comparte

Incluso el PEC está siendo atacado por piratas informáticos. Aquí te explicamos cómo proteger nuestro Domicilio Digital

El correo electrónico certificado se vuelve "europeo" también gracias a los nuevos sistemas de seguridad. Que cierran muchas brechas, pero lamentablemente abren otras. ¿Abandonar? No puede. ¿Mantenerse a salvo? Con un poco de atención es posible.

Incluso el PEC está siendo atacado por piratas informáticos. Aquí te explicamos cómo proteger nuestro Domicilio Digital

¡Ay de confiar! Incluso el PEC, el correo electrónico certificado teóricamente súper blindado, puede ser violado. Y si pensamos que el PEC es el punto de apoyo de nuestra identidad digital, debemos preocuparnos. Debemos y podemos actuar. Implementando una estrategia de defensa que, sin embargo, debe tener en cuenta todos los medios telemáticos que giran en torno a nuestra PEC.

El escenario es preocupante y los ataques se multiplican

Se suponía que SPID, Tarjeta de Identidad Electrónica (CIE) y PEC serían la combinación ganadora de nuestro futuro digital. O mejor dicho el nuestro hogar digital, dado que SPID y CIE (en el futuro sólo este último, en los planes del Gobierno de turno) sirven para reconocernos y validar oficialmente nuestro acceso a los portales de la administración pública y más allá, mientras que el PEC es el contenedor telemático donde podemos intercambiar información y documentos de manera teóricamente seguro y blindado.

Todo en tu PC (o móvil, o tablet), sin desplazamientos, sin colas, máxima seguridad y todo disponible al instante. Es verdad, es el futuro. Pero el presente nos obliga a una rodaje problemático. Nuestros hábitos deben adaptarse, cambiar, modernizarse. Pero las tecnologías y la Web tienen sus fantasmas. Y el camino a veces se descarrila. Hackers, espías, ladrones de datos, de identidades y -si quieren- de nuestras pertenencias. Las noticias están llenas de ellos. El hecho es que nuestro hogar digital es en riesgo.

Recién llega la noticia en la prensa y en la web de que en los últimos días muchos usuarios italianos de Spid han sido vulnerados por piratas informáticos, que afortunadamente sólo consiguieron robar los datos (por más sensibles que sean) de los propietarios y no las credenciales de acceso. Sin embargo, las credenciales están obligatoriamente protegidas para todos por un sistema validación de dos factores a través de nuestro ahora inseparable smartphone. Y sólo eso, especialmente validado para estas operaciones.

Para la PEC el asunto es diferente, más delicado, incluso más insidioso. Por dos razones. La primera: los usuarios normales del PEC, vigente desde hace muchos años, todavía están confiados en la mayoría de los casos a un sistema de validación de un solo paso, que ahora hay que considerar. rudimentario, o simplemente escribiendo el nombre de usuario y contraseña. Segunda razón: PEC está expuesto, a pesar de algunas barreras más, a muchos de los males del correo electrónico ordinario.

¿Lo que enviamos desde nuestro PEC activado periódicamente está estrictamente certificado como "equivalente" al contenido de una carta certificada? Sí. ¿Lo que recibimos es bueno? Sí, pero sólo si sabemos comprobar cuidadosamente la regularidad de las certificaciones relacionadas con el mensaje y la documentación entrante relacionada. Parece contradictorio pero es cierto.

Por qué y cómo el correo electrónico certificado puede contener engaño

Phishing (intentos de estafa para robar datos confidenciales o, peor aún, secuestrar prácticas comerciales fraudulentas), virus informáticos (a menudo para obtener lo que se intenta robar con phishing), todo para quizás implementar acciones reales. el robo de identidad por otros fraudes aún más graves. PEC no puede considerarse ileso. De hecho, puede sufrir los mismos males que afectan al correo electrónico normal. Porque quizás se trata de un correo electrónico normal disfrazado de PEC que se nos presenta como tal en nuestra dirección de PEC, o porque en realidad se trata de un PEC que, sin embargo, ha sido activado de forma fraudulenta: esto también sucede.

