IBM garantizará la seguridad de la banca online con un stick USB
El laboratorio de IBM en Zurich (Suiza) ha desarrollado un stick USB, que, según ha anunciado el fabricante en CeBIT puede garantizar la seguridad de las transacciones bancarias incluso si se realizan desde un PC infectado de malware.
En la feria CeBIT, IBM ha mostrado un prototipo del nuevo dispositivo, bautizado con el nombre de ZTIC (Zone Trusted Information Channel), y ha expresado su confianza en que las entidades financieras apostarán por comprarlo para garantizar la seguridad de sus servicios de banca online.
ZTIC está configurado para que, cuando se conecte a un ordenador, establezca automáticamente una conexión segura basada en SSL (Secure Sockets Layer) con los servidores de la entidad bancaria, según ha explicado Michael Baentsch, director de producto del laboratorio de IBM en Zurich para BlueZ Business Computing.
El dispositivo funciona también como un lector de tarjetas inteligentes y puede aceptar la tarjeta bancaria del usuario como medio de verificación. Una vez se haya verificado el PIN (Personal Identification Number), podrá iniciarse cualquier transacción a través de navegador Web.
Para evitar las potenciales vulnerabilidades de seguridad introducidas por el elemento browser, ZTIC puentea el navegador y actúa directamente con los servidores del banco, garantizando así que el intercambio de datos entre entidad y usuario es preciso y seguro.
Según IBM ha sido difícil encontrar la forma de iniciar una sesión SSL directamente en el stick, dado que requiere potencia de procesamiento y, dado que el dispositivo USB corre independientemente del PC para garantizar la seguridad del proceso, no puede apoyarse en la potencia del equipo.
La solución ha sido la integración en ZTIC de un chip de ARM y de un software diseñado para establecer rápidamente la sesión SSL. Aunque se trata de un stick de memoria, resulta imposible almacenar datos sobre él, lo que impide que pueda infectarse con software malicioso.
Además, para prevenir ataques de phishing y pharming basados en la solicitud de datos sensibles del usuario vía sitios fraudulentos que simulan los de sus auténticos proveedores bancarios, ZTIC comprueba de forma automatizada que el sitio Web donde el usuario introduce su información está validado por un certificado de seguridad legítimo.