Mouse
Miércoles 30 de septiembre de 2009
La Tercera
INTERNET E-CONOMÍA PRODUCTOS TELECOM SOCIEDAD SEGURIDAD
archivo | mouse en tu mail | diccionario | talleres | rss

 
Estás aquí / Mouse / Internet / Seguridad en la banca online
Internet:
Seguridad en la banca online
Desde el año 2000 hasta diciembre del 2003, el número de usuarios que realizan transacciones bancarias a través de la red ha subido en 422 mil 105 personas. Es por eso que el e-banking también ha abierto el apetito a los ciberdelicuentes.

Por Sofía Varas
20 de julio de 2004

El pasado 26 de mayo varios clientes del Banco Pastor de España encontraron en su casilla de correo el siguiente e-mail:

De: Banco Pastor [mailto:support@bancopastor.es]
Enviado el: jueves, 27 de mayo de 2004 12:29
Asunto: Importante información sobre la cuenta de Banco Pastor
¡Querido y apreciado usuario de Banco Pastor!
Como parte nuestro servicio de protección de su cuenta y reducción de fraudes en nuestro sitio web, estamos pasando un periodo de revisión de nuestras cuentas de usuario. Le rogamos visite nuestro sitio siguiendo link dado abajo. Esto es requerido para que podamos continuar ofreciéndole un entorno seguro y libre de riesgos para enviar y recibir dinero en línea, manteniendo la experiencia de Banco Pastor. Después del periodo de verificación, será redireccionado a la página principal de Banco Pastor. Gracias.

Al final del texto aparecía un link que supuestamente dirigiría al usuario a la página de la entidad bancaria, pero en realidad lo conducía al sitio del estafador que había clonado el sitio original. ¿Cómo podía el cliente no darse cuenta del engaño?

El "phishing" o fraude bancario virtual

La autenticación del sitio web del banco se basaba en una ventana aparte. Uno ingresaba a la página y aparecía una ventana pequeña donde había que inscribir el nombre de usuario y la clave, relata Cristóbal Soto, consultor del área de tecnología de Neosecure. Lo que hizo quien efectuó este ataque de phishing fue dirigir a los usuarios al sitio web falso donde había una ventana copiada de la original, que se veía igual. Pero al anotar los datos en vez de enviarlos al Banco Pastor, los capturaba en otro lado y a continuación enviaba esa información al banco, explica el ejecutivo.

De este modo, la persona realmente accedía a su cuenta , pero además sus datos estaban viajando de manera inadvertida a otro sitio, siendo la intención final, la transferencia de fondos desde la cuenta del usuario. Esto provocó que el sitio del banco estuviera cerrado por algunos días y tuviera que generar una nueva interfaz más segura, para que los usuarios volvieran a confiar en realizar sus transacciones vía online.

Este es el phishing, uno de los sistemas que los estafadores informáticos han desarrollado aprovechando el auge de la banca online. Siempre opera del mismo modo: mediante un e-mail muy urgente que pide a los usuarios ingresar a un link donde por alguna razón deberán entregar sus datos personales, los que probablemente después serán utilizados para obtener dinero.
Pese a que va en alza, en Chile no se han visto casos importantes, pero sin duda es uno de los temas que preocupa actualmente a las instituciones bancarias nacionales.


Diagnóstico general

Nosotros tenemos un servicio de revisión de la seguridad de las aplicaciones web que implica poner a la aplicación en un ambiente hostil simulado, relata Soto. Desde el 2001 Neosecure trabaja con clientes del área financiera como bancos y otras instituciones, y el diagnóstico no es alentador.

Hemos revisado al menos a trece clientes de esta área en Chile y en el extranjero y en el 90% de las revisiones que hemos realizado hemos encontrado vulnerabilidades de alto riesgo que comprometen no sólo la integridad de la información, sino también permitirían la suplantación y el fraude electrónico: transferencias de fondos, envío de otros activos, acciones, etcétera, señala el ejecutivo.

Según su visión, es importante hacer hincapié en los cambios que ha sufrido el comportamiento de los hackers. “Si se piensa en un hacker de hace diez años o cinco años, en realidad su foco era principalmente obtener información de los sistemas: poder conectarse a ellos, mirar los archivos, ese tipo de cosas, indica Soto. “ Pero hoy existe una nueva generación de usuarios maliciosos que no se dedica a apoderarse a un webserver y cambiar las páginas poniéndoles consignas y mensajes. Lo que ahora se está buscando es dinero.¿Dónde está el dinero más fácil? Muchas veces a partir de las aplicaciones web de las instituciones y de los usuarios puntualmente afirma.

Este fenómeno no es algo que esté pasando inadvertido a las instituciones. “Si sirve como indicador, de un año a otro la demanda de nuestros servicios ha subido en un 500% y no sólo por parte de bancos sino también por parte de otras instituciones que manejan información relevante , señala Soto.

Las soluciones

A este respecto, las instituciones están utilizando sistemas de revisiones periódicas, para descubrir sus vulnerabilidades, pero eso no es suficiente. También deben asegurar al usuario que sus datos no serán utilizados para otros fines.

Cuando se decide tener una aplicación web, el ejecutivo de Neosecure aconseja implementar metodologías de desarrollo seguro, como por ejemplo la autenticación robusta. Esta consiste en una doble certificación de la identidad del usuario por ejemplo mediante el uso de una clave y otro elemento que permita identificarlo certeramente.

Uno de los sistemas más avanzados de autenticación robusta para la banca online es el que propone NEC. Utilizar una clave única, como la huella dactilar por ejemplo, combinada con un pin. De este modo hay una doble seguridad de que la persona es quien dice ser. La información que viaja por la red es bastante segura en este sentido, ya que no viaja la imagen de tu huella dactilar, lo que sería peligroso. Lo que enviamos es un código encriptado, un vector matemático irreversible que no se puede transformar en la huella nuevamente, explica Cristián Sepúlveda gerente de desarrollo de negocios de NEC
El ejecutivo hace hincapié en que actualmente, la utilización de estos sistemas han tenido una gran aceptación por parte de la banca, de hecho hay dos bancos que ya han implementado soluciones biométricas y varias instituciones que tienen andando un proyecto piloto al respecto. Así y todo, el e-banking tendrá que esperar.

En la banca, las etapas de implementación serán las siguientes: resolver la problemática de la documentación valorada, porque ahí son más sensibles los fraudes: cheques falsos, suplantación , etcétera. Lo segundo es la incorporación de biometría en los cajeros automáticos. Ya hay una iniciativa en este respecto en Banco Falabella, que funciona con la huella digital indica el ejecutivo.“El tercer tema serán la transacciones vía internet. Esto porque aunque ha bajado el precio de los escáner aún no es un precio masivo. Un kit cliente remoto podría costar cerca de 400 dólares. Por eso el tema web se ha demorado un poco más afirma.

Para el vocero de Neosecure en tanto, por el momento hay que procurar hacer las cosas bien desde el principio para no lamentarse después al perder la confianza de los usuarios. Tradicionalmente se incorporaba la seguridad en las etapas posteriores del desarrollo web, de manera un poco improvisada. La idea hoy es partir con conocimiento de seguridad de aplicaciones web. Partiendo bien, en un 90% de los casos la aplicación no debiera tener vulnerabilidades electrónicas, señala Soto

 

 

 

 
 
Portada Mouse.cl Subir
Anterior
Mouse Digital Email: mouse@latercera.cl / Créditos / Por favor lea nuestros Términos y Condiciones de Uso / Todos los derechos reservados Consorcio Periodístico de Chile S.A.