Un internauta bien informado es prácticamente invulnerable al fraude

Es lo que dice D. Víctor Domingo, de la Asociación de Internautas, en una entrevista concedida a Yahoo!

¿Qué opino yo? Yo creo que nadie es invulnerable al phishing. No quiero abrir un flame con D. Víctor, una persona que goza de mis máximos respetos, así que asumo que el titular es la típica coletilla periodística que a alguien se le ha escapado, sin mala intención. Así que, explicado esto, me gustaría sumarme a la opinión de Víctor, pero matizando esa frase. La convertiría en algo así:

Un usuario muy bien informado y documentado es prácticamente invulnerable al fraude

¿Y por qué hago esta argumentación? Quizás por la tremenda especialización del fraude, que hace que cada día sea más complejo analizar nuestro propio estado de vulnerabilidad. Ya no basta con estar formado. Hay que estar demasiado bien formado.

Cualquier usuario que cumpla con los siguientes requisitos, será, con toda probabilidad, inmune a los fraudes:

• Conocer perfectamente las tipologías de amenaza emitidas por correo, así como la identificación total de las mismas. Es deseable apoyarse en algún sistema de gestión de correo eficaz, del tipo antispam. Mucho mejor si el antispam empleado lo gobernamos nosotros mismos.
• Conocer perfectamente los sistemas de autenticación y ser conscientes de que hasta los más modernos sistemas antifraude pueden ser explotados.
• Operar con un sistema que no sea Microsoft Windows, ya que los troyanos bancarios se fabrican al 99,9% para explotación en entornos Windows. No conozco ningún troyano bancario para UNIX (no son rentables, luego no se «comercializan»)
• Operar con un sistema Windows, pero tener claro cómo autodiagnosticar posibles fuentes de problemas: por citar algunos ejemplos, cómo monitorizar el sistema, cómo atajar los rootkits, emplear navegadores y clientres de correo que no favorezcan la contaminación con malware … en definitiva, tener un conocimiento avanzado sobre la gestión de un entorno y aplicaciones Microsoft.
• Tener claro que ninguna solución antivirus, ninguna, ni ha detectado el 100% de amenazas, ni las detecta ni las detectará. Aunque tengas 15 motores corriendo a la vez, una variante personalizada de un troyano va a saltarse tu antivirus sin que se emita alerta alguna. Incluso en algunas soluciones heurísticas, y es que los que fabrican malware saben lo que hacen y lo hacen a conciencia. El fraude no es diversión de script kiddies, es crimen organizado. Los antivirus son un buen complemento a la seguridad, pero no suponen en ningún caso la solución completa a la seguridad.
• Asumir que cualquiera puede despistarse y ser una víctima. Nada peor que ir de confiado por la vida, especialmente en seguridad. Los sobraos son los que siempre meten la pata primero. Y no lo digo por el Sr. Domingo, que conste :), me refiero a esas personas que confían demasiado en su capacidad y se creen invulnerables. Son los que hacen más ruído al caer.

Si se dan todos esos factores, es posible que el usuario no sufra nunca un problema de robo de credenciales. ¿Cuál es el problema? Sencillo, ese perfil no es el perfil de cualquier usuario, D. Víctor. Ya quisiéramos todos los que andamos metidos en el ajo de la lucha contra el fraude.

Por cierto, felicidades por la campaña :)