La banca se enfrenta al reto de garantizar la total seguridad del canal on-line
Desayunos ComputerWorld: Los servicios bancarios por Internet y su seguridad, a debate
El sector financiero cuenta con un extraordinario nivel de exigencia en relación con la integridad de sus sistemas de información. La aparición de la banca electrónica hace necesario responder a nuevas amenazas que puede minar la confianza de los usuarios, como el phising y los troyanos.
La banca ha sabido, históricamente, responder bien a los envites que las amenazas informáticas le han lanzado y los estudios señalan a este sector como el que más nivel en seguridad en sistemas de información tiene. Conviene, no obstante, no bajar la guardia: una de las apuestas más ambiciosas del sector, la banca electrónica, se enfrenta a importantes desafíos en relación con la seguridad. Este tema fue el hilo conductor de una mesa redonda organizada por ComputerWorld y que reunió a los responsables de seguridad informática de algunas de las principales entidades financieras de España.
Garantizar la integridad del canal Internet –y transmitir la garantía de esta integridad al cliente– centró la mayor parte de las intervenciones en esta cita.
Amenazas on-line
Muchas de las entidades bancarias son protagonistas involuntarios de envíos de phising. Esta amenaza puede parecer superada, pero lo cierto es que sigue habiendo un número pequeño de víctimas y daña la imagen de la banca. A ésta se unen otras amenazas tecnológicamente más complejas, como los troyanos. Todos los ponentes coincidieron en que para combatir a unas y otras es necesaria una mayor educación de los usuarios y una mayor implicación de los reguladores.
Francisco Torres, director de Tecnologías de la Información de Bancaja, se mostró confiado en que el phising pasará a la historia pronto, ya que la inmensa mayoría de los usuarios ya están educados al respecto; pero incidió en que el canal sigue siendo inseguro por culpa de los troyanos, “una amenaza que, además, evolucionará y se hará más compleja en el futuro”.
José Blas Romeo, jefe de seguridad de tecnología y sistemas de Ibercaja, consideró que el éxito de la banca electrónica dependerá de un seguimiento mayor por parte de las autoridades y de transmitir información al usuario: “Información tanto para los que no la quieren utilizar porque no se fían, como para los que la usan en condiciones de riesgo porque son demasiado confiados”.
En concreto, la lucha contra el phising no requiere para Romeo medidas técnicas, sino concienciación. De la misma opinión es Fernando Portillo, director de tecnología de Open Bank, quien manifiesta que el cliente no ha tomado conciencia aún de los riesgos de la tecnología: “A nadie se le ocurre firmar un cheque en blanco, ni ir con el pin de la tarjeta apuntado”.
Según Miguel Ángel Fernández, gerente de servicios técnicos y responsable de seguridad de Sistema 4B, la única solución para proteger al cliente de este tipo de amenazas pasa por la educación del mismo. “El phising no es un problema de seguridad informática de la entidad financiera, sino del propio usuario. Los sistemas de acceso al dinero son potestativos de los usuarios y éstos tienen que tener la educación para poder usarlos”, consideró este directivo.
Garantizar la seguridad del cliente
Emilio Santos, subdirector de gestión interna y seguridad tecnológica de Caixa Galicia, se manifestó en la misma línea, pero puso de relieve que el último informe del Banco de España vuelve a situar la mayor carga de responsabilidad sobre este aspecto sobre los propios bancos: este informe “dice que tenemos que avisar precontractualmente de todos los peligros que hay. Así corremos el riesgo de desincentivar el uso… pero algo de razón tiene”, apuntó Santos, quien cree que hay que buscar una forma de que el cliente esté seguro aunque no quiera. El directivo apostó por la autenticación de doble factor; en ésta son necesarias dos claves para acceder al servicio y una de las dos no circula por Internet.
Jorge Dinarés, CEO de Panda Security, cree que queda mucho por hacer en relación con la educación del ciudadano: “Según un estudio, sólo un 30% de los PC tienen un sistema de antivirus actualizado y, de los que lo tienen, un 27% están infectados”.
Para el directivo de Panda, la amenaza real son los troyanos y el phising, sobre el cual la responsabilidad del banco es “insignificante” es algo cada vez más anecdótico. “Nos sigue sorprendiendo que haya aún algunas personas víctimas del fraude por e-mail. Pero es algo con lo que hay que contar: también hay gente que, después de décadas, sigue cayendo en el ‘timo de la estampita”, ilustró Dinarés.
