Estudio sobre usuarios y entidades públicas y privadas afectadas por la práctica fraudulenta del phishing de INTECO (II).

En una entrada anterior informaba del interesante y bien desarrollado estudio del Instituto Nacional de Tecnologías de la Comunicación, INTECO, sobre usuarios y entidades públicas y privadas afectadas por la práctica fraudulenta del phishing, ahora voy a reproducir las propuestas y recomedaciones que plantean los diferentes agentes para la lucha contra los fraudes online.

Los diferentes perfiles de expertos consultados durante la investigación cualitativa: entidades financieras, empresas prestadoras de servicios a través de Internet, medios de pago, fabricantes y proveedores de soluciones de seguridad, Administración Pública, Fuerzas y Cuerpos de Seguridad del Estado, abogados, juristas y expertos en Derecho, y asociaciones de consumidores y usuarios, proponen una serie de recomendaciones a los diferentes agentes implicados en el fenómeno del fraude a través de Internet:

Dirigidas a las entidades financieras y otras empresas prestadoras de servicios de Internet:

Con respecto a los bancos, cajas de ahorros y cooperativas de crédito la propuesta de recomendaciones generales se dirige a aunar esfuerzos en la lucha contra este fraude mediante la colaboración internacional con empresas del sector de la seguridad informática, operadoras de telecomunicaciones, gestores de nombres de dominio como Red.es o la ICANN, las Fuerzas y Cuerpos de Seguridad del Estado y los Equipos de Respuesta a Emergencias Informáticas gubernamentales (como el INTECO-CERT o el CCN-CERT).

Como recomendaciones de carácter avanzado merecen especial atención: la utilización de sistemas de autenticación fuerte (tarjetas de coordenadas y token de seguridad), la aplicación del modelo de negocio de las tarjetas de crédito, la implementación de reglas lógicas y de comportamiento, la instauración de avisos a móviles mediante mensajescortos (sms), etc.

En relación a las empresas prestadoras de servicios a través de Internet:

Los expertos proponen incidir en la seguridad como aspecto crítico para el negocio así como considerar los recursos destinados a proteger la seguridad de los sistemas de información como una inversión. La propuesta de recomendaciones avanzadas distingue entre recomendaciones de carácter técnico (la obligación de solicitar el código CVV2 en las transacciones con tarjetas de crédito, sistemas inteligentes de prevención del fraude, filtrado del tráfico, etc.) y de carácter organizacional (establecimiento de un Plan de Seguridad de la información, de Políticas de Prevención, un Plan de Formación y de Recuperación).

Dirigidas a los fabricantes y proveedores de servicios de seguridad informática:

La certificación del software ya que resulta recomendable que los productos que llegan a los usuarios cuenten con una certificación de seguridad que garantice que el software utilizado debe haber sido sometido previamente a pruebas capaces de avalar su seguridad por laboratorios independientes.

El desarrollo de estándares de seguridad para poder validar y contrastar los certificados digitales por parte de laboratorios especialistas en protección de datos. De esta forma, se podría homogeneizar todas las certificaciones digitales que existen en el mercado, para establecer un protocolo de seguridad común.

Mejorar las actuaciones por parte de los operadores para realizar un bloqueo de determinados servicios, como puede ser el bloqueo del correo de salida que puede ser fácilmente monitorizable a través de un filtro que controle el tráfico del puerto 25, para aquellas máquinas cuya IP se identifique asociada a un uso malicioso del servicio de correo, distribuyendo spam, malware y troyanos, o un control en el acceso a aquellas máquinas que alojan sitios fraudulentos.

Aplicación de políticas avanzadas de gestión de correo electrónico proporcionando por ejemplo un servicio de salida de correo electrónico cortado por defecto, obligando a que el envío de ese correo se valide por el servidor del proveedor (ISP), donde se puede instaurar un mayor control del flujo de comunicaciones con restricciones y medidas de seguridad contra el mal uso del correo electrónico y que, de esta forma, pueden resultar transparentes al usuario.

Dirigidas al Poder Judicial y los Cuerpos y Fuerzas de Seguridad del Estado:

Se orientan a la optimización operativa en la lucha contra el fraude por lo que se recomienda favorecer y estimular de forma activa la formación continua de jueces y fiscales sobre este tipo de delitos a través de la Escuela Judicial y el Centro de Estudios Jurídicos. Por otro lado es necesario formar a jueces y fuerzas de seguridad en un lenguaje común. Se hace especial hincapié en la cooperación policial y coordinación entre los distintos Cuerpos y Fuerzas de Seguridad del Estado y, de especial manera, con los jueces y tribunales así como con otros organismos de la Administración competentes en la materia. Para facilitar la persecución de este tipo de fraude, se propone que se instaure una Fiscalía y juzgados especiales para la instrucción de delitos informáticos.

Dirigidas al Estado y Administraciones públicas:

En su papel de tutelaje de los sistemas de información y comunicación a través de los distintos organismos públicos competentes (Jueces y Tribunales, Fuerzas y Cuerpos de Seguridad del Estado, Secretaria de Estado de Telecomunicaciones, Agencia Española de Protección de Datos, Red.es, Instituto Nacional de Tecnologías de la Comunicación, etc.)

