Reportaje:

Tir��n de orejas a la banca

El Banco de Espa?a critica a las entidades financieras por lavarse las manos ante los casos de fraudes electr��nicos

13 abr 2008 - 00:00CEST

El Banco de Espa?a lo tiene claro: las entidades financieras no pueden lavarse las manos en lo relativo al fraude electr��nico. Su servicio de reclamaciones -las primeras quejas por este motivo comenzaron a recibirse a finales de 2005 y, desde entonces, se han ido acelerando- es contundente. "No parece equitativo ni proporcionado que las entidades eludan sin m��s su responsabilidad, dirigiendo a sus clientes a los tribunales de justicia y haciendo recaer en los mismos la totalidad de los importes defraudados. No se estima ajustado a las buenas pr��cticas bancarias que las entidades, al amparo de las cl��usulas contractuales que les exoneran de toda responsabilidad, se desentiendan de los problemas de sus clientes sin realizar actividad probatoria alguna que permita determinar lo realmente sucedido; debiendo, en definitiva, demostrar un cierto grado de diligencia en la gesti��n de estas reclamaciones de sus clientes. ?stos -no debe olvidarse- han depositado en aqu��llas no s��lo sus fondos, sino tambi��n su confianza".

Las entidades, afirma el banco emisor, colocan a sus clientes en una situaci��n de inferioridad e indefensi��n en caso de fraude electr��nico

Clientes indefensos

"Las entidades", prosigue el banco emisor, "al hacer recaer en sus clientes toda la responsabilidad, as�� como la carga de la prueba de haber actuado correctamente, les colocan en una situaci��n de inferioridad e indefensi��n, cuando son las propias entidades las que les han ofrecido el sistema y han elegido el mecanismo de seguridad que han estimado m��s conveniente, resultando, por tanto, que cualquier fraude operado pondr��a en evidencia la debilidad del sistema de autenticaci��n utilizado".

Son varias las razones que el Banco de Espa?a aduce para justificar este tir��n de orejas a la banca, y ello pese a que, desde su punto de vista, "con car��cter general, las entidades de cr��dito cuentan con medidas de seguridad internas muy eficaces y acertadas a efectos de prevenir y minimizar el fraude electr��nico". Para la m��xima autoridad monetaria, en primer lugar, "estas medidas, muy importantes en su fin, no son suficientes para eludir los riesgos, pues las actuales sofisticaciones de los fraudes electr��nicos superan las posibilidades del cliente medio que, en general, no es un experto en seguridad inform��tica".

En segundo lugar, por razones t��cnicas: "Es de sobra conocido que los sistemas de autenticaci��n ofrecidos a los clientes de banca electr��nica por la mayor��a de las entidades de cr��dito son sistemas d��biles o de un solo factor (una clave fija o aleatoria), a pesar de que la mayor��a de los expertos en seguridad inform��tica coinciden al se?alar que las medidas de autenticaci��n son m��s eficaces si incorporan dos factores: algo que el cliente conoce (una clave) y algo que el cliente tiene (un token, un tel��fono m��vil, etc��tera). Estos sistemas de doble factor podr��an evitar la captura indebida de la firma electr��nica y, por consiguiente, el fraude".

En tercer lugar, por una cuesti��n de informaci��n: "Si bien en los contratos se informa al cliente de las condiciones para operar y de las consecuencias que le deparar��a un uso indebido de sus claves, no se le suele advertir del riesgo de que ��stas puedan ser capturadas por los ciberdelincuentes para su posterior uso con fines delictivos ni de que, en este caso, deber�� soportar los quebrantos ocasionados". Por ��ltimo, la reprimenda tiene tambi��n un componente de "falta de responsabilidad". "Tampoco podemos olvidar que el usuario de banca electr��nica puede acceder a este servicio no s��lo desde su equipo en su domicilio sino tambi��n desde lugares p��blicos como bibliotecas, hoteles o cibercaf��s y, en muchos casos, sin necesidad de un puesto fijo gracias a las redes inal��mbricas".

"Algunas entidades dan publicidad a esta facilidad en su p��gina web", prosigue el razonamiento del Banco de Espa?a, "destacando que la banca electr��nica permite realizar todo tipo de operaciones bancarias a trav��s de Internet desde cualquier lugar en el que se encuentre y a cualquier hora. Dicho esto, puede resultar un tanto incongruente que si la entidad no ha limitado expresamente las v��as de acceso a este canal, pretenda que su cliente sea el ��nico responsable de la falta de seguridad del equipo a trav��s del cual se efectu�� la operaci��n fraudulenta".

Responsabilidad de la banca

Por ��ltimo, desde el Banco de Espa?a se recuerda que la recientemente publicada Directiva 2007/64/CE del Parlamento Europeo y del Consejo de 13 de noviembre de 2007 sobre servicios de pago en el mercado interior establece: "Cuando un usuario de servicios de pago niegue haber realizado una operaci��n ya ejecutada (o alegue que ��sta se realiz�� de manera incorrecta), corresponder�� a su proveedor demostrar que la operaci��n fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo t��cnico o cualquier otra deficiencia, teniendo en cuenta que la utilizaci��n del instrumento de pago registrada por el proveedor no bastar�� necesariamente para demostrar que la operaci��n fue autorizada por el ordenante, ni que ��ste actu�� de manera fraudulenta o incumpli�� deliberadamente o por negligencia grave una o varias de sus obligaciones".

