29.10.05
Banca Online
Hoy salió un artículo de Daniel Fajardo sobre la banca electrónica en El Mercurio. Se habla de que la “banca en línea” en realidad no tiene demasiado de “en línea”… al menos si se considera que una transacción se demora 48 horas.
En el artículo “un representante de la SBIF” que dice: “Además, se necesita robustecer el ámbito de seguridad de las operaciones que se efectúan vía internet en cuanto a certificado digital, firma digital y encriptación de la transacción”. No tengo claro a qué se refiere, pero por la interpretación que se le da en el artículo, estaría intentando justificar esa demora por razones técnicas. Eso es inaceptable… nada de lo que haga el banco en las 24 o 48 horas en que el dinero está inmovilizado apunta a robustecer la seguridad…
Por otro lado, estoy completamente de acuerdo con que se necesita robustecer el ámbito de seguridad de las operaciones que se efectúan vía internet, pero va por otro lado. Es algo que vengo repitiendo desde hace algún tiempo, y se lo comento a mis alumnos en diversos postítulos relacionados con seguridad. Lo primero que uno debiera enseñarle a una persona para que evite que sus credenciales caigan en manos equivocadas es que se asegure de sólo ingresar los datos cuando el navegador le asegura que la conexión es confiable. Además debiera tratar de evitar lugares como cibercafés donde es habitual que existan keyloggers (que los hay en software y hardware). Y una vez aprendido eso, si se aplica rigurosamente, uno queda inmediatamente imposibilitado de usar casi todos los sitios online de los bancos.
La solución que los bancos dan es obviamente más marketera: entregan un token, que llaman DigiPass, MultiPass o algún nombre similar, dependiendo del banco en cuestión. Obviamente el costo de este token lo paga el cliente, aunque en cómodas cuotas mensuales. Pero por qué se empeñan en dejar fuera lo más esencial y básico: permitir que operen correctamente los sistemas de seguridad standard que existen.
Acepto que los tokens como Digi o Multi Pass efectivamente protegen más en algunos casos: cuando existe un keylogger, ya sea un pedazo de hardware que se coloca entre el teclado y el computador, o bien un software que está instalado de alguna manera en el computador. Este keylogger se encarga de ir guardando todas las teclas que se presionan, en particular la dirección del sitio del banco, RUT y password. Eso no queda protegido a pesar de que la conexión esté debidamente encriptada.
Sin embargo, también hay casos en los cuales el token no sirve: un token no permite verificar que el sitio que se está viendo es efectivamente el del banco y no una copia que se dedica al phishing o su pariente cercano, el pharming. Si solamente contamos con el token, nos damos cuenta demasiado tarde (y solamente si el delincuente detrás de la copia del sitio oficial es realmente descuidado) de que alguien se pudo apoderar de nuestra clave. Probablemente podamos evitar que se realice alguna transacción, porque ésta se puede realizar solamente con el token. Pero de todas formas “alguien” tendrá acceso a nuestra información bancaria, lo que ya es un tema delicado.
Cuando estuve por dos años en Alemania, el banco de allá se preocupaba bastante de la seguridad. Se preocupaba de que el sitio web funcionara correctamente con todos los browsers, no solamente con el que usa la mayoría, y eso antes de que firefox comenzara a estar “de moda” (de hecho, aún no se llamaba así). Y en vez de un token, yo tenía un listado de números de transacciones en papel, y por cada transacción se ingresaba el primero de esos números que después se marcaban con un lápiz. Menos parafernalia, pero me me daba mayor seguridad. Con el banco chileno me veo obligado a ingresar un RUT + clave falsos para primero verificar que se trata del banco, para luego volver atrás y ahora ingresar los datos verdaderos. Gracias a Germán Poó ahora tengo una URL (no publicada por el banco por lo demás) para entrar al Banco de Chile de manera segura: https://www.bancochile.cl/cgi-bin/navega?pagina=construya/index.
Daniel Fajardo said,
November 7, 2005 at 6:49 pm
Navegando por ahí me encontré con tu post. Gracias por comentar mi artículo. La verdad es que es un tema bastante importante y que generalmente se le baja el perfil, pero aún en ciertas cosas, en este país seguimos siendo corderitos que no exigimos nuestros derechos como consumidores… como clientes.
Hombros de Gigantes (Shoulders of Giants) » Another reason to use SSL correctly said,
July 12, 2006 at 2:52 pm
[...] This is yet another flame to the online banking systems in Chile (and elsewhere). [...]