Cuando un usuario teclea una dirección (http://www.ejemplo.es) en su navegador está debe ser convertida en una dirección IP numérica (000.00.0.000). Este proceso se denomina “resolución de nombres”, y de ello se encargan los servidores DNS (Sistema de Nombres de Dominio, en sus siglas en inglés). El pharming consiste en manipular este sistema de resolución de nombres a través de un código malicioso, de manera que cuando el usuario crea que está accediendo a su banco en internet, realmente está accediendo a la IP de la página falsa. La entrada de este código en el sistema puede producirse a través de múltiples vías de entrada que hay en nuestro sistema: el e-mail, que es la más frecuente; descargas por internet, copias desde un disco o CD, etc. Así, una vez en la web falsa el objetivo es igual que el del phising, hacerse con las claves y datos bancarios de la víctima.
El phising debe su éxito a la ingeniería social (práctica de obtener información confidencial a través de la manipulación de usuarios legítimos), aunque no todos los usuarios caen en estos trucos, y cada intento de phising se debe dirigir a un único servicio bancario, por lo que su éxito se limita. Por lo contrario el pharming puede atacar a un número mayor de usuarios. No solo eso, sino que el pharming no se lleva a cabo en un momento concreto, como ocurre con el phising, sino que la modificación de DNS queda en el ordenador a la espera de que el usuario acceda a su servicio bancario.
La prevención, la mejor solución
– Nunca siga ningún enlace que venga en un correo electrónico, o por cualquier medio que no esté pidiendo.
– Nunca facilite sus claves o códigos contestando a correos electrónicos de su entidad.
– Ninguna entidad le enviará un correo electrónico diciendo algo acerca de seguridad y de que tiene que volver a validar sus claves, tampoco haga click en el enlace que le pongan para comprobar sus códigos de acceso y de operaciones.
– Desconfíe de las páginas en las que le pidan todos los códigos de golpe, ya que ninguna entidad hace eso.
– Confirme que está en entornos seguros (httpS:// y candado en la parte inferior)
– Use un buen antivirus y que siempre esté actualizado.
– Es importantísimo que tenga perfectamente actualizado su sistema operativo, con los últimos parches de seguridad que vayan apareciendo.
– Usar cortafuegos, para impedir accesos no autorizados a su equipo.
– No acceda a datos bancarios en cibercafés o equipos que no controle.
Crítica del Banco de España
El Banco de España es contudente, las entidades financieras no pueden desentenderse en lo relativo al fraude electrónico. Las primeras quejas por este motivo a su Servicio de Reclamaciones comenzaron a recibirse en 2005, desde entonces no han hecho mas que aumentarse. “No parece equitativo ni proporcionado que las entidades eludan sin más su responsabilidad, dirigiendo a sus clientes a los tribunales de justicia y haciendo recaer en los mismos la totalidad de los importes defraudados. No se estima ajustado a las buenas prácticas bancarias que las entidades, al amparo de las cláusulas contractuales que les exoneran de toda responsabilidad se desentiendan de los problemas de sus clientes sin realizar actividad probatoria alguna que permita determinar lo realmente sucedido; debiendo, en definitiva, demostrar un cierto grado de diligencia en la gestión de estas reclamaciones de sus clientes. Éstos -no debe olvidarse- han depositado en aquellas no solo sus fondos sino también su confianza”.
“Las entidades al hacer recaer en sus clientes toda la responsabilidad, así como la carga de la prueba de haber actuado correctamente, les colocan en una situación de inferioridad e indefensión, cuando son las propias entidades las que les han ofrecido el sistema y han elegido el sistema de seguridad que han estimado más conveniete, resultando, por tanto, que cualquier fraude operado pondría en evidencia la debilidad del sistema de autenticación utilizado”.
Para la máxima autoridad en materia monetaria “estas medidas (de seguridad), muy importantes en su fin, no son suficientes para eludir los riesgos, pues las actuales sofisticaciones de los fraudes electrónicos, superan las posibilidades del cliente medio que, en general, no es un experto en seguridad informática”.
