LOS RETOS DE LA SEGURIDAD EN LA BANCA, AMENAZAS A USUARIOS Y ENTIDADE


especial seguridad en el sector financiero

LOS RETOS DE LA SEGURIDAD EN LA BANCA, AMENAZAS A USUARIOS Y ENTIDADES
Cada día son más las personas que utilizan la banca ‘on-line’. Sin duda, la comodidad, rapidez y facilidad de realizar movimientos y operaciones, pagos y consultas de nuestras cuentas bancarias mediante Internet, son algunas de las ventajas que ofrece este servicio. Pero hechos delictivos ya conocidos como ‘phishing’, ‘pharming’ o ‘spam’, añadidos a otros problemas como los de auteticación del usuario, timos varios, chantajes, ataques corporativos, inseguridad de los medios de pago..., obligan a que usuarios y entidades financieras estén alerta y apliquen no sólo los conocimientos y las medidas de seguridad oportunas -que son necesarios-, sino recordar siempre el sentido común.
Continuamente oímos hablar del phishing, del pharming, del spyware y del spam, como peligros directos que amenazan a los usuarios de la banca electrónica. Unos ataques que persiguen el robo de identidad y de datos de los usuarios, con un objetivo meramente económico, pero que también minan la imagen y recursos de las entidades financieras.
Desde la información que provee un sector como el que tratamos en Red Seguridad, el de la seguridad informática, es fácil caer en la equivocación de pensar que todo el mundo posee un cierto conocimiento “endogámico” sobre el tema. Por ello, esta publicación sentó a cuatro expertos en seguridad TIC para hacer un poco de autocrítica y analizar cuáles son los problemas con los que hoy se enfrenta el ciudadano a la hora de utilizar las nuevas tecnologías, en relación con sus datos bancarios, y sobre todo, qué soluciones se pueden aportar para que usuarios y entidades puedan trabajar de la forma más segura posible.
El “Desayuno Red Seguridad” sobre seguridad en el sector financiero tuvo como invitados a Camilo Vaquero, Sales&Business Development Manager de Aladdin; Manuel Palao, socio director de Personas&Técnicas: Soluciones; Juan Grau, Regional Sales Manager de Radware; y Carlos de Vicente, gerente de Cuentas de Realsec.
El debate, que moderó Manuel Ballester, director de Red Seguridad, comenzó con una identificación de las amenazas on-line.

Camilo Vaquero SALES&BUSINESS DEVELOPMENT MANAGER DE ALADDIN
Camilo Vaquero, de Aladdin, destacó dos tipos de amenazas: las que conlleva el acceso a Internet (virus, troyanos y otros peligros secundarios como el spam) y la más específica de todas, el phishing, que “dará verdaderos quebraderos de cabeza”. Por otra parte, Vaquero mencionó otro punto clave: la autenticación del usuario, paso en el que “el robo de identidades puede suponer pérdida de dinero y pérdida de operaciones”.
Camilo Vaquero es una de las personas que cree que “los clientes no están informados y no saben exactamente cómo les pueden afectar todos estos peligros”. Y defiende que la solución no es dejar de operar por Internet, sino hacer una campaña fuerte de información. Una opinión que asumió también Manuel Palao, de Personas&Técnicas: Soluciones.
Por el contrario, Juan Grau, de Radware, aseguró que “la gente sabe cada vez más y se informa”, pero que estas amenazas son las que “afectan indirectamente al negocio creando desconfianza en el usuario”. Sin embargo, Grau resaltó que hay otros peligros que sí afectan más directamente a las entidades financieras, como son los chantajes.

