Siempre que hablamos de ataques a una plataforma digital, en la gran mayoría de los casos son enfocadas a extraer algún beneficio de tipo económico, por eso la banca electrónica es uno de los sistemas más atacados.

Por tal motivo Danilo Ochoa, Gerente Comercial para Latinoamérica de eBanking & eCommerce de Gemalto, ha escrito un excelente artículo en el cual expone las vulnerabilidades de los sistemas pero en cuanto al uso inadecuado de las contraseñas por parte de los usuarios.

En dicho documento enuncia las características básicas para que un sistemas de estas características sea viable:

• Debe ser muy fiable, económicamente factible
• Capaz de mitigar los ataques más avanzados y adaptarse a los nuevos
• Tener una alta flexibilidad para autenticar múltiples canales o aplicar múltiples estándare
• Ser conveniente para los usuarios.

Gemalto ha realizado un análisis sobre las variables más importante que pueden apoyar a la banca en su proceso de selección de una plataforma de autenticación más robusta.

El esquema de usuario/contraseña estática:  ya es obsoleto y no ofrece protección contra las crecientes formas de fraude online como phishing, keyloggers y Troyanos. Ocurre lo mismo con las tarjetas de coordenadas que además son extremadamente vulnerables para un usuario víctima de phishing, o el robo o pérdida de documentos.

La solución planteada es la de autenticación OTP -One Time Password/generación de claves de uso único- posee un esquema adaptable y flexible de doble factor que requiere una contraseña nueva cada vez que se utiliza, minimizando el impacto de que un tercero pueda capturarla y reutilizarla. Los usuarios se identifican utilizando dos factores únicos – algo que conocen (nombre de usuario/clave) y algo que poseen (el OTP/contraseña dinámica que le da su dispositivo tipo token).
El documento aborda muchas más soluciones y claves a tener en cuenta tanto como para los usuarios como para la banca, los cuales son claves para protegernos de atacantes

Ramzi Abdine, Director de Marketing y Comunicación de Gemalto para América latina

Todos conocemos el terror de perder nuestro dinero por el uso de cajeros, transacciones electrónicas y en épocas mas recientes usando nuestro celular como medio.

Una de los mitos aparte de la inseguridad son los costos que pueden estar asociados a la transacción, este temor se debe básicamente no estamos seguros de saber como funciona la cuestión.

Pero la realidad que es muy seguro, sobre todo no necesitamos teléfonos de ultima tecnología, solo uno que maneje Sim card, (casi todos) lo que hace que este al alcance de muchas personas.

Según Ramzi Abdine, Director de Marketing y Comunicación de Gemalto para América latina, las razones para considerar seguras las transacciones a través de la SIM son:

• En sus procesos, es imposible extraer información privada, porque en la SIM no se almacena esta información, no se guardan claves, ni saldos, es más, al consultar o realizar una transacción, la información ni siquiera toca al teléfono.
• Está demostrado que la SIM card, jamás ha sido clonada.
• La información es encriptada, es decir, codificada o más bien cifrada, de tal manera que nadie que no esté autorizado puede leerla. Esta técnica enmascara las referencias originales por un método de conversión gobernado por un algoritmo que permite descifrar la información.
• La información sólo es legible en los dos extremos del intercambio, es decir, para el banco y para el usuario y si se da una intrusión en medio, no es posible entender la información que viaja, pues no está decodificada, es un mensaje que nadie comprendería y no serviría para nada. Esto es realmente conveniente, si tenemos en cuenta que si nos roban nuestro celular, el ladrón jamás tendría acceso a nuestras claves o cuentas, como sí sucede con una computadora. O necesitaría ser un ingeniero experto, con avanzados conocimientos y entrenamiento, capaz de solucionar los algoritmos más complejos.
• Finalmente, el celular es de uso personal. Se supone que el teléfono está suscrito a su usuario y lo que en él se realiza está ligado a su dueño. Por esto para acceder a la Banca Móvil es necesario registrarse, elegir una clave y registrar la cuenta, la cual quedaría ligada a nuestra SIM card, permitiendo a nuestro banco y a nosotros realizar transacciones desde nuestro terminal.

Pero aunque las transacciones son seguras hay que tener siempre cuidado sobre todo en cuanto al uso de las contraseñas, dado que si el atacante tiene acceso físico a nuestro móvil y conoce nuestro password hay muchas posibilidades de ser victimas de un fraude.

Las autoridades y empresas se especializan en seguridad han detectado las principales amenazas de la red.