Las recomendaciones que se proponen por los expertos a las autoridades se catalogan:

Punto de vista normativo:

a) instauración de una legislación que regule las transacciones comerciales y los flujos monetarios en la Red, exigiendo un sistema de autenticación fuerte (token de seguridad, DNI electrónico),

b) completar la norma LSSI-CE respecto ala obligación de conservar los datos por parte de los operadores,

c) la normalización de la protección del software,

d) la armonización legislativa a nivel europeo en la tipificación de delitos y procedimientos jurídicos.

Punto de vista ejecutivo y administrativo:

a) definición de un “superente” dentro de la Administración que aglutine funciones de asesoramiento al gobierno en materia legislativa, gestión de dominios, centro de alertas y respuesta a incidentes, con capacidad para proponer normativa, facultades de arbitraje y capacidad para establecer medidas cautelares y de persecución internacional;

b) coordinación y participación activa de la Administración con el resto de agentes intervinientes en el proceso, etc

Punto de vista formativo y divulgativo:

a) realización de un diagnóstico y seguimiento sobre el fraude online,

b) impulsar medidas de prevención destinadas a fomentar la concienciación de los usuarios en el buen uso de Internet a través de una formación e información,

c) impulsar la formación continua del usuario en temas relacionados con la seguridad en Internet (utilización de software legal, antivirus, actualización de las medidas de seguridad),

d) foro de encuentro y debate para todos los agentes.

Dirigidas a los usuarios y asociaciones de consumidores y usuarios:

Las recomendaciones generales que los expertos dirigen a este grupo de agentes tienen el objeto de evitar los ataques en sus dos principales lugares de origen:

a) en relación con la ingeniería social las propuestas de actuación van enfocadas a promover la utilización de la cautela y el sentido común por parte del usuario,

b) por lo que se refiere a las vulnerabilidades del sistema, los expertos insisten en mejorar la protección de nuestros sistemas así como mejorar los hábitos de seguridad de los usuarios.

Por lo que se refiere a las recomendaciones avanzadas cabe señalar la utilización del DNI electrónico como medida más valorada por los expertos, también se mencionan las tarjetas virtuales y de coordenadas, el filtrado de correo, etc.

Finaliza el informe destacando que para intentar paliar el problema de seguridad, es imprescindible la coordinación entre todos los agentes implicados. Ninguna solución es válida, si sólo se aborda desde un único ámbito, ya sea desde un punto de vista social, tecnológico o legal. La lucha contra el fraude en la Red, tiene que ser una prioridad de todos los implicados: usuario residencial, empresas y administración.

A pesar de este objetivo común, no es tarea fácil establecer acuerdos, y políticas consensuadas de actuación, ya que están presentes intereses, principalmente económicos e incluso políticos, que existen en Internet. Estos intereses, normalmente contrapuestos, entorpecen los esfuerzos de mejora de cara a solventar el problema.

La ausencia de una clara regulación del medio, y su dimensión internacional, contribuyen a todo este clima de confusión y falta de cooperación que los delincuentes aprovechan para obtener suculentas ganancias. Desde los diferentes agentes se reclama la presencia de una entidad pública que coordine las diferentes medidas, que cada uno parece estar adoptando por su cuenta y riesgo. Es necesario establecer un marco en el que se definan unas mínimas reglas de juego, en las que los participantes conozcan sus derechos y obligaciones.

Por otro lado, las medidas no se pueden establecer unilateralmente, es imprescindible una cooperación y un compromiso, al menos a nivel europeo. Esto incluye, en todo caso, la armonización de la legislación, tipificación, intercambio de información, procedimiento judicial, y actuación policial.

Por ello, finalmente, desde los diferentes agentes se reclama la presencia de una figura que dinamice todo el proceso de mejora de la seguridad en Internet: es necesario que este ente reúna, en un espacio imparcial, a todos los agentes y se aúnen esfuerzos en la misma dirección tanto preventivos como reactivos. Así, se considera que ha de ser la Administración, quien cumpla esa labor de tutelaje y coordinación.

En este sentido, el Instituto Nacional de Tecnologías de la Comunicación a través de sus tareas de diagnóstico, divulgación y asesoramiento, de la mano del Observatorio de la Seguridad de la Información, así como la prestación de servicios y la puesta en marcha de diferentes proyectos destinados a ciudadanos, empresas y administraciones en el campo de la seguridad tecnológica y de la información, como el Centro de Respuesta a Incidentes en Tecnologías de la Información para Pymes y Ciudadanos (INTECO-CERT) o el Centro Demostrador de Seguridad para Pymes, ha ido posicionándose como referente, nacional e internacional, en el ámbito de las Tecnologías de la Información y la Comunicación, en general, y de la Seguridad en Internet, en particular.

Anuncios

Un pensamiento en “Estudio sobre usuarios y entidades públicas y privadas afectadas por la práctica fraudulenta del phishing de INTECO (II).

  1. Hola, buenas tardes, Por favor si me puedes apoyar, yo tengo experiencia en prevenciòn de fraudes de tarjetas de crèdito y debito, pero no he podido colocarme, y veo que tu estas en el medio, te pido por favor sisabes de alguien que este requiriendo gente con experiencia me lo hagas saber. Si quieres que te apoyo¡n algùn articulo me habisas, GrACIAS, Saludos, Mi cel es 044 55 35541931

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s