¿Desliz, fallo del procedimiento o ataque de Ingeniería Social?

Soy de la sincera opinión de que las entidades bancarias tienen un verdadero compromiso con la seguridad, tanto a nivel técnico, organizativo, físico, como en cualquier otro ámbito que quieran imaginarse, y tengo la certeza de que invierten una cantidad de dinero nada despreciable para mantenerse a la altura que les corresponde, teniendo en cuenta lo que gestionan y lo que se juegan. Como diría aquel, más les vale. Pero, y aquí llega el esperado pero, este tipo de organizaciones, que aparte de una matriz central tienen una nada despreciable cantidad de sucursales (unas más, otras menos), son el ejemplo paradigmático de lo complicado que resulta aplicar políticas realmente seguras —y justificadamente restrictivas— a entornos «distribuidos», y asegurar que éstas se cumplen siempre.

Digamos que tengo un amigo. Y digamos que por circunstancias que no vienen al caso, ayer éste necesitaba disponer de una copia de la escritura de su hipoteca. Puesto que trabaja, vamos a suponer, en el centro de Valencia, y pensando en evitar el desplazamiento a su oficina, llamó a su sucursal y preguntó si le podían enviar dicha documentación por fax o correo electrónico. La persona que le atendió, después de escuchar el problema, le indicó que podía enviarla por valija interna a una oficina próxima a su trabajo; eso parecía una solución razonable en ese momento, así que tras verificar telefónicamente el nombre y DNI, quedaron en eso.

Media hora después, recapacitando, mi amigo pensó que realmente, recibirla por fax en su empresa seguía siendo lo más cómodo, y que probablemente podían llevarse a cabo los necesarios controles para verificar su identidad, así que volvió a llamar, pero en este caso le atendió otra persona diferente. Tras explicarle brevemente la cuestión, acordaron dejar de lado la valija interna, y enviarla por fax, y así se hizo; diez minutos después la recibía en su oficina, en este caso sin haber sido verificada la identidad del llamante, es decir mi amigo.

Esto podría considerarse, desde el punto de vista más optimista, la escenificación de un ataque de Ingeniería Social, en el que fallan algunos mecanismos de control. En la primera llamada el atacante se identifica telefónicamente con dos datos básicos y no es posible verificar completamente su identidad, pero puesto que el medio final de entrega es completamente seguro, ya que recae en la verificación presencial y documental del DNI, eso no es necesario. En la segunda llamada el atacante, al explicar el problema, hace que el interlocutor compruebe que la documentación está efectivamente en la bandeja de la valija interna, el que asume que su compañero ha verificado previamente (y de modo exhaustivo) la identidad de mi amigo y procede a enviar la documentación por fax sin más que preguntar por el número destino.

En segundo lugar, tenemos un punto de vista algo menos optimista, que atribuye este problema a un «desliz», un error humano, que de vez en cuando pasa, pero que no es sencillo reproducir «bajo demanda». Y finalmente, llevando esto a sus últimas consecuencias, tenemos el punto de vista más pesimista, que es considerar ese como el procedimiento habitual.

Dejando al margen que la oficina le hizo un inmenso favor a mi amigo evitando ese desplazamiento, ¿qué opción creen ustedes que es la correcta?