Microsoft, Asobancaria y la DIJÍN han unido fuerzas con el propósito de orientar a los usuarios de la Red sobre los peligros acechan, al igual que la forma en que pueden protegerse de los ataques de los gusanos que pueblan Internet.

Los gusanos identificados como los más peligrosos son: Taterf, Frethog, Renos, Rimecud, Conficker, Autorun, Hotbar, FakeSpyro, Alureon y Zwangi, los  cuales tienen algunas diferencias, pero que en resumen buscan vulnerabilidades a fin de interceptar contraseñas, roba información  y hacer desastres con nuestra información o cuentas bancarias.

“algunas amenazas se extienden mediante técnicas destinadas a personas que hablan un idioma en particular, o que usan servicios que son locales en una región geográfica en particular. Otras amenazas están orientadas a vulnerabilidades o configuraciones de sistema operativo y aplicaciones que no se distribuyen de la misma forma en todo el mundo”. – Johanna Mantilla, especialista en seguridad online de Microsoft

De acuerdo la Unidad de Delitos Informáticos de la DIJÍN (Dirección de Policía Judicial), el CAI virtual de la Policía está recibiendo en promedio mil 700 quejas y denuncias por uso indebido de herramientas como Facebook. La técnica de simular las páginas confiables de los sitios de interés para el navegante en Internet, sigue siendo el principal problema que deriva en las defraudaciones a usuarios, en especial aquellos que buscan servicios bancarios en la red.

“Los cibercriminales se valen de la débil cultura de seguridad informática de las personas que usan la red, pues saben que en ocasiones los usuarios cuentan con antivirus desactualizados o programas no licenciados que no permiten un registro en línea ni la instalación de parches de seguridad”. - Mayor Fredy Bautista, Jefe de la Unidad de delitos de la Dijin, sostuvo que

Lo interesante es que estas entidades no recomiendan el no uso de Internet, sino mas bien un uso responsable del mismo, el cual con algunas sencillas normas puede ser seguro navegar por la red, para este proposito se ha creado la página  delitosinformaticos, un espacio para mantener una comunicación directa con personas que creen haber sido víctimas de algún tipo de delito informático en la red, en este espacio, existe un chat virtual las 24 horas, todos los días del año, donde las personas encuentran asesoría inmediata de un ciberpolicía que les indicará el sitio más cercano al que deben acercarse a denunciar, así como los requisitos que deben cumplir para hacerlo.

Las formas más comunes de contagio son:

• Software de seguridad no autorizado, el cual pretende ser un antivirus o software legitimo
• Sitios web malintencionados, sitios que simulan ser bancos o entidades financieras que tratan se suplantar su identidad mediante la técnica de phishing

Para evitar este tipo de problemas las recomendaciones mas comunes son:

• Realizar sus transacciones desde computadores seguros.
• Mantener actualizado su computador personal con mecanismos de seguridad tales como: antivirus, antispyware, firewall personal, parches de seguridad entre otros.
• No ingresar a la página de su banco a través de links (enlaces) o correos electrónicos.
• Cuando ingrese a su banco a través de internet teclear usted mismo la dirección.
• Personalizar las transacciones que van a realizar, es decir, fijar el número y monto de operaciones máximas que realizará en un período establecido, así como los destinatarios de pagos o transferencias.
• Recibir información en línea (vía SMS o correo electrónico) sobre las transacciones que realiza, según los parámetros que establezca con su entidad.

De igual manera es recomendable el uso de un navegador web seguro como es Internet Explorer 9 el cual ha sido puesto a prueba en diferentes ambientes hostiles,  al igual que software de seguridad como Microsoft Security Essentials, el cual es un servicio gratuito e inteligente que evita que los virus, el spyware y otros tipos de software maligno invadan y produzcan efectos dañinos hasta destruir los equipos, y  Windows Defender que previene ataques de  spyware y demás software no deseado

CAI Virtual de la Policía Nacional: www.delitosinformáticos.gov.co

Pues eso, uno de los bancos (creo) más grande dió “permiso” a sus trabajadores para que escriban en un blog institucional.

En la dirección www.bbvablogs.com, podemos ver el experimento, todavía se me hace algo confuso y no puedo estar 100% seguro que sea institucional, aunque eso si hace enfasís en que son opiniones de los trabajadores del Banco, y que no se responsabilizan de los contenidos…

En un principio pensé que iba a hacer un blog para información institucional de productos, campañas o de politicas, pero en fin…

Tags: BBVA bancos blogs banca trabajadores