Fernando Portillo, sin embargo, no cree que haya que bajar la guardia con el fraude on-line, ya que este está dando una nueva “vuelta de tuerca”, redirigiendo a páginas cada vez mejor presentadas.
La responsabilidad del regulador
Para Fernández, de Sistema 4B, en el caso del phising, se señala erróneamente a la banca, cuando debería mirarse hacia el regulador. “Hay que trasladar al mundo tecnológico ciertos conceptos tradicionales, como que, cuando un atracador roba un banco, el encargado de detenerle no es el director del mismo banco, sino la policía”.
El responsable añadió que “estamos hablando de criminales, que en muchos casos se valen del potente mercado negro de datos personales que existe en Internet”.
En esta idea incidió, asimismo, Romeo, de Ibercaja, para quien se tiende a polarizar en dos actores –cliente y banco– cuando el Estado debería destinar medios adecuados para luchar contra este tipo de fraudes.
Jaime García, director de análisis de IDC, indicó que, aparte de soluciones tecnológicas, hace falta alguien que persiga a los delincuentes, igual que se persigue a los ladrones de banco. “El phising no es un ataque tecnológico, comparado con el pharming, es un juego de niños, pero hace mucho daño a la banca y genera insatisfacción en el cliente”. Por otro lado, García criticó la relevancia informativa que se da a este tipo de ataque: “Las tarjetas de crédito son un canal también tecnológico. Y también son inseguras; pero no se habla tanto de ello”.
En cuanto a la responsabilidad de la banca en relación con la que se atribuye a otros actores, Portillo se muestra muy crítico: “Los clientes piden siempre la responsabilidad de la banca cuando hay problemas con la banca electrónica, pero nadie carga contra los fabricantes de sistemas operativos, que son responsables de las vulnerabilidades por donde acceden los atacantes”.
Este responsable llamó a los diferentes actores a actuar de forma más rápida y decidida, porque “lo que nos estamos jugando, al poner tantas pegas a su uso, es inutilizar el canal”. Portillo añadió, además, que hay cierto tipo de ataques, como el fraude de correo, los cuales serían muy sencillos de parar desde las operadoras de comunicaciones. A esto García contestó que “no está tan claro que el operador tenga derecho a cortar los mensajes fraudulentos”.
Portillo, en este sentido, puso de relieve que muchas de las propuestas de seguridad en banca necesitarían de una nueva legislación. Señaló, por ejemplo, “la imposibilidad de poner en val
La banca ha sabido, históricamente, responder bien a los envites que las amenazas informáticas le han lanzado y los estudios señalan a este sector como el que más nivel en seguridad en sistemas de información tiene. Conviene, no obstante, no bajar la guardia: una de las apuestas más ambiciosas del sector, la banca electrónica, se enfrenta a importantes desafíos en relación con la seguridad. Este tema fue el hilo conductor de una mesa redonda organizada por ComputerWorld y que reunió a los responsables de seguridad informática de algunas de las principales entidades financieras de España.
Garantizar la integridad del canal Internet –y transmitir la garantía de esta integridad al cliente– centró la mayor parte de las intervenciones en esta cita.
Amenazas on-line
Muchas de las entidades bancarias son protagonistas involuntarios de envíos de phising. Esta amenaza puede parecer superada, pero lo cierto es que sigue habiendo un número pequeño de víctimas y daña la imagen de la banca. A ésta se unen otras amenazas tecnológicamente más complejas, como los troyanos. Todos los ponentes coincidieron en que para combatir a unas y otras es necesaria una mayor educación de los usuarios y una mayor implicación de los reguladores.
Francisco Torres, director de Tecnologías de la Información de Bancaja, se mostró confiado en que el phising pasará a la historia pronto, ya que la inmensa mayoría de los usuarios ya están educados al respecto; pero incidió en que el canal sigue siendo inseguro por culpa de los troyanos, “una amenaza que, además, evolucionará y se hará más compleja en el futuro”.
José Blas Romeo, jefe de seguridad de tecnología y sistemas de Ibercaja, consideró que el éxito de la banca electrónica dependerá de un seguimiento mayor por parte de las autoridades y de transmitir información al usuario: “Información tanto para los que no la quieren utilizar porque no se fían, como para los que la usan en condiciones de riesgo porque son demasiado confiados”.
