Publicado por vez primera el 16 Enero 2004


Perdiendo la fe
Arturo Quirantes Sierra





Hola, soy Arturo Quirantes, director General del BBVA. Tengo acceso a unos millones de euros en dinero negro, colocados en un banco de la isla jersey. Por favor, ayúdeme a sacarlos de allí, y a cambio le daré un porcentaje. Todo lo que necesito es su número de cuenta, el PIN de su tarjeta y el teléfono de su novia...

Está bien, reconozco que no he sonado muy convincente. Pero apuesto a que no ha sido el primer timo que ha recibido usted por
Internet. Ni será el último. Estamos ya acostumbrados a todo tipo de listillos que quieren sacarnos las pelas. El último timo ha sido el del Popular. Puede que usted lo haya recibido. Un buen número de Internautas recibieron el siguiente mensaje recientemente:

iQuerido y apreciado usuario de Grupo Banco!

Como parte nuestro servicio de proteccion de su cuenta y reduccion de fraudes en nuestro sitio web, estamos pasando un periodo de revision de nuestras cuentas de usuario. Le rogamos visite nuestro sitio siguiendo link dado abajo. Esto es requerido para que podamos continuar ofreciendole un entorno seguro y libre de riesgos para enviar y recibir dinero en linea, manteniendo la experincia de Grupo Banco.Despues del periodo de verificacion, sera redireccionado a la pagina principa de Grupo Banco. Gracias.
https://www2.bancopopular.es/AppBPE/servlet/servin?p_pm=bo&p_pf=c&p_id=esp

Yo, cuando lo leí, me olió a timo. Para empezar, no tengo cuenta en el Popular. Luego me mosqueó eso de "Grupo Banco". Y, por supuesto, eso de que le pidan a uno enviar sus datos de cliente a través de una línea insegura era la puntilla. Todo el mensaje sonaba tan falso como el de ese exministro de Nigeria que se ha quedado tirado por ahí con nosecuantos millones de petrodólares.

Pero me llamó la atención, porque este timo estaba muy bien hecho. La propia página -verdadera- del Banco Popular tenía un enlace hacia esa página, que había sido hackeada. Lo que es peor, la página falsa era del tipo "seguro" (https), es decir, que va cifrada mediante algoritmos de encriptación de 128 bits.

Según la versión oficial que nos han contado, el pirata aprovechó un fallo del Internet Explorer, la página falsa fue prontamente bloqueada, las cosas volvieron a su cauce y aquí no ha pasado nada; salvo, quizá por los que picaron. La cara B de esta historia tiene más temas. En primer lugar, el problema no lo vieron solamente los usuarios de Explorer. Yo lo tuve con el Netscape 7.0, y he oido que el fallo también afecta a una versión de Mozilla.

Y ahora viene el tema estrella de esta banda sonora. Según todos los entendidos, esto se hubiera evitado con un certificado digital. Camerfirma, por ejemplo, tardó poco en sacar pecho y afirmar que así se hubiera evitado el fraude. Bien, pues sorpréndanse: la página web falsa tenía un certificado digital en regla, emitido por Verisign ... !a nombre de Banco Popular Español!

Es decir, el pirata no se limitó a simular una página y a aprovechar un fallo en los programas, sino que se hizo pasar por el Popular, compró un certificado digital de pega y engañó a todo el mundo. Y es que un certificado digital no sirve de nada si el emisor no comprueba que se lo está dando a la persona adecuada. Es como los DNI: si yo voy a renovarlo con una fotografía de Leonardo di Caprio y el funcionario de turno me lo sella sin siquiera mirarlo, ¿para qué sirve salvo quizá para ligar en un bar?

La verdad, este tipo de cosas le dejan a uno planchado. Se supone que la certificación digital permitirá el comercio electrónico seguro, ya que el notario digital de turno se supone que da fe de que esa página realmente pertenece al Banco Popular, al Corte Inglés o a Chinchillas Asociadas. Se pueden falsificar páginas web, trucar programas o aprovechar bugs, y es por eso que -dicen los defensores del comercio electrónico- es preciso un sistema de certificación digital. Pero ¿quién vigila que los certificadores certifican adecuadamente? Por lo menos, los notarios han de hacer oposiciones y ven a sus clientes cara a cara. Es el tipo de cosas que le hacen perder a uno la fe. Le convencen de que usar Internet como centro comercial virtual es bueno, seguro y adelgaza, y zas, toma del frasco. Y ya saben, gato escaldado...

Resulta cuando menos irónico que, con tanta parafernalia digital, tanta clave pública y tanto algoritmo RSA, al final sea una llamada a un humano la que te saca de dudas. No sé si el Popular acabará revelando la verdad de lo ocurrido, porque la verdad, eso de que un hacker pueda suplantarles sin más que comprar un certificado es algo muy gordo. Y, si dicen la verdad, a ver quién se fía ahora del comercio electrónico.

Buen papelón para eso que llaman Sociedad de la Información. Y es que los nuevos mercaderes digitales siguen sin darse cuenta de que Internet nació como una red cuya propiedad principal no es la seguridad, sino la robustez. El sistema diseñado para sobrevivir a un ataque nuclear no es necesariamente el más resistente contra ataques de piratas. Los timos contra el Popular y otros bancos que se han dado en días recientes, cuando menos, han logrado el efecto de recordarnos lo que era Internet en sus orígenes, antes de que los comerciantes y las gentes del orden se intentasen robárnosla.

Pero no se preocupen, que seguirán intentándolo. Primero era la LSSI la que iba a dar confianza y seguridad. Luego sería la Ley de Firma Electrónica la que daría seguridad y confianza. Dentro de nada nos obligarán a llevar DNI biométricos, y nos dirán que es para dar confianza y seguridad. Y, mientras tanto, los listillos de turno se aprovecharán de la "ingeniería social" para atacar el punto más vulnerable del sistema: el ser humano.



© Arturo Quirantes Sierra.  Algunos derechos reservados según Licencia Creative Commons