Baquia, nuevas tecnologias y negocios

En la Edad Media, una orden cristiana, los Templarios, fueron los inventores de un sistema para poder desplazarse a Tierra Santa sin dinero en efectivo, un concepto similar a lo que hoy sería el de una tarjeta bancaria. No es que desarrollaran la banda magnética, ni que inventaran los polímeros plásticos, pero sí un documento mediante el que se puede recuperar dinero en un sitio distinto al que se depositó. Fue un importante avance en su tiempo.

Hoy en día la filosofía de las tarjetas de crédito sigue siendo muy similar. Podemos desplazarnos a distintos sitios sin necesidad de llevar dinero, aunque el desplazamiento sea hasta la tienda más cercana. Ese documento, la tarjeta acredita que el comerciante podrá cobrar a la persona que lo porta, quien tiene una determinada cantidad de dinero que le respalda.

Tal y como los templarios exigían, es necesario que el portador se identifique de alguna manera. Hoy en día la identificación telemática es compleja (por lo menos más que un simple anillo, que les bastaba a los templarios), y este es el principal problema que tienen los usuarios de las tarjetas: no existe conciencia de la importancia de la validación personal a la hora de utilizar la tarjeta de crédito.

En una tarjeta de crédito existen varios sistemas de seguridad, que en muchos casos pasan desapercibidos por los usuarios. Los más utilizados son tres conjuntos de números que deben mantenerse en secreto (sobre todo el PIN, o número de identificación del usuario).

La seguridad 100%, como siempre, es imposible de alcanzar. Por muchos sistemas de seguridad que se empleen, siempre existirá la posibilidad de que nos “copien” la tarjeta mediante un lector de bandas magnéticas, o muchas otras amenazas cada vez más complejas. Dentro de estas amenazas, sin duda las que están produciendo cada vez más perjuicios para los usuarios son las relacionadas con es el uso masivo de tarjetas de crédito para compras por Internet.

Cada vez que tecleamos nuestros códigos de identificación para comprar algo en Internet, esos códigos viajan por la Red y pueden ser interceptados por usuarios maliciosos. Para ello, existen varias maneras de capturar electrónicamente los datos:

• Man-in-the-middle (hombre en el medio). Mediante esta técnica, el ladrón de los datos intercepta la comunicación entre el usuario y el sitio web real, actuando a modo de proxy. De esta manera, es capaz de escuchar toda la comunicación entre ambos. Para que tenga éxito, debe ser capaz de redirigir al cliente hacia su proxy en vez de hacia el servidor real. Existen diversas técnicas para conseguirlo, como por ejemplo los proxies transparentes, el DNS Cache Poisoning o envenenamiento de caché DNS (Domain Name Server, Servidor de Nombres de Dominio), y la ofuscación del URL.
• Aprovechamiento de vulnerabilidades de tipo Cross-Site Scripting en un sitio web, que permiten simular una página web segura de una entidad bancaria, sin que el usuario pueda detectar anomalías en la dirección ni en el certificado de seguridad que aparece en el navegador.
• Aprovechamiento de vulnerabilidades del navegador en el cliente, que permiten mediante el uso de exploits falsear la dirección que aparece en el navegador. De esta manera, se podría redirigir el navegador a un sitio fraudulento, mientras que en la barra de direcciones del navegador se mostraría la URL del sitio de confianza. Mediante esta técnica, también es posible falsear las ventanas pop-up abiertas desde una página web auténtica.
• Algunos ataques de este tipo también hacen uso de exploits en sitios web fraudulentos que, aprovechando alguna vulnerabilidad, permiten descargar troyanos de tipo keylogger que robarán información confidencial del usuario.
• Otra técnica más sofisticada es la denominada pharming. Se trata de una táctica fraudulenta que consiste en cambiar los contenidos del DNS, ya sea a través de la configuración del protocolo TCP/IP o del archivo lmhost (que actúa como una caché local de nombres de servidores), para redirigir los navegadores a páginas falsas en lugar de las auténticas cuando el usuario accede a las mismas a través de su navegador. Además, en caso de que el usuario afectado por el pharming navegue a través de un proxy para garantizar su anonimato, la resolución de nombres del DNS del proxy puede verse afectada de forma que todos los usuarios que lo utilicen sean conducidos al servidor falso en lugar del legítimo.

Pero cualquiera de estos sistemas de robo de datos necesitan de una capacidad técnica de programación y de conocimientos que no siempre están al alcance de todo el mundo. Así que lo más sencillo para conseguir los datos de una tarjeta de crédito es engañar directamente al usuario, mediante la técnica llamada phishing Esta técnica consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.

A pesar de este desolador panorama, las tecnologías actuales han evolucionado lo suficiente como para evitar la salida de un ordenador de determinados datos. Al igual que se puede prevenir la entrada de virus en un sistema analizando la información entrante, se puede vigilar la información saliente para evitar que los usuarios, en un descuido, puedan equivocarse.

El robo de información personal en un ordenador, tan peligroso cuando son datos sobre bancos, puede ser evitado. Si los usuarios instalan suites de seguridad completas, efectivas e inteligentes, ningún número secreto caerá en manos de usuarios remotos. Ahora solamente queda guardar la tarjeta en un lugar seguro: como alguien dijo, “No busques en la tecnología soluciones a la seguridad física”.