Acceder

¿Se toman en serio los bancos la seguridad?

Hace unos años, con una simples medidas de seguridad podíamos garantizar que nuestro equipo era seguro... No había conexiones a internet y las redes eran muy cerradas.

Un administrador podía cortar el acceso a las disketteras y unidades de CD y con ello se podía evitar la instalación de cualquier código malicioso.

Con la llegada de Internet, la cosa se ha complicado enormemente, pues ya incluso no visitando páginas potencialmente peligrosas y no instalando software ilegal, es posible que entre código malicioso por varios motivos: Defectos del Sistema Operativo, código incrustado en alguna página que visitemos o simplemente mediante un correo electrónico o un documento (hoja de cálculo, texto o presentación).

Vimos también que podíamos instalar software de protección que, aunque no nos proporcionen fiabilidad absoluta, si que evitarían gran parte de los ataques externos.

El tema que deseo tratar ahora es otro bien distinto... Si nuestro ordenador se ve comprometido... ¿Hasta qué punto el banco lo ha tenido en cuenta?

Identificación y autenticación.

Quién acostumbra a utilizar un ordenador en el trabajo, verá que cada vez los administradores le complican más la vida con el uso de un usuario y una contraseña, que además la contraseña tendrá que presentar una cierta complejidad y que además, caducará cada x tiempo... Todo esto es para conseguir la identificación (con el nombre del usuario) y la autenticación (verificación de que el usuario es quién dice ser mediante una contraseña que se supone, sólo él conoce).

Con esto, el administrador persigue controlar los accesos del usuario y evitar que no acceda quién no debe. Además, se puede auditar los accesos para prevenir malas prácticas o intentos de intrusión.

El banco utiliza esta misma técnica para garantizar que el usuario que accede es quién dice ser.

El problema que se plantea es... ¿qué ocurre si el ordenador está comprometido y las pulsaciones de tecla están siendo enviadas a un tercero?

La inclusión de los teclados virtuales no es un impedimento, ya que dichas pulsaciones también pueden ser enviadas como si hubiesen sido escritas en el teclado normal.

¿Hasta qué punto son seguras estas medidas?

La Identificación.

En muchos casos es el propio banco quién impone el identificador del usuario. Las empresas suelen tener un documento de seguridad que define cómo se establece este identificador (habitualmente es la inicial del nombre y el primer apellido).

Particularmente preferiría que el identificador no diese información sobre el usuario, o al menos, no información sensible. A continuación pongo algunos ejemplos de los utilizados por la banca online.
  • El identificador lo define el usuario al darse de alta, o es arbitrario. En mi opinión es la opción preferible.
  • El identificador es un dato personal, o conjunto de datos personales como el DNI, o el DNI y la fecha de nacimiento o alguna pregunta cuya respuesta ha sido dada al banco previamente.
  • El identificador es el número de la tarjeta de débito o de crédito (total o parcial).
Personalmente prefiero el primer método, o en todo caso el segundo, pero no el tercero. Si alguien está leyendo las pulsaciones de tecla, no sólo sabe mi identificador sino también el número de mi tarjeta de crédito... ¡Sin comentarios!

La autenticación.

La autenticación es la contraseña que se utiliza para permitir el acceso una vez que el usuario ha sido identificado.

La mayoría de los bancos que conozco tienen un método de acceso no demasiado fuerte (usuario y contraseña) que permite realizar consultas, y un método algo más complicado (a veces sólo una contraseña algo más compleja) cuando se desee realizar una operación.

Si el sistema queda comprometido, sólo podrían consultar los movimientos de la cuenta pero no operar. Centrémonos en la segunda contraseña (para operar)... De más seguro a menos seguro:
  • Utilización de la tarjeta de coordenadas... El banco pide una entrada de una tarjeta de coordenadas. Esta es la forma más segura, pues el atacante puede conocer una coordenada, pero el banco tardará en volverla a pedir. Sería totalmente seguro si las coordenadas no se reutilizasen, sino que la tarjeta quedase invalidada y enviasen otra cuando éstas se agoten.
  • Petición parcial de la firma electrónica. Si existe una firma electrónica y sólo pide algunas posiciones, al atacante le costará conseguir la firma completa. Sería ideal si periódicamente caducase y existiese un sistema seguro de cambiar la firma (sin tener que teclearla, claro)
  • Petición de la firma electrónica completa. A mi entender, es una aberración pero conozco algunos bancos que así lo hacen... ¡No digo nombres!
Algunos añaden medidas adicionales como limitar las operaciones de reintegro a cuentas asociadas que también hay que tener en cuenta.

Mi intención es sólo que se reflexione un poco sobre este importante tema.

Gracias por leerme.
9
¿Te ha gustado mi artículo?
Si quieres saber más y estar al día de mis reflexiones, suscríbete a mi blog y sé el primero en recibir las nuevas publicaciones en tu correo electrónico
  1. #9
    11/04/08 08:20

    Os pongo el enlace que el blog no toma bien.

    Enlace a elistas

    Saludos
    Rafa

  2. #8
    11/04/08 08:16

    Gaston, sí que es verdad que las tarjetas de coordenadas puedan parecer inseguras, pero si tienes una tarjeta con 100 posiciones de 3 dígitos, un atacante que se haga con el usuario y contraseña, tendría que probar 3 veces entre 1000, lo cual haría difícil que acertase. Claro que el usuario tendría que percatase la siguiente vez que entrase en la web de que alguien ha entrado después que él (para eso muestran fecha y hora del último acceso).

    En cualquier caso, sigue siendo una de las fórmulas más fáciles de implementar y más económicas.

    El uso del celular está muy bien, pero no está exento de peligros.

