En Lima hay una incidencia alta de robo de identidad en la banca electrónica


Luis Ampuero Flores
Experto en redes y seguridad electrónica

¿Cuáles son los delitos más frecuentes en la banca electrónica?
En los últimos años el delito más frecuente es el robo de identidad. Suplantar a una persona para hacer uso de todos sus datos. En Lima hay una incidencia alta de robo de identidad. Los bancos pierden millones de dólares al año y no hay ningún banco que se haya salvado de esto. Le roban a través del cajero o por Internet.

¿Cuáles son las modalidades de robo?
Primero preguntémonos en qué consiste robar la identidad de alguien. ¿Quién soy yo para el banco? Para el banco soy Luis Ampuero Flores y tengo el DNI tal, vivo en tal dirección y tengo tales tarjetas. Manejo un password o varios dependiendo de si tengo más tarjetas. Eso soy para el banco. ¿Qué necesito para ser yo electrónicamente? Tener mi nombre, el número de mi tarjeta y mi password. ¿Cómo lo consiguen? De varias maneras. Una es a través de las propias instituciones bancarias. Siempre hay una persona que es descuidada con la información o que tiene un resentimiento con la empresa porque lo han castigado o la van a despedir. También hay gente deshonesta que puede entrar a una institución financiera. Lo curioso es que no sólo pasa uno de estos casos sino todos de manera simultanea.

Y por Internet ¿Qué modalidades de fraude son frecuentes?
Existe una modalidad que es poner una página web falsa del banco. El cliente pone su password y listo ya le robaron su identidad. Luego la página le dice que su password es incorrecto y que vuelva a escribirlo. Hecho esto lo redirecciona a la página verdadera del banco para que no se de cuenta que le han robado su identidad. Desde ese momento para el banco él es usted. A eso le están llamando phishing. También existe otra modalidad llamada pharming En esta ocasión en vez de estar poniendo páginas falsas se van a los servidores DNS y allí le cambian la dirección del banco por minutos, hasta que el banco se de cuenta. Entonces, todos los clientes entran a una página que parece la del banco pero que no lo es.

A la hora de burlar el servidor DNS están burlando un servidor seguro. ¿Es posible eso?
Si y los servidores seguros no son tan seguros como nos imaginamos. Existen herramientas de software para hackearlos. Allí la solución sería utilizar servidores de dominio de un nivel mayor. De la más alta jerarquía. Eso tiene un costo, pero es más seguro. En el Perú la mayoría de los bancos utilizan servidores de dominio de bajo nivel.

¿Por qué los responsables de la seguridad de la banca electrónica mantienen sus servidores DNS en bajo nivel? Si no es seguro.
Es un tema de alternativas. Usted confía que la empresa que le da el servidor de dominio está haciendo su trabajo. La estadística mundial demuestra que eso no es verdad. Que así como usted tiene fallas en su sitio, ellos también las tienen en su servidor de dominio.

¿Pero la seguridad en la banca electrónica sólo pasa por trabajar con servidores DNS de más alto nivel?
No. El tema de seguridad pasa por entender que este no es un problema tecnológico. Es un problema de lógica delictiva que con los años cambia de plataforma tecnológica. Por eso no se soluciona nada comprando sólo productos tecnológicos. Eso no es comprender el problema. Usted no puede sólo proteger con criptografía, porque los delincuentes en vez de romperla van a sobornar al funcionario que tiene la clave. Tampoco con tecnología biométrica, porque los delincuentes van a buscar la manera de sacarle la vuelta. Todo eso tiene un límite.

¿Entonces plantea que la seguridad debe ser entendida como un sistema y no como un conjunto de productos?
Sí. Yo me he negado a salir por televisión hablando de productos, por quieren que lleve uno de estos que lo resuelva todo. El gadget como dicen los gringos. La gente quieren puro gadget. Eso es peligroso porque es llevarlos a pensar que tienen seguridad cuando no la tienen. La seguridad no son productos, es un sistema, que se dividen en procesos los cuales hay que supervisarlo todos los días.

¿Quiénes son los que comprometen más la seguridad de un sistema?
Los que no son informáticos. Hay funcionarios que tienen información que no deberían tener. Ese es un problema. Otro tema es que la gente vive soñando con el gadget de moda. Últimamente mis clientes me hablan de sistemas biométricos. Todas estas cosas funcionan si las sabes usar y las utilizas en el contexto adecuado. Pero si eso lo trasladas a los principales aeropuertos de Estados Unidos, tal como sucedió tras el atentado del once de septiembre, no funciona. El sistema completo es más que sólo poner criptografía, biometría, oleografía, lo que usted quiera. Todos tienen una tasa de error y pueden dar falso positivo o falso negativo.

