Precauciones para evitar que hackeen su banca online (parte 2)

En el artículo anterior – Precauciones para evitar que hackeen su banca online (parte 1) – revisamos algunas medidas que toman los Bancos para asegurar los servicios de Banca Virtual y así intentar proteger a sus clientes de posibles fraudes electrónicos.  Sin embargo, vimos también que en muchos casos dichas medidas no son suficientes y que a nosotros como usuarios nos conviene conocer si nuestro Banco está brindando el nivel de protección que esperamos y requerimos.

Por eso hoy continuaremos nuestra revisión de los mecanismos de seguridad implementados por las entidades bancarias en sus portales de Banca Online.

MECANISMOS USUALES DE SEGURIDAD DE LA BANCA ONLINE (continuación)

AUTENTICACIÓN DE UN SOLO FACTOR CON USUARIO Y CLAVE

Por lo general todos los servicios de Banca Virtual requieren que el cliente que desea realizar una transacción realice un proceso de autenticación primero para verificar su identidad. Esta autenticación es como mínimo a través del ingreso de un nombre de usuario (username) y una clave (password).

Las dos variantes más populares de este mecanismo son:

  • Usuario y clave ingresados a través del teclado
  • Clave ingresada a través de un “teclado virtual” (caracteres alfanuméricos distribuidos al azar en una interfaz gráfica en la que el usuario va escogiendo caracter por caracter a través de dar click con el puntero del mouse)

Si su Banco usa cualquiera de los dos mecanismos, SIN NINGÚN OTRO TIPO DE VALIDACIÓN, mi recomendación es: Cambie de Banco! Urgentemente! 🙂

¿Pero por qué les digo esto? ¿No se supone que autenticarse con nombre de usuario y clave es seguro? Sobre todo si lo estamos haciendo a través de un canal de conexión cifrado (con HTTPS).

La respuesta es: se supone que sí, pero no 🙂 ¿Pero por qué no? Pues porque lamentablemente eso es cierto en un mundo ideal en el que no existe el phishing, no hay virus de computadoras ni software malicioso o en donde nuestro antivirus detecta en un 100% el malware y evita que nuestro ordenador se infecte. Es además un mundo ideal en donde sólo hacemos transacciones desde el PC de nuestra casa y jamás necesitamos ingresar a la Banca Virtual cuando estamos de viaje y nuestro único enlace con el mundo es un cibercafé en Timbuktú.

Sucede que si el único requisito para usar el servicio de Banca Online es un nombre de usuario y clave estamos expuestos a que:

  • Si el computador se contagia con malware del tipo keylogger o screenlogger éste capture lo que tipeamos o aquello sobre lo que damos click, enviando posteriormente esta información al cracker que lo programó o lo distribuyó.
  • Si nuestra clave no es lo suficiente robusta la puedan deducir en base a información disponible públicamente. Ej: el típico caso en que la clave es el nombre del novio/novia más el año de nacimiento de la mamá.

Es por estas razones que la Banca responsable ha optado por mejorar la autenticación básica de usuario y clave a través de:

  • Agregar factores de autenticación adicionales. Ej: imágenes o avatares, uso de preguntas secretas, tokens, claves de un sólo uso (OTP – one time passwords)
  • Permitir transacciones sólo a cuentas registradas previamente, las cuales se confirman ingresando un código enviado usando un medio previamente declarado como una dirección de correo electrónico o un número celular para recepción de mensajes de texto (SMS).
  • Usando valores de comprobación para las transferencias y pagos de servicios a través del uso de tarjetas de coordenadas o tokens.
  • Informando al usuario del ingreso exitoso/fallido al sistema, realización de pagos, transferencias y demás, a través de medios como correo electrónico o mensajes de texto.