Juan Grau REGIONAL SALES MANAGER DE RADWARE
Ataques corporativos
Respecto a ataques corporativos mediante spam, Juan Grau reconoció que influyen en la “merma de productividad” y que el problema está en que no se filtra suficientemente el spam. Aunque también dejó claro que lo que más le preocupa es “los ataques desde dentro de la propia empresa, donde un trabajador puede utilizar los datos corporativos y de los clientes para hacer fraude”.
Este directivo de Radware recordó que la adaptación a las nuevas normativas, como las Normas Internacionales Contables (NIC) y Basilea II y modelos de buenas prácticas pueden ayudar a controlar el proceso del negocio.
En este sentido, y apoyando la preocupación de Grau por los ataques internos, Manuel Palao criticó: “Cuanto menos presión de trabajo y menos vigilancia tenga un empleado, más tiempo tendrá para jugar y hacer otras cosas, y esto puede aumentar los riesgos”.
Para Palao, la mejor herramienta ante el spam son las llamadas “listas blancas”, es decir, las que sólo dejan pasar al correo electrónico de gente conocida y autorizada.
Desde su experiencia profesional con entidades financieras, Carlos de Vicente, de Realsec, explicó el verdadero quid de la cuestión: “Estamos hablando de la banca, que no ha nacido como otras empresas por y para Internet; la banca lleva años y su negocio está enfocado en la venta presencial, por lo que los riesgos de fraude on-line son relativamente pequeños”. De ahí que, según De Vicente, los usuarios de este sector se incorporen lentamente al mundo de Internet y las medidas de seguridad on-line de estas entidades no sean las más fuertes.
La razón que argumentó, a este respecto, Juan Grau fue que “el coste del fraude es todavía menor que el de la implantación de la seguridad en sus sistemas”. Aunque no dejó de avisar sobre el mayor coste de desprestigio que podrían sufrir las entidades”.
En otro orden de aspectos que influyen en la no totalmente segura relación entre el usuario y la banca on-line, Camilo Vaquero apuntó que se trata de un tema muy delicado, ya que la información que poseen los fabricantes y los proveedores de servicios de seguridad es confidencial, ya sea de los usuarios como de las entidades, y lógicamente, a ningún proveedor o posible proveedor le interesa perjudicar a sus clientes.
Por otro lado, Juan Grau añadió a esta idea: “La Administración potencia el uso de Internet y cualquier inhibidor se tiende a acallarlo para que no afecte al desarrollo de la Sociedad de la Información”.
Camilo Vaquero llamó la atención hacia otros medios mucho más inseguros, que se utilizan desde siempre. “Las tarjetas de crédito o de débito son lo más inseguro del mundo, y parece que nos preocupa más la seguridad informática”.
En opinión de Carlos de Vicente, “las entidades financieras disponen realmente de los medios de seguridad y los conocen, pero no los despliegan”. Un hecho que no les exime de responsabilidad, según este experto: “El usuario de banca electrónica sólo usa las herramientas que le da su proveedor de servicios bancarios y cualquier posible fraude es ajeno a él, por lo que la protección la debería dar el banco”.
Claro está que la intensa relación que vive la banca con la cuenta de resultados debería hacer ver a éstas empresas cuán necesaria es la tecnología para su negocio (en concreto, la seguridad de la información, centros de back-up y sistemas de continuidad de negocio son fundamentales).
Aunque viéndolo desde el punto de vista de Carlos de Vicente, puede tener su lógica: “Obviamente, ante cualquier cosa que suponga un gasto en cualquier empresa de servicios, somos reticentes y, como no podía ser de otra manera, en la banca también ocurre”.
Para empezar a controlar el negocio y asegurar un buen funcionamiento, Manuel Palao abogó por una herramienta “potente y disponible”: “una buena contabilidad analítica y un buen mando integral”. Palao puso sobre la mesa sus amplios conocimientos sobre el marco de referencia de control y buen gobierno, Cobit, así como de las directrices de ISACA, organismo que acaba de lanzar un marco complementario al buen gobierno de los negocios, el Val IT. “Cobit nos marca cómo hacer bien las cosas; con Val IT, podemos saber lo que deberíamos hacer”.
Para explicar la influencia de estas regulaciones en el desarrollo de los negocios, Palao puso como ejemplo un caso que ya se estudia, el de ING Direct, “una entidad que continúa centrando su atención en controlar la eficiencia operacional”.
A lo largo del “Desayuno Red Seguridad”, quedó bastante claro que la banca on-line aún no es un punto crítico, ya que todavía el negocio financiero tradicional posee más fuerza. Asimismo, los invitados coincidieron en que la banca electrónica se valora como un servicio más al cliente, no como una línea de negocio. Lo que no quiere decir que sea una vía que dejen totalmente desprotegida.

