¿Billeteras Digitales o Micro Sucursales Bancarias?

La semana pasada tuve el agrado de participar como panelista en una charla abierta sobre Billeteras Digitales, patrocinada por la revista Summa. Moderado por Ian McCluskey, CEO de Thought Leadership International, y contando con la co-panelistas Claudia Madariaga, Directora de desarrollo de Producto de YellowPepper para America Latina, y Alejandra Castro, Abogada Asociada Arias & Muñoz, el evento contó con la participación de muchas empresas de comunicación, servicios y banca. Importantes personeros se hicieron presentes y nos pasamos del tiempo por lo interesados que estaban en el tema.
Lo anterior me indica que ideas innovadoras llaman la atención y que nuestro país tiene gente atenta a tales innovaciones que consideran importante incorporar. Claro, las diferentes preguntas que se realizaron nos dan una pista sobre las barreras que dichas tecnologías pueden encontrar. Primero, cierto recelo a la seguridad. Segundo, incertidumbre sobre la capacidad e infraestructura del país. Tercero, una clara esperanza en la reducción de costos.

Y es sobre este último punto que quiero comentar. Consultando en diferentes lugares, el concepto de las billeteras digitales está muy asociado a las tarjetas de crédito. Para muchos son el reemplazo de las mismas, para otros es un contenedor. Para los que no está familiarizados con el tema, la billetera digital es un micro sistema de software y hardware que permite a la persona realizar transacciones financieras de forma digital. Claro, mucha gente simplemente piensa en Smartphones y la implementación común que Google lanzó hace ya varias semanas, usando un comunicador especial en el aparato celular para comunicar de forma inalámbrica los datos de la tarjeta de crédito registrado. Ya no más pasar tarjetas, simplemente se ondea el celular frente a un receptor y el pago está hecho.

Precisamente, esa implementación es la que hace pensar a la gente que la billetera digital se basa en celulares y ese famoso chip (NFC Near Field Communication). En realidad no, esa es solo una manera de lograrlo, el concepto se puede implementar de muchas otras maneras. También eso hace pensar a la gente que el sistema no es más que la misma tarjeta de crédito solo que ya no en plástico sino en un celular. En cierta forma lo es, por lo que se implementa, pero el concepto es mucho más amplio.

Y es aquí cuando consultan si esta nueva forma de pago suplantará a las tarjetas de crédito y al problema que tiene debido a las altas comisiones. La respuesta es lamentablemente no. Doña Claudia comentó que hay casos en los que los comerciantes deciden que la forma de pago no sea con tarjeta registrada de marca conocida, sino que sacan su propia tarjeta, asumiendo los riesgos del crédito. Pero esta solución no es tan sencilla, pues depende de legislación e infraestructura. También menciona que ya los nombres de tarjetas importantes están tomando en cuenta la tecnología y que puede ser que decidan bajar dichas comisiones, pero en términos generales la billetera no es un reemplazo libre de costos.
Ahí, mi posición es que a pesar que las comisiones se mantengan, hay que mirar los beneficios. Y es que la billetera no es solo un contenedor de tarjetas “virtuales”. Podemos pensar que una billetera digital es una micro sucursal financiera. Ahí puedo guardar mis tarjetas, mis cupones de descuentos, mis cartas de fidelidad (¡esas de cliente frecuente!), mis facturas digitales, puedo tener retención logrando ahorros forzados para pagos, en fin, cualquier idea que la gente se le ocurra para sacar provecho de su billetera. Esto es, para el comerciante, que alguien pague una tarjeta de crédito es solo una manera más de pago, pero con una billetera digital, puede llevar control de compras, fidelidad, lanzar promociones instantáneas, lograr más captación y recurrencia de la clientela. Viéndolo de esa manera, la billetera no es solo un medio de pago con costo asociado, sino que dicho costo se puede revalorizar como inversión en promoción, si se usan bien las herramientas.

¿Lo implementaría usted? ¿Usaría su billetera digital?

Banca, fraudes, jurisprudencia y acción

Publicado en La Nacion (08 Oct 2008)

Don Pablo Ureña (Dos Sentencias Preocupantes) analiza las posibles consecuencias del fallo contra el “Banco del Estado”, dictado hace algunas semanas. Hay ciertos puntos en los que no estoy muy de acuerdo. (Advierto que mi campo no son las leyes, sino la tecnología de la información).

Discrepo sobre la aplicabilidad general del fallo. Por lo poco que entiendo, la responsabilidad objetiva se aplica en este caso debido a que el servicio ofrecido por el banco creó un riesgo significativo que fue explotado por los culpables, con el agravante de que ese riesgo ya había era conocido internacionalmente (un solo nivel de autenticación no es suficiente). No estoy seguro entonces de que se pueda, o deba, aplicar igual para todos los demás casos, actuales o futuros, porque depende de si el riesgo (que sería equivalente al nivel de seguridad) presentado en el momento de la transacción es igual de significativo o agravado.

Visión de seguridad. También discrepo de la visión de seguridad. Esta nunca es completa. La seguridad de un sistema es igual a la del componente más débil. Desde el punto de vista informático, un sistema no solo es el computador central, sino todos los componentes, internos o externos, que lo conforman.

El Internet Banking, inherentemente, incluye como componente a la plataforma Internet, los navegadores de los clientes y las páginas creadas por el banco para que se realicen transacciones. Siendo así, no es cierto que el sistemas es seguro, porque su componente más débil es la interfaz web.

