[hackmeeting] Perdiendo la Fe

Arturo Quirantes aquiran en ugr.es
Vie Ene 16 00:10:04 CET 2004 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

        PERDIENDO LA FE

        Arturo Quirantes Sierra

        Hola,  soy  Arturo  Quirantes,  director General del BBVA. Tengo
acceso  a  unos millones de euros en dinero negro, colocados en un banco
de  la isla jersey. Por favor, ayúdeme a sacarlos de allí, y a cambio le
daré  un porcentaje. Todo lo que necesito es su número de cuenta, el PIN
de su tarjeta y el teléfono de su novia...

        Está  bien,  reconozco  que  no  he sonado muy convincente. Pero
apuesto  a  que  no  ha  sido  el  primer timo que ha recibido usted por
Internet.  Ni  será  el  último. Estamos ya acostumbrados a todo tipo de
listillos  que quieren sacarnos las pelas. El último timo ha sido el del
Popular. Puede que usted lo haya recibido. Un buen número de Internautas
recibieron el siguiente mensaje recientemente:

"iQuerido y apreciado usuario de Grupo Banco!

Como  parte  nuestro  servicio de proteccion de su cuenta y reduccion de
fraudes  en nuestro sitio web, estamos pasando un periodo de revision de
nuestras  cuentas  de usuario. Le rogamos visite nuestro sitio siguiendo
link   dado   abajo.  Esto  es  requerido  para  que  podamos  continuar
ofreciendole  un entorno seguro y libre de riesgos para enviar y recibir
dinero  en  linea,  manteniendo la experincia de Grupo Banco.Despues del
periodo  de  verificacion,  sera  redireccionado a la pagina principa de
Grupo                           Banco.                          Gracias.
https://www2.bancopopular.es/AppBPE/servlet/servin?p_pm=bo&p_pf=c&p_id=esp
"

        Yo, cuando lo leí, me olió a timo. Para empezar, no tengo cuenta
en  el  Popular. Luego me mosqueó eso de "Grupo Banco". Y, por supuesto,
eso  de  que  le pidan a uno enviar sus datos de cliente a través de una
línea insegura era la puntilla. Todo el mensaje sonaba tan falso como el
de  ese  exministro  de  Nigeria  que  se  ha quedado tirado por ahí con
nosecuantos millones de petrodólares.

        Pero  me  llamó  la  atención,  porque este timo estaba muy bien
hecho.  La  propia  página -verdadera- del Banco Popular tenía un enlace
hacia  esa  página,  que  había sido hackeada. Lo que es peor, la página
falsa  era  del tipo "seguro" (https), es decir, que va cifrada mediante
algoritmos de encriptación de 128 bits.

        Según  la  versión  oficial  que  nos  han  contado,  el  pirata
aprovechó   un   fallo  del  Internet  Explorer,  la  página  falsa  fue
prontamente  bloqueada,  las  cosas  volvieron  a  su cauce y aquí no ha
pasado  nada;  salvo,  quizá  por  los  que  picaron.  La cara B de esta
historia  tiene  más  temas.  En  primer lugar, el problema no lo vieron
solamente los usuarios de Explorer. Yo lo tuve con el Netscape 7.0, y he
oido que el fallo también afecta a una versión de Mozilla.

        Y ahora viene el tema estrella de esta banda sonora. Según todos
los  entendidos,  esto  se  hubiera  evitado con un certificado digital.
Camerfirma,  por ejemplo, tardó poco en sacar pecho y afirmar que así se
hubiera  evitado el fraude. Bien, pues sorpréndanse: la página web falsa
tenía  un  certificado  digital  en  regla,  emitido por Verisign ... !a
nombre de Banco Popular Español!

        Es  decir,  el  pirata  no  se  limitó  a simular una página y a
aprovechar  un  fallo  en  los  programas, sino que se hizo pasar por el
Popular, compró un certificado digital de pega y engañó a todo el mundo.
Y  es  que  un  certificado  digital  no  sirve  de nada si el emisor no
comprueba  que  se lo está dando a la persona adecuada. Es como los DNI:
si  yo  voy  a  renovarlo  con una fotografía de Leonardo di Caprio y el
funcionario  de  turno me lo sella sin siquiera mirarlo, ¿para qué sirve
salvo quizá para ligar en un bar?

        La  verdad,  este  tipo  de  cosas  le dejan a uno planchado. Se
supone  que  la  certificación digital permitirá el comercio electrónico
seguro,  ya  que  el notario digital de turno se supone que da fe de que
esa  página  realmente  pertenece  al Banco Popular, al Corte Inglés o a
Chinchillas   Asociadas.   Se  pueden  falsificar  páginas  web,  trucar
programas  o aprovechar bugs, y es por eso que -dicen los defensores del
comercio  electrónico-  es  preciso un sistema de certificación digital.
Pero  ¿quién vigila que los certificadores certifican adecuadamente? Por
lo  menos,  los  notarios  han de hacer oposiciones y ven a sus clientes
cara  a  cara.  Es  el tipo de cosas que le hacen perder a uno la fe. Le
convencen  de  que usar Internet como centro comercial virtual es bueno,
seguro y adelgaza, y zas, toma del frasco. Y ya saben, gato escaldado...

        Resulta   cuando  menos  irónico  que,  con  tanta  parafernalia
digital,  tanta  clave  pública  y tanto algoritmo RSA, al final sea una
llamada a un humano la que te saca de dudas. No sé si el Popular acabará
revelando  la  verdad  de  lo  ocurrido, porque la verdad, eso de que un
hacker pueda suplantarles sin más que comprar un certificado es algo muy
gordo.  Y,  si  dicen  la  verdad, a ver quién se fía ahora del comercio
electrónico.

        Buen  papelón  para eso que llaman Sociedad de la Información. Y
es  que  los  nuevos mercaderes digitales siguen sin darse cuenta de que
Internet nació como una red cuya propiedad principal no es la seguridad,
sino  la  robustez.  El  sistema  diseñado  para  sobrevivir a un ataque
nuclear  no  es  necesariamente  el  más  resistente  contra  ataques de
piratas.  Los  timos contra el Popular y otros bancos que se han dado en
días  recientes,  cuando  menos, han logrado el efecto de recordarnos lo
que  era  Internet  en sus orígenes, antes de que los comerciantes y las
gentes del orden se intentasen robárnosla.

        Pero  no se preocupen, que seguirán intentándolo. Primero era la
LSSI la que iba a dar confianza y seguridad. Luego sería la Ley de Firma
Electrónica  la  que  daría  seguridad  y  confianza. Dentro de nada nos
obligarán  a  llevar  DNI  biométricos,  y  nos  dirán  que  es para dar
confianza  y  seguridad.  Y,  mientras  tanto, los listillos de turno se
aprovecharán  de  la  "ingeniería  social"  para  atacar  el  punto  más
vulnerable del sistema: el ser humano.



==========================================================================
=
Tribuna Digital: http://www.ugr.es/~aquiran/cripto/tribuna.htm

Se permite la reproducción de este texto  sin  ánimo de lucro, citando
autor y procedencia. Queda prohibido todo uso lucrativo sin autorización
expresa  del  autor.  Email  de contacto: aquiran arroba ugr.es

(c) Arturo Quirantes Sierra  2004.
==========================================================================
=

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5i

iQA/AwUBQAcOkdPjg85OIDHsEQJPpgCg7hwa6siGUd6/3NSGYtVkFnfSi+kAn1du
pcnHpP3JU6LOVJMdMDuJnIWp
=3OH9
-----END PGP SIGNATURE-----

Más información sobre la lista de distribución HackMeeting