Carlos de Vicente GERENTE DE CUENTAS DE REALSEC
Recomendaciones a las entidades
Las primeras medidas que están utilizando las entidades financieras para luchar contra estas nuevas amenazas se basan en ingeniería social. “Por un lado, hay que educar al cliente sin causar alarma -comenta Juan Grau- y, a la vez, los bancos y cajas deben implementar mejores sistemas de protección (en el proceso, en el almacenamiento...), usar certificados, etc.”. Pasos que las empresas tendrán que ir dando, tal y como afirma Grau, hasta llegar a concienciar al usuario para utilice dispositivos seguros como el token criptográfico.
Y es que para Grau, aunque “la responsabilidad legal la asume el usuario, moralmente -y por su interés comercial- la tiene la entidad financiera”.Curiosamente, ante esta demanda cada vez mayor de seguridad en las transacciones electrónicas que hacemos los usuarios, y ante la falta de responsabilidad concreta sobre las posibles pérdidas económicas, las entidades bancarias no cuentan aún con un organismo que haga frente a esta nueva situación.

Los expertos intercambiaron experiencias reales con clientes y opiniones sobre las necesidades que éstos les demandan.
Ayuda al usuario
Y puesto que los peligros rondan al usuario y parece que se descarga toda la responsabilidad en éste, Camilo Vaquero refresca algunas de las recomendaciones básicas para conectarse a la banca on-line: cambiar las contraseñas con frecuencia, tener un antivirus actualizado, entrar siempre por la web corporativa del banco, no responder nunca a correos phishing, comprobar los justificantes bancarios que llegan por correo ordinario en papel, etc.
De todas formas, según Vaquero, las soluciones se implantarán no cuando las tengamos, por que ya existen, sino cuando haya obligación: “El certificado digital se ha impuesto porque la Agencia Tributaria lo pide”.
Una afirmación con la que Carlos de Vicente marcó su acuerdo, y ante la que apuntó a su tesis: “Ya hemos comentado que las entidades tienen medios y los conocen para ponerlos en marcha cuando estratégicamente les convenga, lo que pasa es que, reflexionando de manera sibilina, tal vez no interese, porque rompería la ventaja competitiva de la banca tradicional”.

Manuel Palao SOCIO DIRECTOR DE PERSONAS&TÉNICAS "La tendencia es la autentificación fuerte, pero la contraseña aún no ha desaparecido"
Para los cuatro invitados de Red Seguridad, la tendencia clara de la seguridad en banca electrónica pasa por la autenticación fuerte. Aunque Manuel Palao recordó, con cierta ironía, que hace tres o cuatro años, grandes consultoras como Forrester ya anunciaban que se impondría la autentificación fuerte, “y resulta que la contraseña no ha desaparecido todavía”.
Las normativas, como Basilea II, o el cumplimiento de estándares, como el futuro lenguaje XBRL, tienen gran apoyo tanto de las autoridades reguladoras, como del Banco de España y la Comisión Nacional del Mercado de Valores (CNMV), ya que dotan de mayor transparencia y estabilidad al intercambio de datos financieros. Por otro lado, el DNI digital será otra medida importante para el control de la identidad. En cambio, Camilo Vaquero manifestó que “las normativas siempre son importantes, pero luego hay que aplicarlas y cumplirlas”.
Y a pesar de las esperanzas que hay puestas en el DNI electrónico, Carlos de Vicente planteaba una interesante e importante cuestión: “¿Qué pasará con los inmigrantes que no tienen DNI: cómo se les podrá autenticar en los servicios de banca electrónica?”.

Los expertos en seguridad aseguran que la tendencia es la autentificación fuerte, con tecnología criptográfica.

Entradas populares