    Hay un par de bancos que ya están utilizando el nuevo DNI con su certificado digital.

    Datita, ¿podrías decirnos qué medidas antifraude incorpora el Banco de Guayaquil? En España tenemos, sin duda, uno de los mejores sistemas bancarios del mundo, en cambio las medidas que por lo general adoptan sobre el tema de seguridad informática da mucho que desear.

    Por cierto, hace unos días comentaba en el foro de elistas la aparición de un código que responsabiliza al cliente de los casos de phishing por negligencia del usuario:

    http://elistas.egrupos.net/lista/fondos/archivo/msg/1008/

    Esto viene a decir más de lo mismo, no buscan la protección del cliente sino la suya propia.

  3. #7
    Anonimo
    10/04/08 20:20

    El Banco de Guayaquil ocupa el segundo lugar en el mercado financiero ecuatoriano, con 82 años de experiencia en soluciones financieras. Unico banco ecuatoriano con calificación AAA-, la máxima calificación de la Banca Ecuatoriana al esfuerzo institucional reflejado en su solidez, liquides y rentabilidad. Cuenta con una cobertura nacional que le permite ofrecer una amplia variedad de servicios financieros de manera inmediata y desde cualquier punto del país y el mundo a través de servicios de tecnología en 111 oficinas, en 34 ciudades del país, 377 cajeros automáticos. Un banco sólido, moderno, cercano y dinámico cuya cartera de servicios incluye: Banca Corporativa, Banca Personal, Banca de Inversiones y la División de Tarjetas de Crédito Visa BG. www.bancoguayaquil.com

  4. #6
    Anonimo
    07/04/08 15:16

    Personalmente creo que los sistemas seguros de doble factor requieren de medidas superiores a las tarjetas de coordenadas, que los expertos califican de baja eficiencia. Le recomieno por ejemplo sistemas de doble factor OTP que utilizan el celular como hardware de soporte, como http://www.vusecurity.com

  5. #5
    15/03/08 14:21

    Es cierto que 3 intentos sobre 100 puede parecer poco, pero ya es mucho más de lo que ofrece la mayoría (lo cual no es consuelo).

    Un gesto tan simple como que la tarjeta de dos dígitos acepte también letras multiplicaría el número de combinaciones.

    Por ejemplo, si para que ocupe el mismo sitio en el ordenador del banco y no haya que tocar casi nada, la combinación de los dos dígitos de la tarjeta estuviese compuesta de los números del 0 al 9 y de las letras de la A a la F, serían 256 combinaciones en lugar de 100 ocupando el mismo espacio en el disco y en la memoria (casi sin cambios, 2 bytes).

    Si ampliar la ocupación no fuese problema para el banco se podrían utilizar dígitos y letras, (incluso diferenciando mayúsculas de minúsculas si fuese necesario), para multiplicar el número de combinaciones.

    Se me ocurre incluso que si fuese problema, la tarjeta podría utilizar 16 símbolos de entre todos los disponibles (distintos para cada tarjeta), con lo cual, aunque la tarjeta utilice 16 símbolos, el hacker tendría que probar con todos (cualquier número y cualquier letra).

    Yo creo que simplemente no se están tomando el tema muy en serio.

  6. #4
    Anonimo
    11/03/08 22:37

    Mi banco usa una tarjeta con 100 coordenadas de 2 digitos numericos y un teclado virtual para introducirla. Me he "quejado" que 2 digitos es claramente insuficiente (1% de posibilidades de acertar al azar y permite 3 intentos !!) y la tarjeta no la cambian nunca. Curiosamente tras la queja, parece que ahora para algunas operaciones me piden 2 coordenadas.
    Lo de dar 2 digitos de la firma electronica (4 digitos) para operaciones por telefono que hacía cierto banco es un simpleza.
    Por lo que conozco y dado el aumento de sofisticacion en la delincuencia informatica, estoy de acuerdo en que la seguridad bancaria deja bastante que desear !!

  7. #3
    Anonimo
    25/02/08 04:47

    Dejo mi blog.
    Mira si compensa acceso: www.rendavariavel.blogspot.com

  8. #2
    06/02/08 16:58

    Por favor, no me hables de usted que me haces viejo ;-).

    Para mí el mejor sistema que existe es el de la tarjeta de coordenadas, y sólo es mejorable si fuese de un sólo uso... Una vez que falten por introducir x coordenadas, pues que el banco te remitiese otra y al meter las x restantes utilizar la nueva.

    El sistema que nombras parece interesante, pero deja en manos del usuario el cambio de claves, con lo que, si el usuario no la cambia y el sistema está comprometido, al final es posible que completen la firma electrónica... Si es que lo he entendido bien.

    Gracias por tu comentario... Desde luego es mucho mejor que lo que he visto en bancos muy conocidos y algunos incluso pioneros en Internet.

  9. #1
    Anonimo
    06/02/08 00:03

    Mire yo piemso que si hay una manera muy fiable casi al 99% de fiabilidad y es la que maneja el santander consite en.
    Para entrar en supernet su pagina para ver su cuenta y operar algo con ella sevicio que deja bastante para desear pero de esto no estamos comentando,para entra en supernet tengo que poner mi usuario,D.N.I. u otra opcion una de ellas entre otros elegido por mi, con mi clave cuando hago cualquier movimiento me pide mi 3 numeros de mi firma digital cuando ya tenga un periodo largo quiza sepan mi clave digital si yo no la cambia anualmente pero la revolucion este que le voy a comentar lo llevan haciendo años es que usted da su numero de movil ellos le manda un sms al movil con una clave que tendra que ser metida en cierto sitio para validar la operacion y le aseguro que las clave no se que patron siguen pero son muy diferentre una de otars incluso el mismo dia