Fuente: Servicio de Reclamaciones del Banco de Espa?a.

Los fraudes m��s habituales

- Fraudes derivados de la utilizaci��n con fines fraudulentos de las claves operacionales de clientes de banca electr��nica, que tienen como resultado la realizaci��n de transferencias de fondos de las cuentas de los clientes a las de terceras personas (que se utilizan como intermediarios, com��nmente conocidos como "muleros"), desde las que a su vez se dispone de los fondos, normalmente en efectivo o mediante env��o a trav��s de un establecimiento de cambio, perdi��ndose la pista de la operaci��n, lo que dificulta enormemente la localizaci��n de los autores de la estafa.

- Fraudes o timos tradicionales a trav��s de p��ginas web (ofertas falsas de venta de productos o servicios difundidos a trav��s de una determinada p��gina web).

- Casos de suplantaci��n de identidad en los que mediante la utilizaci��n de documentaci��n robada -DNI, NIE o pasaporte- se abren cuentas o se contratan operaciones a nombre de la persona que ha sido objeto del robo o sustracci��n.

Los fraudes derivados del uso de claves de acceso y operaci��n en la mayor��a de los casos se originan por la captura de dichas claves a trav��s de alguno de los siguientes sistemas:

- Phishing: a trav��s de un correo electr��nico, generalmente enviado de forma masiva, el usuario recibe un aviso de una entidad de cr��dito que le indica la necesidad de visitar el sitio web de dicha entidad e introducir sus datos de acceso. La direcci��n desde la que se env��a este correo es generalmente manipulada para confundir al usuario aparentando proceder de una cuenta de correo leg��tima de la entidad. Este correo incluye un link a la URL que el usuario ha de visitar y que le dirige a un sitio web que no se corresponde con el de la entidad afectada, aunque suele presentar un aspecto y funcionalidades similares. Todos los datos introducidos en la p��gina fraudulenta son convenientemente registrados por los responsables del fraude siendo en algunos casos almacenados en alg��n fichero de la propia web o enviados a una cuenta de correo electr��nico.

- Pharming: de forma similar al phishing, el fraude se produce por la redirecci��n del usuario hacia una p��gina que suplanta la imagen de la entidad de cr��dito correspondiente y que recoge los datos de acceso a los servicios online introducidos por el usuario. En este caso, la redirecci��n del usuario hacia p��ginas distintas de la leg��tima de la entidad no se realiza con t��cnicas de ingenier��a social sino que se debe a una modificaci��n previa del DNS. Los primeros incidentes de este tipo se deb��an a una modificaci��n en el fichero host del equipo del usuario, pero nuevas variantes apuntan a la utilizaci��n de servidores DNS externos comprometidos o a modificaciones en la configuraci��n del router que proporciona al usuario un acceso a Internet por banda ancha. Este tipo de fraude electr��nico se aloja por tanto bajo el dominio leg��timo de la entidad cuya resoluci��n DNS proporciona una direcci��n IP distinta de la leg��tima.

- Malware bancario (troyanos, keyloggers, etc��tera): bajo este ep��grafe se enmarcan todos aquellos casos de fraude a trav��s de cualquier tipo de malware. Un ejemplo de mecanismos de este tipo son los keyloggers, que registran las pulsaciones del teclado y las env��an para su posterior utilizaci��n sin el conocimiento del usuario. Los capturadores de pantalla presentan un funcionamiento y prestaciones similares. Otros c��digos maliciosos detectan cuando el usuario accede al sitio web de una entidad de cr��dito y, de manera local, inyectan el c��digo correspondiente para capturar las claves de acceso que el usuario introduce.

- Estafa piramidal / hoax / cartas nigerianas y otros timos tradicionales distribuidos por correo electr��nico: en todos los casos se trata de intentos de fraude en los que, bajo diferentes estrategias de ingenier��a social, el timador pretende convencer al usuario de que le adelante una determinada cantidad de dinero (que, por supuesto, no volver�� a recuperar) o sus datos bancarios o personales (que ser��n posteriormente utilizados por el timador). Suelen distribuirse a trav��s de correos electr��nicos enviados de forma masiva.

Tu suscripci��n se est�� usando en otro dispositivo

?Quieres a?adir otro usuario a tu suscripci��n?

A?adir usuario Continuar leyendo aqu��

Si contin��as leyendo en este dispositivo, no se podr�� leer en el otro.

?Por qu�� est��s viendo esto?

Flecha

Tu suscripci��n se est�� usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripci��n a la modalidad Premium, as�� podr��s a?adir otro usuario. Cada uno acceder�� con su propia cuenta de email, lo que os permitir�� personalizar vuestra experiencia en EL PA?S.

En el caso de no saber qui��n est�� usando tu cuenta, te recomendamos cambiar tu contrase?a aqu��.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrar�� en tu dispositivo y en el de la otra persona que est�� usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu�� los t��rminos y condiciones de la suscripci��n digital.