificultan el trazado de la operación y el infractor puede llegar a esconderse en una telaraña de servidores.
En este caso, el resultado, según mi modesta opinión, es el mismo. Si atendemos a la normativa vigente en nuestro país, la parte que pretende exigir el cumplimiento de una obligación tiene la carga de la prueba de la celebración del contrato correspondiente, y en estos casos es más que complicado, sobre todo si el destinatario no ha recibido jamás el servicio o producto contratado.
Resumiendo, que atentos a lo que hacéis con vuestras claves, no sólo del banco, sino de cualquier otro servicio; recordad que, en la práctica totalidad de casos, al daros de alta estáis suscribiendo un contrato en el que os comprometéis a mantener las claves en secreto, ya que la otra parte no tiene forma de ratificar vuestra identidad por otras vías.
Las soluciones planteadas para el phishing hasta la fecha revisten distintas formas, pero la única eficiente es la más sencilla: las claves no se apuntan en post-its y se pegan al monitor, ni se escriben en el móvil, ni en un papelito en la cartera, ni se guardan en un cajón: se memorizan y punto. Y cuando alguien te pregunte por ella, haz lo que te dijo tu abuela hace años: no hables con extraños.
Deja un comentario