En concreto, la lucha contra el phising no requiere para Romeo medidas técnicas, sino concienciación. De la misma opinión es Fernando Portillo, director de tecnología de Open Bank, quien manifiesta que el cliente no ha tomado conciencia aún de los riesgos de la tecnología: “A nadie se le ocurre firmar un cheque en blanco, ni ir con el pin de la tarjeta apuntado”.
Según Miguel Ángel Fernández, gerente de servicios técnicos y responsable de seguridad de Sistema 4B, la única solución para proteger al cliente de este tipo de amenazas pasa por la educación del mismo. “El phising no es un problema de seguridad informática de la entidad financiera, sino del propio usuario. Los sistemas de acceso al dinero son potestativos de los usuarios y éstos tienen que tener la educación para poder usarlos”, consideró este directivo.
Garantizar la seguridad del cliente
Emilio Santos, subdirector de gestión interna y seguridad tecnológica de Caixa Galicia, se manifestó en la misma línea, pero puso de relieve que el último informe del Banco de España vuelve a situar la mayor carga de responsabilidad sobre este aspecto sobre los propios bancos: este informe “dice que tenemos que avisar precontractualmente de todos los peligros que hay. Así corremos el riesgo de desincentivar el uso… pero algo de razón tiene”, apuntó Santos, quien cree que hay que buscar una forma de que el cliente esté seguro aunque no quiera. El directivo apostó por la autenticación de doble factor; en ésta son necesarias dos claves para acceder al servicio y una de las dos no circula por Internet.
Jorge Dinarés, CEO de Panda Security, cree que queda mucho por hacer en relación con la educación del ciudadano: “Según un estudio, sólo un 30% de los PC tienen un sistema de antivirus actualizado y, de los que lo tienen, un 27% están infectados”.
Para el directivo de Panda, la amenaza real son los troyanos y el phising, sobre el cual la responsabilidad del banco es “insignificante” es algo cada vez más anecdótico. “Nos sigue sorprendiendo que haya aún algunas personas víctimas del fraude por e-mail. Pero es algo con lo que hay que contar: también hay gente que, después de décadas, sigue cayendo en el ‘timo de la estampita”, ilustró Dinarés.
Fernando Portillo, sin embargo, no cree que haya que bajar la guardia con el fraude on-line, ya que este está dando una nueva “vuelta de tuerca”, redirigiendo a páginas cada vez mejor presentadas.
La responsabilidad del regulador
Para Fernández, de Sistema 4B, en el caso del phising, se señala erróneamente a la banca, cuando debería mirarse hacia el regulador. “Hay que trasladar al mundo tecnológico ciertos conceptos tradicionales, como que, cuando un atracador roba un banco, el encargado de detenerle no es el director del mismo banco, sino la policía”.
El responsable añadió que “estamos hablando de criminales, que en muchos casos se valen del potente mercado negro de datos personales que existe en Internet”.
En esta idea incidió, asimismo, Romeo, de Ibercaja, para quien se tiende a polarizar en dos actores –cliente y banco– cuando el Estado debería destinar medios adecuados para luchar contra este tipo de fraudes.
Jaime García, director de análisis de IDC, indicó que, aparte de soluciones tecnológicas, hace falta alguien que persiga a los delincuentes, igual que se persigue a los ladrones de banco. “El phising no es un ataque tecnológico, comparado con el pharming, es un juego de niños, pero hace mucho daño a la banca y genera insatisfacción en el cliente”. Por otro lado, García criticó la relevancia informativa que se da a este tipo de ataque: “Las tarjetas de crédito son un canal también tecnológico. Y también son inseguras; pero no se habla tanto de ello”.
En cuanto a la responsabilidad de la banca en relación con la que se atribuye a otros actores, Portillo se muestra muy crítico: “Los clientes piden siempre la responsabilidad de la banca cuando hay problemas con la banca electrónica, pero nadie carga contra los fabricantes de sistemas operativos, que son responsables de las vulnerabilidades por donde acceden los atacantes”.
Este responsable llamó a los diferentes actores a actuar de forma más rápida y decidida, porque “lo que nos estamos jugando, al poner tantas pegas a su uso, es inutilizar el canal”. Portillo añadió, además, que hay cierto tipo de ataques, como el fraude de correo, los cuales serían muy sencillos de parar desde las operadoras de comunicaciones. A esto García contestó que “no está tan claro que el operador tenga derecho a cortar los mensajes fraudulentos”.
Portillo, en este sentido, puso de relieve que muchas de las propuestas de seguridad en banca necesitarían de una nueva legislación. Señaló, por ejemplo, “la imposibilidad de poner en val
