jueves, diciembre 20, 2007

Estudio sobre usuarios y entidades públicas y privadas afectadas por la práctica phishing



El Instituto Nacional de Tecnologías de la Comunicación, INTECO, ha hecho público los resultados del Estudio sobre usuarios y entidades públicas y privadas afectadas por la práctica fraudulenta del phishing, que se basa en los datos obtenidos a partir de las opiniones y percepciones de los usuarios españoles de Internet. Los datos han sido recogidos a través de 3.076 encuestas realizadas a usuarios de Internet de todo el territorio nacional durante el mes de abril.
El trabajo sintetiza, por vez primera en España, la opinión consensuada de 40 expertos de los distintos sectores de actividad afectados por estas prácticas fraudulentas: entidades financieras y otras empresas prestadoras de servicios a través de Internet, entidades de medios de pago, fabricantes y proveedores de soluciones de seguridad, operadores de telecomunicaciones, Administración Públicas, Fuerzas y Cuerpos de Seguridad del Estado, abogados, juristas y expertos en Derecho, y asociaciones de consumidores y usuarios, integrando sus propuestas y recomendaciones.



Según las conclusiones del estudio, las estafas tradicionales se han trasladado a la red y los ciberdelincuentes operan con acciones como el phishing o fraude online, técnicas de ingeniería social o picaresca, en las que se suplanta la identidad de una organización conocida (banco, organismo o empresa) a través de medios telemáticos (correo electrónico, mensajes sms, llamadas telefónicas, webs falsas).

El engaño comienza con la petición al usuario de una serie de datos personales alegando algún motivo de seguridad o fallo en el sistema de seguridad de la entidad que los solicita, responde facilitando sus datos personales, siendo estos posteriormente utilizados con una finalidad espuria. Al igual que en la estafa tradicional, la sutileza b en el engaño y el empleo de nuevas técnicas son empleados por los ciberdelincuentes para rentabilizar sus estafas.

En España, el 29,9 % de los usuarios de Internet reconoce haber sido objeto de algún intento de fraude a través de la Red, aunque sólo el 2,1% declara haber sufrido pérdidas económicas. Los resultados del estudio ofrecen como dato particular un daño medio cuantificado de 593€. No obstante, en algo más de 2 de cada 3 fraudes online el perjuicio económico no supera los 400€ y un 24,8% no alcanza los 50€. Esta cuantía, relativamente escasa, de los fraudes contribuye a que en muchas ocasiones no sean detectados por el usuario y por tanto no sean denunciados.

Más allá de las pérdidas monetarias, se pueden producir otras importantes, como la pérdida efectiva de clientes y la pérdida de imagen corporativa y de marca. De otro lado, dentro del impacto social que provoca este fraude a través de Internet, uno de los efectos negativos del phishing es el freno que supone al desarrollo de una economía basada, cada vez más, en transacciones electrónicas, limitando la entrada de nuevos usuarios a los servicios online.

Sin embargo, el estudio muestra que ante un intento de fraude los usuarios españoles siguen confiando en Internet: el 80% no cambia sus hábitos de uso de banca online y un 73,1% continúa comprando a través de la Red.Más aún, incluso cuando el intento de fraude online conlleva un perjuicio económico no se produce un abandono masivo de los servicios: un 52,4% de los usuarios de banca y un 31,9% de compra online no alteran su comportamiento. Según el estudio del Observatorio de la Seguridad de la Información, el hecho de que los usuarios no modifiquen sus costumbres en, a pesar de sentirse inseguros, se debe a que los servicios que efectúan a través de la red forman parte de su estilo de vida y no pueden prescindir de ellos, valorándose más las ventajas que dichos servicios aportan que los posibles problemas.

Las recomendaciones que da el estudio a los usuarios para protegerse de los fraudes online son:

1. Sea precavido y no confíe “a ciegas”. Es el mejor seguro para no ser víctima del phishing y otros fraudes online.


2. Sospeche de los mensajes escritos en otros idiomas y que contengan faltas ortográficas y gramaticales.


3. Procure, en todo caso, realizar sus transacciones electrónicas desde un ordenador confiable para usted. Evite realizar estas operaciones desde un ordenador público, principalmente cuando sea preciso introducir claves privadas.


4. Mantenga protegido su equipo. Actualice el navegador y el antivirus e instale los últimos parches de seguridad.


5. Entre en el sitio web de su entidad financiera tecleando la dirección en su navegador. No acceda a través de enlaces que reciba en un correo electrónico.


6. Su entidad bancaria o caja de ahorros jamás le solicitará su clave/s por correo electrónico. Nunca facilite esta/s a terceros por teléfono o fax.


7. Compruebe con regularidad el estado de su cuenta bancaria.


8. Si cae en la trampa de un correo electrónico fraudulento pinchando en el enlace que contiene será redirigido a un sitio web casi idéntico al de su banco. En ese momento será inteligente por su parte comprobar, de un lado, la dirección https que nos asegura que los datos que enviemos estarán protegidos y utilizarán un canal seguro. Si la “S” no aparece debe desconfiar. De otro lado, las entidades financieras legales utilizan los llamados certificados de seguridad que aparecen representados con un “candado amarillo” en la parte inferior de su navegador y que vienen a significar que el propietario de esa página es quién dice ser.


9. Actualice sus contraseñas, no las comparta y evite dejarlas escritas.


10. No responda impulsivamente a correos electrónicos que le ofrecen la panacea. Nadie da todo por nada.


11. Si se recibe un mensaje que solicita información de carácter personal, no hay que responder, y ni siquiera hacer clic en él.


12. No conviene enviar información personal o financiera a través del correo electrónico. Y hay que comprobar los estados bancarios según se reciban.

Fuente:
http://sociedaddelainformacion.wordpress.com/2007/11/02/estudio-sobre-usuarios-y-entidades-publicas-y-privadas-afectadas-por-la-practica-fraudulenta-del-phishing-de-inteco/
http://www.inteco.es/frontinteco/files/frontIntecoAction.do?action=getFile&fileID=1000026060

No hay comentarios: