jueves, 29 de julio de 2010

Debemos modernizar la banca, e incluso debemos introducir dinero telemático para mejor automatizar al sistema financiero, pero debemos ser cautos


Los peligros de la banca en línea: Debemos modernizar al sistema bancario, incluso debemos introducir la moneda telemática para así mejor automatizar al sistema financiero, pero también debemos ser cautos, muy cautos

Entrar a través de Internet a los sistemas de datos de una institución bancaria, es una forma muy ágil y cómoda para consultar los movimientos de nuestras cuentas bancarias, y es una práctica que se ha hecho habitual en muchos países del mundo. Sin embargo, este tipo de operativa aún tienen sus riesgos.

Claro, por suerte lejos están las épocas más difíciles y problemáticas para la "banca online" o banca electrónica, como por ejemplo a mediados de la primera década del siglo XXI, cuando una práctica denominada "Phising" puso en jaque a los especialistas en seguridad de buena parte del planeta. Esta modalidad de estafa informática, consistía en intentar adquirir información confidencial y sensible de una persona o de una empresa, como ser contraseñas, identificaciones, números de cuenta o de tarjetas de crédito, formas de recuperar contraseñas, etcétera, bajo la modalidad de simular que el usuario estaba interactuando con un sitio web de su entera confianza, como ser el de una institución bancaria, o el de su operador de bolsa, o el de su consejero de inversiones, etcétera. Una vez conseguida esta información básica, la misma entonces podía ser eventualmente complementada a través de otras vías, incluso a través de una llamada telefónica de persona a persona, y luego el estafador o "phisher" sustituía al verdadero usuario para concretar transferencias bancarias, o para hacer compras, etcétera.


Los "hackers", los delincuentes informáticos, son capaces de "clonar" con mucha exactitud la página web de por ejemplo una institución bancaria, para por esta vía intentar adueñarse de datos sensibles de los clientes. Éstos entran en la trampa, creyendo que es la interfaz del banco que tienen frente a sí, porque la "copia clonada" apenas difiere de la original, y entonces confiadamente escriben su nombre de usuario y su contraseña y otros datos-clave, y transmiten luego esta información. A partir de ahí, los ladrones pueden operar desde la página original del banco, y realizar transferencias y otras operaciones en nombre del titular y en perjuicio de éste.

Lamentablemente, el "Phising" sigue siendo noticia aún en el presente año 2010, aunque por cierto ya no causa tantos estragos como antes porque los usuarios están mejor informados y mejor protegidos. Pero ahora, los delincuentes han perfeccionado sus métodos, y se sirven de sistemas como el "Tab-napping", por el que, aprovechando la inactividad en una pestaña del navegador de Internet, son capaces de "colar" la web clonada y entonces efectivizar el "Phising".


DNI electrónico

Durante la época más dura del "Phising", se llegaron a crear dispositivos para conectarse de forma segura a los bancos, usando lectores electrónicos de documentos de identidad. Estos dispositivos funcionan como los lectores de tarjeta que puede haber en cualquier comercio. Se introduce la tarjeta plástica del documento, y se da permiso para entrar en la web. Corresponde decir que el uso de esta seguridad adicional no se ha generalizado, quizás porque la implantación del protocolo seguro de transferencia de hipertexto (https) en las páginas que ofrecen servicios de banca o que manejan dinero, da razonables seguridades a los usuarios.

Mediante este protocolo https, la información que se introduce en esas páginas viajará por Internet en forma cifrada, en forma codificada. Este cifrado hace muy difícil que gente no autorizada pueda obtener la información que viaja entre nuestro ordenador y el servidor del banco.

Obviamente es muy sencillo de identificar si una página usa o no este protocolo, pues basta con fijarse en la barra de direcciones, y comprobar si la dirección empieza con "https" o con "http". Ese cifrado puede ser de 64 dígitos, de 128, o de 256 dígitos, y éste último es el más seguro.

Pero igual, en materia de manejo de dinero, ninguna precaución es poca. Conviene siempre seguir los consejos que dan los propios bancos, para que la experiencia por sus páginas sea segura. Y lo más adecuado es ser inflexible con estos consejos y seguirlos al pie de la letra. Si sufrimos un robo a través de Internet o por un inconveniente en un cajero automático, se inicia un proceso largo y complejo, y casi siempre, la postura inicial de los bancos es la de no indemnizar ni compensar a sus clientes estafados.

Al margen de la responsabilidad que en algunos casos puedan tener los propios clientes, bien puede decirse que las propias instituciones financieras no han estudiado a fondo los problemas de seguridad.

Los Bancos y otras instituciones similares, bien podrían ofrecer a sus clientes distintos tipos de protocolos con distintas seguridades adicionales, y entonces serían los propios clientes que seleccionarían aquel o aquellos procedimientos que más y mejor se adaptaran a sus respectivas situaciones.

Por cierto, si volvemos más complejos los procedimientos a los usuarios, muy posiblemente los procesos de acceso y búsqueda serán más lentos, pero bueno, los usuarios son quienes finalmente evaluarán esta circunstancia, y equilibrarán según sus respectivas habilidades y capacidades, la relación agilidad/seguridad que más se adecue a sus necesidades.

Una muy buena estrategia podría consistir en cambiar las prestaciones dadas por el sistema, según sea la contraseña que se proporcione. Una determinada contraseña por ejemplo daría acceso a los movimientos y al saldo en una cuenta, pero no permitiría ni hacer transferencias ni hacer retiros en efectivo. Una segunda contraseña por ejemplo sólo permitiría transferencias y retiros inferiores a un determinado límite, y una tercera contraseña permitiría retiros y transferencias mayores a ese límite.

La operación con un sistema por lógica será menos segura si el acceso al mismo se permite sólo según que se conozca o no una clave de acceso. Sin duda mayor seguridad se obtendrá si además de la contraseña se pide que el titular pase por máquina una tarjeta de identificación o de identidad, y la seguridad será aún mayor si además se pide se ratifique por un determinado celular la operación solicitada, a falta de lo cual la misma simplemente quedará suspendida.

No hay comentarios:

Publicar un comentario