Durante un experimento sobre fallos en seguridad informática y bancaria, un profesor noruego y sus alumnos realizaron pruebas para ver el funcionamiento del phishing, el fraude online relacionado con el robo de claves de acceso a cuentas bancarias. Para ello utilizaron sus propias cuentas con el fin de probar los fallos en los sistemas de seguridad de los bancos. Los ataques informáticos se realizaron durante nueve meses y la principal técnica usada fue el phishing.

Kjell J. Hole, catedrático de la Universidad de Bergen al sur de Noruega y sus estudiantes de doctorado han realizado ataques informáticos a bancos de este país que operan por Internet para demostrar los problemas de seguridad de estos sistemas, según un informe en Computer World.

Durante 9 meses, Hole y su equipo sabotearon de forma continua el sistema de dos bancos donde tenían cuentas mediante la práctica que consiste en el envío masivo de mensajes electrónicos que fingen ser oficiales y que buscan hacerse con información del usuario, en este caso, con su identificador electrónico.

“La seguridad mediante autenticación es muy débil, hemos demostrado que es posible robar la identidad. Para ello, sólo hemos necesitado pensar como criminales y utilizar técnicas de ataque conocidas”, declaró Hole a la edición noruega de esta revista informática.

Hole, que trabaja en el Centro de Investigación para Teoría de los Códigos y Criptología de la Universidad de Bergen, señaló que había informado a la Oficina de Estandarización de Bancos (BSK) y a las propias entidades bancarias del déficit de seguridad desde el inicio de su investigación y que realizó los ataques porque no le hicieron caso.

Hole y su grupo, que utilizaron sólo sus propias cuentas, realizaron durante esos meses varias demostraciones ante expertos de seguridad para probar los fallos del sistema, a pesar de que las autoridades habían asegurado en marzo que el problema estaba solucionado. Uno de sus estudiantes ideó además en sólo 100 horas de trabajo un código para sabotear las soluciones de los bancos digitales, según la revista.

Tanto el Centro Noruego para Seguridad en la Información (NorSIS) como la entidad encargada de emitir los identificadores y controlar la seguridad del sistema rechazaron los métodos de Hole por su supuesta falta de ética y avisaron de posibles acciones legales contra él y su equipo.

Lo que también llama la atención de muchos internautas y lectores de la revista es como se pudo considerar riguroso un estudio sobre phishing cuando los emails que buscan engañar a personas incautas sin ningun tipo de formación en seguridad informática, eran enviados entre los propios alumnos y el profesor; de no ser asi, se implicaria a terceros y no se usarian ni las propias cuentas ni los propios correos, lo cual seria ilegal.