Un administrador podía cortar el acceso a las disketteras y unidades de CD y con ello se podía evitar la instalación de cualquier código malicioso.
Con la llegada de Internet, la cosa se ha complicado enormemente, pues ya incluso no visitando páginas potencialmente peligrosas y no instalando software ilegal, es posible que entre código malicioso por varios motivos: Defectos del Sistema Operativo, código incrustado en alguna página que visitemos o simplemente mediante un correo electrónico o un documento (hoja de cálculo, texto o presentación).
Vimos también que podíamos instalar software de protección que, aunque no nos proporcionen fiabilidad absoluta, si que evitarían gran parte de los ataques externos.
El tema que deseo tratar ahora es otro bien distinto... Si nuestro ordenador se ve comprometido... ¿Hasta qué punto el banco lo ha tenido en cuenta?
Identificación y autenticación.
Quién acostumbra a utilizar un ordenador en el trabajo, verá que cada vez los administradores le complican más la vida con el uso de un usuario y una contraseña, que además la contraseña tendrá que presentar una cierta complejidad y que además, caducará cada x tiempo... Todo esto es para conseguir la identificación (con el nombre del usuario) y la autenticación (verificación de que el usuario es quién dice ser mediante una contraseña que se supone, sólo él conoce).
Con esto, el administrador persigue controlar los accesos del usuario y evitar que no acceda quién no debe. Además, se puede auditar los accesos para prevenir malas prácticas o intentos de intrusión.
El banco utiliza esta misma técnica para garantizar que el usuario que accede es quién dice ser.
El problema que se plantea es... ¿qué ocurre si el ordenador está comprometido y las pulsaciones de tecla están siendo enviadas a un tercero?
La inclusión de los teclados virtuales no es un impedimento, ya que dichas pulsaciones también pueden ser enviadas como si hubiesen sido escritas en el teclado normal.
¿Hasta qué punto son seguras estas medidas?
La Identificación.
En muchos casos es el propio banco quién impone el identificador del usuario. Las empresas suelen tener un documento de seguridad que define cómo se establece este identificador (habitualmente es la inicial del nombre y el primer apellido).
Particularmente preferiría que el identificador no diese información sobre el usuario, o al menos, no información sensible. A continuación pongo algunos ejemplos de los utilizados por la banca online.
- El identificador lo define el usuario al darse de alta, o es arbitrario. En mi opinión es la opción preferible.
- El identificador es un dato personal, o conjunto de datos personales como el DNI, o el DNI y la fecha de nacimiento o alguna pregunta cuya respuesta ha sido dada al banco previamente.
- El identificador es el número de la tarjeta de débito o de crédito (total o parcial).
La autenticación.
La autenticación es la contraseña que se utiliza para permitir el acceso una vez que el usuario ha sido identificado.
La mayoría de los bancos que conozco tienen un método de acceso no demasiado fuerte (usuario y contraseña) que permite realizar consultas, y un método algo más complicado (a veces sólo una contraseña algo más compleja) cuando se desee realizar una operación.
Si el sistema queda comprometido, sólo podrían consultar los movimientos de la cuenta pero no operar. Centrémonos en la segunda contraseña (para operar)... De más seguro a menos seguro:
- Utilización de la tarjeta de coordenadas... El banco pide una entrada de una tarjeta de coordenadas. Esta es la forma más segura, pues el atacante puede conocer una coordenada, pero el banco tardará en volverla a pedir. Sería totalmente seguro si las coordenadas no se reutilizasen, sino que la tarjeta quedase invalidada y enviasen otra cuando éstas se agoten.
- Petición parcial de la firma electrónica. Si existe una firma electrónica y sólo pide algunas posiciones, al atacante le costará conseguir la firma completa. Sería ideal si periódicamente caducase y existiese un sistema seguro de cambiar la firma (sin tener que teclearla, claro)
- Petición de la firma electrónica completa. A mi entender, es una aberración pero conozco algunos bancos que así lo hacen... ¡No digo nombres!
Mi intención es sólo que se reflexione un poco sobre este importante tema.
Gracias por leerme.