Está claro que las redes sociales no están exentas de los ataques de phishing, y este largo fin de semana, twitter, la herramienta de microblogging y comunicación por excelencia, ha recibido un fuerte ataque de phishing, tal y como han publicado en su propio blog. Mediante este ataque el usuario de twitter recibe un mensaje Directo (DM) de otro usuario de twitter que le invita a acudir a una web y psoteriormente le redirige a una copia de la web de inicio de twitter para que vuelva a introducir usuario y contraseña.

Tened cuidado allí afuera!

Estos días junto con el SPAM, los casos de “phishing” tristemente habituales, se están enviando e-mails en nombre de empresas de registro de nombres de dominio como Enom o Networksolutions en el que se informa que el dominio va a caducar o cualquier otro tipo de información que hace que se acuda rápidamente a la dirección que nos indican. Estos correos son del estilo:

Dear Network Solutions Customer,

We recently notified you that the registration period for your Network Solutions domain name had expired. As a benefit of having previously registered a domain name(s) with Network Solutions, you are eligible to receive a percentage of the net proceeds that were generated from the renewal and transfer of the domain name you chose not to renew. Since you have chosen not to renew the domain name listed below during the applicable grace period, we were successful in securing a backorder for this domain name on your behalf and it has been transferred to another party in accordance with the Service Agreement.

Renew your domain now – http://www.networksolutions.com

You must click on the following link, enter your domain name, and confirm your contact information in order to claim these funds. If your contact information is not correct, you must enter Account Manager and make the appropriate changes prior to clicking “submit” from the confirmation screen. If you do not do this, you will be confirming inaccurate information and will not receive any payment. Checks will only be made payable and mailed to the Account Holder of record.

Sincerely,

Sí, pinchamos en la URL indicada, la misma nos redirige a una dirección que se parece pero que no es la de Ntworksolutions (en este caso de fraude), en el mejor de los casos el propio navegador nos avisará que nos encontramos ante una página peligrosa. Si nos fijamos en la URL veremos que:

¡Exacto! realmente es un .mobi, que si bien es idéntica a la página original, no es la web de la empresa que dice ser:

Por ello, siempre las recomendaciones en este caso son las mismas que para el phishing, fijarse bien, y no introducir nunca los usuarios y las contraseñas que nos solicitan desde correos electrónicos, a no ser que estemos muy seguros que realmente son quienes dicen ser.

En la pasada edición de ENISE organizada por INTECO se debatió el primer día sobre la banca on-line, desde una perspectiva de la seguridad y la confianza en el usuario. A mi juicio quedó patente la preocupación por las entidades bancarias por el crecimiento y sofisticación de los ataques, sobre todo del “phishing” siendo uno de los mayores peligros en la actualidad en lo que a seguridad de la banca on-line se refiere. Asimismo, se comentó la necesidad de una mayor concienciación, o más bien de una mayor sensibilización y educación a los usuarios, sin olvidarse de aplicar mayores medidas de seguridad a los sistemas de banca on-line. Por mi parte, considero que los bancos están muy cómodos con los sistemas actuales de contraseñas y tarjetas de “barcos”, puesto que el usuario ya se los conoce y ha aprendido a utilizarlos, pero que los propios bancos no quieren (aunque ya lo tengan preparado) usar sistemas de firma electrónica reconocida (o el DNI electrónico) o avanzada por el peligro que ello conlleva en falta de conocimiento del usuario, etc.

Asimismo, hasta el momento las entidades bancarias (y las cajas) estaban más o menos tranquilas (sin entrar a valorar realmente los daños que esto les genera en imágen y la falta de denuncia de dichos casos como así lo pone de manifiesto las pocas reclamaciones en el servicio de reclamaciones del Banco de España en la materia) puesto que en caso de ataques de “phishing” consideraban que las cláusulas de los contratos de servicios financieros les protegían, al considerar que estos ataques al final se defendían con las cláusulas que hacen responsable a los usuarios del uso y la custodia de las claves personales.

Esta situación puede cambiar (a falta de una sentencia firme) tras la Sentencia del Juzgado de Primera Instancia nº 2 de Castellón, de 25 de Junio por la que se condena a una caja de ahorros a devolver el dinero que les fue sustraído a dos clientes, que aseguraban no haber dado sus claves a través de la banca electrónica. El Juzgado de Castellón entiende que este tipo de claúsulas incluídas en los contratos de la banca on-line:

Las claves facilitadas por *****, que podrán ser modificadas por los usuarios en cualquier momento, no deberán ser conocidas por otras personas, y los usuarios se responsabilizan de la utilización personal e intransferible de las mismas y de no facilitar a terceros dichas claves secretas o anotarlas en un lugar de fácil acceso a terceros. ***** queda exonerada de cualquier responsabilidad derivada de la utilización fraudulenta de las claves de identificación por culpa o negligencia de los usuarios.

Estas cláusulas infringen la normativa sobre usuarios y consumidores:

Ciertamente, y como dice la SAP de Madrid, Sección 13ª, de 11 de febrero de 2005, las referidas cláusulas desplazan la responsabilidad que incumbe al Banco hacia su cliente que no ha tenido ninguna participación en el daño causado, infringiendo así lo contemplada en la cláusula 14 de la Disposición Adicional primera de la Ley General para la Defensa de Consumidores y Usuarios en cuanto impone limitación de los derechos del consumidor.

En efecto, no es dado imponer al consumidor la renuncia indiscriminada al derecho que le pueda asistir para reclamar, frente a la entidad que le proporciona los medios técnicos necesarios para una mejor o más cómoda prestación de sus servicios, en aquellos supuestos en los que, no mereciendo la consideración de caso fortuito o fuerza mayor así como los efectivamente no imputables a la propia entidad bancaria, le ocasionen daños y/o perjuicios.

Asimismo, el Juzgado tiene en consideración el informe que el Servicio de Reclamaciones del Banco de España dictó para este caso, en el que el Servicio entiende que la entidad bancaria no ofreció una información clara y precisa sobre las recomendaciones de seguridad que debe emplear cada vez que se accede a la banca on-line:

Y si bien es cierto que ese Servicio no tiene competencia para determinar las consecuencias que de los pactos, cláusulas y condiciones establecidos en el ámbito de las relaciones regidas por normas de derecho privado puedan derivarse, ya que es competencia exclusiva de los tribunales de justicia la resolución de las discrepancias que puedan producirse de las relaciones mercantiles entre las partes, pero sí es un dato más a tener en cuenta en esta jurisdicción civil (donde ahora se han planteado cuestiones concernientes a las relaciones contractuales entre las partes) el hecho de que dicho organismo, tras examinar la documentación aportada al expediente por las partes, no haya podido constatar que la entidad hubiera ofrecido a su cliente una información clara y precisa sobre las recomendaciones de seguridad que debe emplear cada vez que accede al uso de la línea electrónica.