¿Qué es lo primero que se tiene que hacer para tratar de evitar fraudes electrónicos?
Lo primero que uno tiene que hacer es ver qué cosa tiene que asegurar. Aquellas empresas que dicen que quieren todo al más alto nivel de seguridad se equivocaron de plano. Lo primero que tiene que aprender es qué áreas necesitan seguridad. En nuestro caso qué datos. No son todos los datos, sino unos datos específicos. Tenemos que cuidar quienes tienen acceso a esa información crítica. El único sitio en donde he visto que se clasifica la información es en la Cancillería. Ellos tienen un sistema muy antiguo que le llaman decretar. Cada comunicación tiene determinado el nivel y la clasificación de la información. De esa manera está compartimentada. Eso se debe hacer en las empresas.

¿Eso implica crear un sistema?
Así es. Eso es lo que tienen que entender. No es lo que usted compra. Ya sea un firewall o dos. El firewall es como el vigilante de la puerta. No lo va a dejar entrar por la puerta, pero usted se puede meter por la ventana o por un túnel subterráneo. Como las redes son tan grandes hoy en día siempre es posible encontrar otros accesos.

¿Cómo evitar fraude con participación de los empleados de la propia empresa?
Para evitar el fraude introduzca el elemento de colusión en seguridad y el índice de riesgo bajara muchísimo, porque la mayoría de gente es esencialmente honesta. Lo que pasa es que la tentación es tan grande que a veces cae. Pero digamos usted tiene que decirle a otro vamos a robar y esa es la barrera por la que la colusión es un excelente elemento de control social. La información sensible, la divide en dos claves. La súper sensible en tres claves. Aquellos que quieran aprovecharse tendrán que coludirse. Entonces los honestos permanecerán honestos y los ladrones si no pueden por aquí pues irán por allá. Eso es mejor que comprarse lo último en tecnología. Ojo, no digo que la tecnología no sirva. Yo soy un hombre de tecnología, he trabajado diseñando CPU para IBM en Nueva York. Me encanta la tecnología, pero la tecnología no es una solución en sí.

¿Qué otros sistemas existen para la detección de intrusos en una red?
Hay sistemas para la detección de intrusos que funcionan relativamente bien. Uno de estos utiliza una cosa llamada perfilamento. Hago un perfil del usuario que con el tiempo construye un perfil, pero cuando sale de esos parámetros lo rechaza y comunico que hay posibilidad de un fraude. Pero eso puede generar algunos abusos. Otra opción son estas empresas especializadas en criptografía y seguridad que se encarga de monitorear permanentemente las redes. El tipo instala software y manda una vez al mes un reporte. Una auditoria de seguridad. La empresa le paga mensual y la otra empresa le audita todos los días. Eso resuelve un 80% de los problemas. Porque mira el conjunto total.

¿Cómo pueden los ladrones alcanzar este grado de sofisticación?
Nuestro país no tiene la fortuna de tener empresas que produzcan tecnología como Estados Unidos, Francia, etcétera. La gente que hace routers, que han trabajado en redes en el mundo son millones. Son gente que comenzó a rotar y de repente algunos se quedaron sin trabajo o se molestaron con su empresa y tienen un conocimiento que puede ser peligroso para la seguridad. Esa gente sabe cuáles son las vulnerabilidades de la tecnología. Ellos pueden vender esa información y decirle a alguien como burlar la seguridad. Por ejemplo la gente que hace cajeros automáticos. Siempre en seguridad el punto más débil es la persona. Antes los instrumentos para cometer fraude eran sólo cosa de crackers ahora ya no. Ahora son mafias internacionales que normalmente vienen de Inglaterra y entran a Panamá y luego van bajando hasta Perú.

Perfil Profesional
Luis Ampuero Flores estudió en la Facultad Ingeniería eléctrica y electrónica de la Universidad de Columbia. Ha trabajado en la fabricación de CPUS en IBM y en la instalación de redes para los principales bancos de Nueva York. Es experto en informática y redes. Actualmente se desempeña como catedrático de la Universidad Católica en los niveles de pre grado y post grado.