Publicado por vez primera el 16 Enero 2004
Perdiendo la fe
Arturo Quirantes Sierra
Hola, soy Arturo Quirantes, director General del
BBVA. Tengo acceso a unos millones de euros en dinero negro, colocados en un
banco de la isla jersey. Por favor, ayúdeme a sacarlos de allí, y a cambio le
daré un porcentaje. Todo lo que necesito es su número de cuenta, el PIN de su
tarjeta y el teléfono de su novia...
Está bien, reconozco que no he sonado muy convincente. Pero apuesto a que no ha
sido el primer timo que ha recibido usted por
Internet. Ni será el último. Estamos ya acostumbrados a todo tipo de listillos
que quieren sacarnos las pelas. El último timo ha sido el del Popular. Puede que
usted lo haya recibido. Un buen número de Internautas recibieron el siguiente
mensaje recientemente:
iQuerido y apreciado usuario de Grupo Banco!
Como parte nuestro servicio de proteccion de su cuenta y reduccion de fraudes en
nuestro sitio web, estamos pasando un periodo de revision de nuestras cuentas de
usuario. Le rogamos visite nuestro sitio siguiendo link dado abajo. Esto es
requerido para que podamos continuar ofreciendole un entorno seguro y libre de
riesgos para enviar y recibir dinero en linea, manteniendo la experincia de
Grupo Banco.Despues del periodo de verificacion, sera redireccionado a la pagina
principa de Grupo Banco. Gracias.
https://www2.bancopopular.es/AppBPE/servlet/servin?p_pm=bo&p_pf=c&p_id=esp
Yo, cuando lo leí, me olió a timo. Para empezar, no tengo cuenta en el Popular.
Luego me mosqueó eso de "Grupo Banco". Y, por supuesto, eso de que le pidan a
uno enviar sus datos de cliente a través de una línea insegura era la puntilla.
Todo el mensaje sonaba tan falso como el de ese exministro de Nigeria que se ha
quedado tirado por ahí con nosecuantos millones de petrodólares.
Pero me llamó la atención, porque este timo estaba muy bien hecho. La propia
página -verdadera- del Banco Popular tenía un enlace hacia esa página, que había
sido hackeada. Lo que es peor, la página falsa era del tipo "seguro" (https), es
decir, que va cifrada mediante algoritmos de encriptación de 128 bits.
Según la versión oficial que nos han contado, el pirata aprovechó un fallo del
Internet Explorer, la página falsa fue prontamente bloqueada, las cosas
volvieron a su cauce y aquí no ha pasado nada; salvo, quizá por los que picaron.
La cara B de esta historia tiene más temas. En primer lugar, el problema no lo
vieron solamente los usuarios de Explorer. Yo lo tuve con el Netscape 7.0, y he
oido que el fallo también afecta a una versión de Mozilla.
Y ahora viene el tema estrella de esta banda sonora. Según todos los entendidos,
esto se hubiera evitado con un certificado digital.
Camerfirma, por ejemplo, tardó poco en sacar pecho y afirmar que así se hubiera
evitado el fraude. Bien, pues sorpréndanse: la página web falsa tenía un
certificado digital en regla, emitido por Verisign ... !a nombre de Banco
Popular Español!
Es decir, el pirata no se limitó a simular una página y a aprovechar un fallo en
los programas, sino que se hizo pasar por el Popular, compró un certificado
digital de pega y engañó a todo el mundo. Y es que un certificado digital no
sirve de nada si el emisor no comprueba que se lo está dando a la persona
adecuada. Es como los DNI: si yo voy a renovarlo con una fotografía de Leonardo
di Caprio y el funcionario de turno me lo sella sin siquiera mirarlo, ¿para qué
sirve salvo quizá para ligar en un bar?
La verdad, este tipo de cosas le dejan a uno planchado. Se supone que la
certificación digital permitirá el comercio electrónico seguro, ya que el
notario digital de turno se supone que da fe de que esa página realmente
pertenece al Banco Popular, al Corte Inglés o a Chinchillas Asociadas. Se pueden
falsificar páginas web, trucar programas o aprovechar bugs, y es por eso que
-dicen los defensores del comercio electrónico- es preciso un sistema de
certificación digital. Pero ¿quién vigila que los certificadores certifican
adecuadamente? Por lo menos, los notarios han de hacer oposiciones y ven a sus
clientes cara a cara. Es el tipo de cosas que le hacen perder a uno la fe. Le
convencen de que usar Internet como centro comercial virtual es bueno, seguro y
adelgaza, y zas, toma del frasco. Y ya saben, gato escaldado...
Resulta cuando menos irónico que, con tanta parafernalia digital, tanta clave
pública y tanto algoritmo RSA, al final sea una llamada a un humano la que te
saca de dudas. No sé si el Popular acabará revelando la verdad de lo ocurrido,
porque la verdad, eso de que un hacker pueda suplantarles sin más que comprar un
certificado es algo muy gordo. Y, si dicen la verdad, a ver quién se fía ahora
del comercio electrónico.
Buen papelón para eso que llaman Sociedad de la Información. Y es que los nuevos
mercaderes digitales siguen sin darse cuenta de que Internet nació como una red
cuya propiedad principal no es la seguridad, sino la robustez. El sistema
diseñado para sobrevivir a un ataque nuclear no es necesariamente el más
resistente contra ataques de piratas. Los timos contra el Popular y otros bancos
que se han dado en días recientes, cuando menos, han logrado el efecto de
recordarnos lo que era Internet en sus orígenes, antes de que los comerciantes y
las gentes del orden se intentasen robárnosla.
Pero no se preocupen, que seguirán intentándolo. Primero era la LSSI la que iba
a dar confianza y seguridad. Luego sería la Ley de Firma Electrónica la que
daría seguridad y confianza. Dentro de nada nos obligarán a llevar DNI
biométricos, y nos dirán que es para dar confianza y seguridad. Y, mientras
tanto, los listillos de turno se aprovecharán de la "ingeniería social" para
atacar el punto más vulnerable del sistema: el ser humano.
© Arturo Quirantes Sierra. Algunos derechos
reservados según Licencia Creative Commons