Hasta el momento las entidades bancarias (y las cajas) estaban más o menos tranquilas puesto que en caso de ataques de phishing se defendían con las cláusulas que hacen responsable a los usuarios del uso y la custodia de las claves personales. Esta situación puede cambiar (a falta de una sentencia firme) tras la Sentencia del Juzgado de Primera Instancia nº 2 de Castellón, de 25 de Junio por la que se condena a una caja de ahorros a devolver el dinero que les fue sustraído a dos clientes por el método phishing.
Comentarios
No estoy deacuerdo del todo con este tema.
Si bien es cierto que la entidad bancaria tiene que poner todas medidas posibles para evitar el phising, no pueden responsabilizarse de lo que hagan sus clientes con sus claves (ya sea de forma consciente o inconsciente).
¿De quien es la culpa que al cliente le entre un troyano bancario que le capture las claves y luego el ladrón las use con fines ilícitos? Y digo el caso del troyano bancario por ser el más sofisticado. ¿A quien no le ha llegado un correo de alguien que se hace pasar por iBanesto, Caja Madrid o el banco que sea diciendo que como medida de seguridad y para que no te cancelen en acceso de internet a tu cuenta debes entrar en ella haciendo click en el enlace que te viene en el correo?
Ante casos como estos dos que he puesto los bancos no pueden hacer nada y no se les puede culpar por ello.
#1 Pues yo lo veo absurdo. Cuando es por negligencia del usuario no se puede hacer nada para evitarlo, si no es el phishing, será que tenía el numero pin escrito en la tarjeta o cualquier otro caso. Hay que informarse. En lo que si tienen responsabilidad las empresas en dar esa información al cliente aunque no la pida, que se deben presuponer que todos tienen dos dedos de frente.
Un juez que hace algo correcto!!
Estos problemas de seguridad no se resolverán mientras quién tiene los medios para resolverlos (las empresas) pueda pasarle los costes a otros (el cliente).
Pero cuando el coste es suyo, ya vereis cómo se espabilan.
Desde el punto de vista de la gestión de la seguridad, muy bien hecho, juez.
#4 La opción del móvil no me parece válida ya que no todo el mundo tiene un móvil.
La imagen que pones si no me equivoco es un token, bueno, podría ser una solución. Pero una solución igual es la de incorporar seguridad al inicio de sesión pidiendo al usuario que introduzca su DNI-e en un lector de tarjetas inteligentes que tenga el ordenador pero ahora viene cuando el usuario te dice... "Yo no me he sacado un certificado electrónico con el DNI porque no me hace falta para nada", "Yo no me compro un lector de tarjetas inteligentes para el pc porque no lo uso". Estas respuestas yo las he oído.
Es más, conozco a más de una persona cuya clave de acceso a la banca electrónica es 1234.
Lo primero que hay que hacer es concienciar al usuario en cuestiones de seguridad y luego hablaremos.
#4 Termina la frase que si no no tiene el mismo sentido Cuando es por negligencia del usuario no se puede hacer nada para evitarlo
No te prives del voto, es una forma de expresión más que no tiene mayor importancia. Y si además argumentas tus razones mejor que mejor.
#2 y #3 Os equivocais. Se puede verificar la transacción.
Si un cliente que nunca ha hecho transferencias al extranjero envia una transferencia de un euro (se hace para comprobar que las claves funcionan) y a continuación ordena una importante transferencia de fondos a Camboya ¿de verdad creeis que "el banco no puede hacer nada"? Yo creo que sí que puede.
También se pueden usar mejores métodos de claves que la clave única o las tarjetas con unas pocas docenas de números. Los bancos deberían usar esto:
http://graphics8.nytimes.com/images/2004/12/24/business/24online.jpg
Tenemos todos la solución perfecta en el bolsillo: Con sólo que se ligara un movil concreto a la autorización de operaciones por encima de una cierta cantidad bastaría y sobraría.
#2 los bancos no pueden hacer nada
#3 no se puede hacer nada
No suelo votar negativo casi nunca. pero me quedo con ganas de votaros negativo por lloricas.
Los bancos disponen de montones de medios para eliminar el phising, pero no lo van a hacer a menos que se les obligue, cómo ha hecho este juez.
¿Y cómo se hace para evitar fraude? Si yo ahora me hago una transferencia a mi cuenta de Suiza y le digo al banco que ha sido fishing, ¿me devuelven el dinero?
#7 Pruebalo.
- Hoygan, que acabo de hacer una transferencia con su web, que era fifing, ¿cuando me devolverán la pasta?
#5 ¿sabes lo que realmente funcionaría? Una aplicación que compruebe automáticamente el certificado https del banco cuando aparezca una página web que contenga, por ejemplo, el nombre del banco y suelte un aviso enorme.
Las instrucciones serían: Instale esto en todos los PCS que vaya a usar para conectarse a su cuenta o no nos hacemos responsables si pierde su dinero.
La gracia está en que el banco "obligue" a instalarlo a los inacutos.
Los que se preocupan del tema, ya saben cuidarse solos.
http://www.cs.cmu.edu/~perspectives/index.html