AUTENTICACIÓN DE DOS O MÁS FACTORES

Esto implica que para usar el canal de banca online o para autorizar un pago o transferencia, el cliente deberá ingresar elementos adicionales para comprobar su identidad como:

  1. Imagen secreta (avatar)
  2. Respuesta secreta (de una base de preguntas ingresada previamente por el cliente)
  3. Coordenadas de tarjeta
  4. Clave de un solo uso (OTP)

Si bien en algo ayudan las opciones 1 a 3, en realidad el único de estos mecanismos bastante seguro es la clave de un solo uso (OTP). Y en este momento escucho gritar a quienes implementan tarjetas de coordenadas… mientras no se acuerden de mi mamá no hay problema 😀

¿Por qué no son 100% seguras las opciones 1 a 3? Sencillo, porque el computador del usuario puede estar infectado por malware sin saberlo y si este malware es del tipo screenlogger o keylogger, entonces es seguro que guardará un histórico de las respuestas ingresadas por el usuario en sesiones previas. Claro que el cracker que haga esto deberá tener paciencia, porque tomará varias sesiones de ingreso a la banca virtual para que el sistema pida todas las combinaciones posibles de preguntas/coordenadas al usuario.

Y es en esto último la falencia de los sistemas que usan tarjetas de coordenadas: las reúsan.  Hoy el Banco me preguntó por las coordenadas A3 y B5 y en unos días me pregunta por la C4 y A3. Si el malware captura estos datos que escribo y los envía al cracker, en un tiempo más éste tendrá todas las coordenadas de mi tarjeta.

Pero si en cambio la clave de comprobación es única y sólo vale una vez (One Time Password, OTP) entonces no importa que esté instalado un malware de captura en mi PC, porque eso no le servirá al cracker cuando quiera usurpar mi identidad, tendría que también robarme el token entregado por mi Banco que contiene las claves únicas.

¿Entonces por qué no todos los Bancos nos entregan tokens OTP y solucionado el tema? Bueno, por el costo operativo de generar claves nuevamente y entregar o recargar el token cuando se acaban las claves previas.

Posibles soluciones:

  • Usar sistemas de autenticación que usen tokens que alberguen una cantidad de claves lo suficientemente grande para que el usuario no requiera recargar su token en mucho tiempo.
  • Usar “tokens digitales” en lugar de los típicos tokens físicos. Ej: Token Azula a través de SMS. De hecho en la actualidad esta es la opción más utilizada por la Banca a nivel mundial como segundo factor de autenticación.

PROTECCIÓN DE LA SESIÓN DE BANCA ONLINE USANDO AISLAMIENTO DEL SISTEMA OPERATIVO

Este es un método bastante innovador que tiene pocos años en el mercado y por ende aún debe soportar la prueba de la permanencia en el tiempo. Hay pocos proveedores de software a nivel mundial que implementan esta solución de distintas formas y uno de ellos es la empresa colombiana AZUAN, un partner que conocí en Bogotá en el 2011 con motivo de mi asistencia como expositora de la conferencia “Seguridad en Transacciones Bancarias” para ASOBANCARIA (la Asociación de Bancos de Colombia).

En aquella ocasión cuando vi el demo del producto Azuan Trust, quedé gratamente sorprendida por su originalidad y efectividad. El producto es básicamente un middleware que va entre el navegador del cliente y el servidor de Banca Online. La primera vez que el cliente se conecta al sitio web del Banco se descarga un control en el navegador que luego se ejecuta en el computador creando un ambiente aislado en memoria, totalmente protegido del software espía que pudiera estar instalado en el computador. Desde dicho ambiente aislado se inicia una sesión segura (túnel) hacia el servidor de Banca Virtual, protegiendo de keyloggers, screenloggers, virus y demás software malicioso al usuario. Además que el cliente notaría fácilmente que está en un sitio clonado (phishing) cuando no se ejecute el aislamiento de sesión con el Banco.

Otra característica interesante es que la programación del control utiliza técnicas anti-hacking y anti-forenses, precisamente para prevenir que crackers puedan infectarlo o vulnerarlo. Si el control ve en peligro su integridad, se auto detiene y no se inicia la sesión con el Banco.

 

Es posible que en un futuro cercano veamos nacer muchos más esquemas innovadores de protección para transacciones de banca online, lo importante es mantenernos a la vanguardia y estar siempre un paso delante de los cyberpiratas.

ENLACES RELACIONADOS:

 

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*