Banca, fraudes, jurisprudencia y acción

Publicado en La Nacion (08 Oct 2008)

Don Pablo Ureña (Dos Sentencias Preocupantes) analiza las posibles consecuencias del fallo contra el “Banco del Estado”, dictado hace algunas semanas. Hay ciertos puntos en los que no estoy muy de acuerdo. (Advierto que mi campo no son las leyes, sino la tecnología de la información).

Discrepo sobre la aplicabilidad general del fallo. Por lo poco que entiendo, la responsabilidad objetiva se aplica en este caso debido a que el servicio ofrecido por el banco creó un riesgo significativo que fue explotado por los culpables, con el agravante de que ese riesgo ya había era conocido internacionalmente (un solo nivel de autenticación no es suficiente). No estoy seguro entonces de que se pueda, o deba, aplicar igual para todos los demás casos, actuales o futuros, porque depende de si el riesgo (que sería equivalente al nivel de seguridad) presentado en el momento de la transacción es igual de significativo o agravado.

Visión de seguridad. También discrepo de la visión de seguridad. Esta nunca es completa. La seguridad de un sistema es igual a la del componente más débil. Desde el punto de vista informático, un sistema no solo es el computador central, sino todos los componentes, internos o externos, que lo conforman.

El Internet Banking, inherentemente, incluye como componente a la plataforma Internet, los navegadores de los clientes y las páginas creadas por el banco para que se realicen transacciones. Siendo así, no es cierto que el sistemas es seguro, porque su componente más débil es la interfaz web.

Puede ser que la jurisprudencia atraiga las mafias internacionales, pero estas no vendrán atraídas solo por este fallo. Vendrán por las facilidades brindadas aquí por usuarios ignorantes, un país atrasado tecnológicamente y una banca sin planteamientos serios.

Mi apreciación es que estamos tapando fallas con parches sin un análisis adecuado. ¿Ejemplos? Para incrementar su tope de transferencia obligan al cliente a enviar por internet todos los datos vitales de la tarjeta de crédito, ¡negándose a hacerlo por ventanilla! Hace años que no se practican ataques de fuerza bruta para obtener contraseñas, por lo que la práctica de cambiarlas cada 30 días es obsoleta.

No estamos preparados. Ya nadie imagina usar solo la contraseña como autenticación, por eso ya hay otras maneras de fraude más complejas que el robo de contraseñas y nosotros apenas comenzamos a atacarlo. Incluso el phish- ing ha dado paso a ataques más sofisticados, como el pharming (y este ya lleva tiempo en México). Es decir, no estamos preparados.

¿Seguros? La solución de la tarjeta de códigos es inoperante ante un ataque de “intermediario” con algo de paciencia. Lo mismo para el teclado virtual, que es solo efectivo contra keyloggers . Incluso el famoso token cae ante este ataque. La falta de fraude luego de estas “soluciones” no es prueba de seguridad. El colmo es que, para usar dichas soluciones, se obliga al usuario a renunciar a su derecho de reclamo. (Véanse condiciones obligatorias para activar las soluciones).

¿Que hacer? La lista es simple: El intermediario se anula con certificados de cliente, como los de la firma digital estancada hace meses. Los usuarios que verifiquen el emisor del certificado del banco (clic doble en el candado del navegador) y bancos publicando su numero de serie de certificado en prensa. Obvio: los usuarios deben saber qué es un certificado digital, pero, primordialmente, todas la entidades involucradas (Banca, Gobierno y usuarios), deben analizar los peligros y proponer una solución integral de defensa.

Deja un comentario