Banca en red: picar o no picar

Las páginas 'web' se han convertido en un complemento perfecto para la ventanilla del banco. Pero los cacos también saben navegar. Nuevas modalidades de fraude, como el 'phising', exigen al cliente la máxima cautela.

El verano pasado no fue divertido para algunos clientes de Caixa Galicia. Una mafia se gastó miles de euros de sus cuentas a través de Internet. El banco nunca confesó el monto.

Los ataques de crackers a la banca on line suelen ocultarse para salvar la reputación de la entidad, pero a veces es el cracker quien denuncia. Hace un año, un joven holandés mostró a los medios qué facil era entrar en tres de los cuatro grandes bancos de su país, por un error de sus servidores.

"Los 'crackers' han hecho de todo en los bancos on line, pero sólo unos pocos se han llevado dinero", explica Madfran, del grupo hacker español SET. "Si das una orden de transferencia para quedarte el dinero, quedas retratado en todos los puntos de destino, a no ser que organices un complejo sistema de enlaces entre cuentas". Según Madfran, "en un muestreo rápido hecho en España, de seis bancos, dos permiten a alguien con paciencia espiar el identificador y la contraseña de los clientes".

La mayoría de los sistemas de autentificación de las entidades financieras españolas usa contraseña, mientras en el norte de Europa usan lectores de tarjeta. "Lo menos seguro", sostiene Madfran, "es el DNI, que se puede robar o averiguar".

Según un estudio de 2003 de Deloitte & Touche, el 40% de los principales bancos sufrió al menos un ataque en 2002. Al preguntar a los bancos si confían en sus sistemas, sólo el 48% lo afirma con rotundidad. Recientemente, el profesor australiano Bill Caelli declaraba: "Los PC no se diseñaron para hacer operaciones bancarias. No los usen, no son seguros".

El primer fraude a un banco on line fue en 1994. El hacker ruso Vladímir Levin se transfirió 10 millones de euros de diversas cuentas de Citibank. Levin fue condenado a tres años de cárcel. Había usado contraseñas y códigos de los clientes, el enlace más débil de la cadena. Los delincuentes lo saben y les bombardean con virus y mails en que les piden su contraseña y número de tarjeta. Esta práctica, phising, es lo último: mensajes masivos, que parecen de un banco, instan al cliente a ir a una web falsa e introducir en ella sus datos.

VSAntivirus pide cautela ante los mensajes que dicen ser de bancos. En un sitio fiable la dirección empieza con https: y hay un candado amarillo en el rincón inferior derecho del navegador. Un doble clic sobre él muestra el certificado de autoridad. Debe ser vigente, válido y mostrar el nombre del banco. Si surge una duda, lo mejor es llamar a la institución.