Puede ser que la jurisprudencia atraiga las mafias internacionales, pero estas no vendrán atraídas solo por este fallo. Vendrán por las facilidades brindadas aquí por usuarios ignorantes, un país atrasado tecnológicamente y una banca sin planteamientos serios.

Mi apreciación es que estamos tapando fallas con parches sin un análisis adecuado. ¿Ejemplos? Para incrementar su tope de transferencia obligan al cliente a enviar por internet todos los datos vitales de la tarjeta de crédito, ¡negándose a hacerlo por ventanilla! Hace años que no se practican ataques de fuerza bruta para obtener contraseñas, por lo que la práctica de cambiarlas cada 30 días es obsoleta.

No estamos preparados. Ya nadie imagina usar solo la contraseña como autenticación, por eso ya hay otras maneras de fraude más complejas que el robo de contraseñas y nosotros apenas comenzamos a atacarlo. Incluso el phish- ing ha dado paso a ataques más sofisticados, como el pharming (y este ya lleva tiempo en México). Es decir, no estamos preparados.

¿Seguros? La solución de la tarjeta de códigos es inoperante ante un ataque de “intermediario” con algo de paciencia. Lo mismo para el teclado virtual, que es solo efectivo contra keyloggers . Incluso el famoso token cae ante este ataque. La falta de fraude luego de estas “soluciones” no es prueba de seguridad. El colmo es que, para usar dichas soluciones, se obliga al usuario a renunciar a su derecho de reclamo. (Véanse condiciones obligatorias para activar las soluciones).

¿Que hacer? La lista es simple: El intermediario se anula con certificados de cliente, como los de la firma digital estancada hace meses. Los usuarios que verifiquen el emisor del certificado del banco (clic doble en el candado del navegador) y bancos publicando su numero de serie de certificado en prensa. Obvio: los usuarios deben saber qué es un certificado digital, pero, primordialmente, todas la entidades involucradas (Banca, Gobierno y usuarios), deben analizar los peligros y proponer una solución integral de defensa.

Debilidad en seguridad bancaria

Publicado en La Nacion (27 Dic 2007)

Concuerdo con don Roberto Sasso (Tontera Digital) en su comentario sobre los “palos de ciego” que están dando los bancos para asegurar nuestro capital. Discrepo, eso sí, de la tendencia actual y generalizada de “fortalecer” la contraseña con dispositivos complejos.

Se dice que el problema es la debilidad de la contraseña ( password ) que usan las personas para ingresar en los sistemas. El sistema cumple con lo suyo: si la contraseña está correcta, deja al usuario hacer lo que necesita. La idea es entonces complicar la contraseña para que no pueda ser “adivinada”. Pero el problema no está ahí, sino en el usuario que, inocente o negligente, no tiene cuidado y permite que otros obtengan su contraseña.

Cuando la contraseña es compleja, se tiende a usar la misma para todos los sitios, sean estos seguros o no. Esto acarrea mayor peligro. Es como crear una llave maestra de todas mis cerraduras y dejarla por ahí. Y esto es inducido por esas políticas.

Riesgo elevado. En teoría de seguridad, se sabe que la contraseña es una de las medidas más débiles de autenticación: el banco requiere saber quién es la persona, le pide su cédula y le pregunta por una palabra que “supuestamente” solo la persona conoce. Basarse en ese supuesto para dar acceso a dinero es bastante arriesgado. ¿Porqué no mejorar el método de autenticación?

Una manera de lograr autenticación es usando certificados: “sellos” digitales emitidos por una entidad certificadora que dan fe de que dicha persona es quien dice ser. Con ese “sello”, todo mensaje es cifrado y si el banco logra descifrarlo, entonces es porque procede del legítimo dueño. Si, además de eso, para usar el sello se pide al usuario una palabra de paso, tenemos autenticación de dos fases. Estos certificados son necesarios para las firmas digitales, base de las facturas electrónicas y parte de la iniciativa del gobierno digital. En este caso, la entidad certificadora sería el Banco Central. Actualmente, los bancos tienen su sello propio, solo es cuestión de crear certificados para los clientes (como cédulas digitales) y que la autenticación sea de dos vías.

Ahora, hay muchos tipos de ataques. Uno de los más fuertes es el del “Intermediario” ( Man-in-the-Middle ). En este, un servidor malévolo asume la cara del banco y el usuario realiza sus operaciones con él, engañado. Este servidor se comunica a la vez con el banco y repite toda operación que el cliente realiza. Al final, toda interacción del cliente y toda respuesta del banco es duplicada, ninguno de los dos se da cuenta del engaño. El intermediario tiene ahora suficiente información para simular ser el cliente.

Educación indispensable. Las tácticas descritas en varios artículos tienen sus puntos débiles, como en todo. Por ejemplo, la de la imágenes (conocida como SiteKey y desarrollada para Bank Of America), se ha demostrado que es susceptible a ataques “Intermediario” (http://cr-labs.com/publications/SiteKey-20060718.pdf). La lista de claves, incluso la tarjeta personal de números, pueden ser víctimas de este ataque. El usuario debe educarse en seguridad.

Actualmente, hay muchos dispositivos electrónicos que permiten a la gente administrar su seguridad. Algunas se parecen a las muy conocidas llaves “maya”, pero son mucho más inteligentes: permiten guardar certificados, generar contraseñas complejas, e incluso generar las “claves por tiempo”. Y estas llavecitas no pueden usarse si no se aplica una clave que solo el usuario conoce.

Se sugiere a los bancos escuchar a sus expertos en seguridad web. Si no los tienen, debieran contratarlos. A los usuarios, seguir los consejos de los expertos y tener mucho cuidado.