Protegerse correctamente de los riesgos del e-fraude / Por; Danilo Ochoa, Gerente Comercial para Latinoamérica de eBanking
Danilo Ochoa, Gerente Comercial para Latinoamérica de eBanking |
La banca electrónica y otras transacciones online crecen de manera constante en América latina y el mundo en general. Pero a su vez, crecen también los peligros de operar en línea. Los riesgos surgen debido a varios factores, y uno de ellos es que los defraudadores están siempre trabajando para crear esquemas de fraude más sofisticados como parte de la evolución natural. Es decir, mientras que los niveles de seguridad se vuelven más robustos, de igual manera, a la par, los defraudadores tratan de quebrantarlos. Otro punto muy importante a considerar es la falta de educación del usuario final, que debería estar siempre conciente de los riesgos a los que está expuesto y seguir las recomendaciones que su entidad financiera le indique.
En general, las víctimas del e-fraude están presentes en los distintos segmentos de clientes que tienen las instituciones financieras, aunque en los últimos meses se ha visto un foco mayor en individuos que representen un botín más fuerte para los defraudadores, a través de ataques más elaborados y específicos. Claramente, los ataques masivos siguen aún en vigencia, con la finalidad de lograr mayor número de ataques exitosos en cifras de menor impacto para las instituciones financieros y sus clientes.
Los principales riesgos o fraudes a los que están expuestos los usuarios de banca en línea son:
- Malware: abreviatura de la expresión software malicioso, también conocido como virus de ordenador. Son los llamados caballos de Troya (o troyanos), spywares, keyloggers y otros tipos de software que se usan con fines fraudulentos.
- Phishing: envío masivo de e-mails o mensajes instantáneos engañosos para hacer que los usuarios revelen sus credenciales al registrarse en la versión falsa de un sitio confiable.
- Ingeniería social: manipulación mediante el engaño para lograr que los individuos realicen determinadas acciones, o para obtener el acceso a los sistemas, o a su información.
- Whaling: muy similar al phishing, pero destinado específicamente a individuos de alto nivel adquisitivo.
- Man-in-the-middle (hombre en el medio): intercepta la información que se está intercambiando entre dos usuarios reconocidos/confiables.
- Man-in-the-browser (hombre en el navegador): infección del navegador web mediante malware con el fin de tomar el control de la computadora del usuario. Esta acción no se puede impedir usando SSL (Secure Sockets Layer] y/o autenticación multi-factor estándar.
¿Cómo se pueden afrontar estos riesgos? El fraude puede ser mitigado con la incorporación de tecnologías más seguras de autenticación. Los sistemas más comunes para proteger la información personal son:
- Esquema de usuario/contraseña estática: este modelo ya no ofrece protección contra las crecientes formas de fraude online como phishing, keyloggers y troyanos. Ocurre lo mismo con las tarjetas de coordenadas que además son extremadamente vulnerables para un usuario víctima de phishing o el robo o pérdida de documentos.
- Solución de autenticación OTP (“One Time Password”, en castellano, “generación de claves de uso único”): es un esquema adaptable y flexible de doble factor que requiere una contraseña nueva cada vez que se lo utiliza, minimizando el impacto de que un tercero pueda capturarla y reutilizarla. Los usuarios se identifican utilizando dos factores únicos: algo que conocen (nombre de usuario/contraseña o pin de usuario) y algo que poseen (el OTP/contraseña dinámica que le da su dispositivo tipo token). Este esquema ya es vulnerable a ataques más sofisticados de troyanos o “man-in-the-middle” que buscan entrometerse entre el usuario y el banco, sin ser detectados por ninguno, para modificar los detalles de una transacción, como la cuenta de destino o el destinatario.
- Método de autenticación “Desafío-Respuesta”: una de las partes presenta una pregunta (desafío) y la otra debe proporcionar una respuesta válida (respuesta) para poder autenticarse. Evita ataques de phishing y pharming, el usuario verifica que el sitio en que está autenticándose es realmente su banco, pero, aún así, no puede proteger las transacciones de ataques sofisticados, como el mencionado “man-in-the-browser” que infecta y controla el navegador del usuario.
- Esquema de autenticación basado en la Firma de Transacción: no sólo se autentifica la identidad del usuario, sino que además la propia transacción se firma de forma electrónica con el token, asegurando tanto la confirmación como el no repudio. Este método añade un nivel muy alto de control de riesgo contra ataques como “man-in-the-middle” o malware sofisticado. Su aplicación puede ser multicanal, y autenticar igualmente las operaciones en banca en línea como las realizadas en banca móvil, en comercio electrónico, en cajeros automáticos o incluso telefónicas.
La Banca en línea representa un foco principal para el cyber fraude debido a la mayor canalización de servicios para los clientes a través de las vías online y la importancia en términos económicos que obtienen los defraudadores.
En 2012, los profesionales en seguridad de TI necesitarán dar el siguiente paso en la batalla contra el e-fraude y aprovechar la evolución de la tecnología de autenticación robusta que se ha convertido en el aliado más importante para enfrentar un entorno de riesgo cambiante con soluciones flexibles, capaces de modificar los niveles de seguridad cuanto mayor sea el riesgo y la importancia de la operación, en cualquier canal bancario.
Planear y ejecutar un entorno de banca en línea seguro es una tarea compleja que involucra no sólo evaluar la tecnología, sino también los objetivos de crecimiento y modelo de negocio, la relación con el cliente, la logística, y el costo, entre otras cuestiones importantes.