En el primer caso, el engaño aprovecha la posibilidad de que nuestro PEC no se limite sólo a la recepción de otros PEC sino que también esté abierto a la recepción de mensajes de correo electrónico ordinarios: opción que existe en prácticamente todos los servicios de PEC, con la posibilidad de elegir uno u otro modo. En el segundo caso el obligaciones proporcionar los datos esenciales del titular del PEC al activar el servicio puede no ser tan riguroso como sería obligatorio a pesar de los procedimientos de certificación de los proveedores. También en este caso, un ladrón de identidad experto puede lograr activar un buzón de correo PEC aparentemente normal, quizás en nombre de un ciudadano desprevenido, utilizándolo con fines fraudulentos.

Por poner sólo un ejemplo, los mensajes disfrazados de correos electrónicos certificados ahora son cíclicos en nombre de la Agencia Tributaria Piden pagar en una cuenta fraudulenta, quizás desechable situada en el extranjero (cuidado en este caso con el IBAN no italiano), en la mayoría de los casos cantidades relativamente pequeñas, como para inducirnos a pagar inmediatamente "para no pensar en ya no lo es".

No es casualidad que los nuevos procedimientos para realizar la PEC “europeo”, es decir, conformes con las normas comunitarias e interoperables, lo que permite el intercambio de mensajes de correo electrónico certificados en toda Europa, proporcionan medidas de seguridad mucho más rigurosas y adicionales que las del correo electrónico certificado normal.

Para que nuestro PEC sea europeo, la autenticación de dos factores se vuelve obligatoria con un nuevo reconocimiento riguroso de la identidad del propietario, con un procedimiento que se activará a través del SPID o el CIE. Lo mismo en otros países. ¿Está todo resuelto? De nada. La transformación de la PEC en "europea" será una realidad obligatorio sólo en los próximos meses y si los procedimientos italianos para la "europeización" de la PEC parecen suficientemente rigurosos, ¿estamos seguros de que será así en muchos otros países? Luego queda el problema de recibir correos electrónicos normales, tal vez disfrazados de correos electrónicos certificados en el encabezado, con falsificaciones que pueden ser obvias para un ojo experto pero que pueden pasar desapercibidas para quienes están menos atentos.

Cómo elevar las barreras de nuestro Correo Certificado

Una buena estrategia de defensa del PEC implica una serie de acciones combinadas, para añadir a las ahora extrañas precauciones para proteger nuestra navegación por Internet y nuestros correos electrónicos se encienden pirati científicos de la computación.

Innanzitutto desactivamos en la configuración de nuestro buzón PEC la recepción de mensajes de correo electrónico ordinarios. Es cierto que todos los servicios PEC italianos proporcionan un mensaje de alerta específico si el correo entrante no proviene de un PEC, pero en la confusión de los mensajes entrantes el problema puede pasarse por alto. Optar por no recibir correos electrónicos regulares es la mejor solución. Por otro lado, ¿de qué sirve recibir un correo electrónico ordinario en el PEC cuando tenemos una o más direcciones de correo electrónico "normales" que proporcionamos a todos nuestros interlocutores? El PEC se utiliza para mensajes algo "oficiales" y es mejor limitar su uso únicamente a esos.

En primer lugar, reconocer el posible fraude de una PEC aparentemente auténtica examinemos detenidamente la dirección de origen. Si tenemos la más mínima sospecha de alguna irregularidad, primero verificamos que se trata de una dirección real, que realmente corresponde al remitente. Para ello nosotros a su vez enviamos un PEC con la solicitud de confirmación a la misma dirección y esperamos la respuesta. En ese punto hacemos una verificación adicional insertando la dirección PEC del remitente en un motor de búsqueda para verificar el correspondencia real a un propietario real (privado, empresa, institución, administración pública) que realiza la actividad con la que se presenta. Si es así, hacemos una verificación cruzada vía telefónica.

Por supuesto, nuestra verificación providencial a veces es fácil, a veces no tanto. Una llamada multa de tráfico puede no ser fácil de investigar, una sospecha de falsificación de la solicitud de pago en nombre de la Agencia Tributaria puede ser revelado fácilmente: esta es una buena oportunidad para activar el nuestro cómodamente desde tu PC cajón de impuestos, si aún no lo hemos hecho, siguiendo uno de los tutoriales propuesto por FIRSTonline.

Revisión