Seguritecnia 368

66 SEGURITECNIA Octubre 2010 Seguridad en Entidades Financieras E l uso actual del DNI electró- nico (en adelante DNIe) en ta- reas de autenticación de usua- rios en Internet y, en especial, en la banca electrónica es bajo o práctica- mente inexistente. La mayoría de las entidades financieras no lo considera adecuado para controlar el acceso de sus empleados y proveedores a los sis- temas de información internos, aun- que cada vez más entidades bancarias lo han implementado como opción voluntaria en su banca electrónica. Sin embargo, el uso del DNIe en la banca electrónica hoy se sitúa en apenas el 0,30 por ciento de las transacciones to- tales de autenticación. La Sociedad de la Información nos lleva a un modelo de transacciones por Internet donde ya no existe el con- tacto físico entre las partes implicadas y, por tanto, ya no se puede identifi- car, como estábamos acostumbrados, a la persona o personas con las que nos relacionamos. El uso de sistemas de identificación y autenticación basa- dos en algo que conocemos, como el usuario y la contraseña, es vulnerable a diversos tipos de ataques, entre los que cabe destacar la ingeniería social, los ataques de diccionario y los keylog- gers o programas que capturan todo lo que tecleamos. Los bancos y cajas promueven el uso de la banca electrónica principal- mente por la comodidad que le supone al usuario, evitándole desplazamientos innecesarios y por el ahorro de costes en las transacciones, parte de los cua- les algunas entidades trasladan a sus clientes. El DNIe es una tarjeta inteli- gente que implementa muchas medi- das de seguridad físicas, electrónicas y criptográficas, probablemente superio- res a las que implantaría cualquier em- presa comercial. Además, estas medi- das han sido certificadas por laborato- rios independientes y reconocidas en un esquema internacional de certifica- ción como es Common Criteria con el ni- vel EAL4+. Aunque existen en el mer- cado dispositivos similares, incluso con una certificación equivalente, su uso su- pone habitualmente duplicar o triplicar el coste de los sistemas actualmente en uso para la autenticación de usuarios. El DNIe es un dispositivo universal, es decir, que tendrán casi todos los ciuda- danos españoles mayores de edad (ex- cepto los extranjeros residentes), y su emisión e incidencias no implican ape- nas costes para la entidad. Somos hoy el primer país de Europa, y probable- mente del mundo, por número de dis- positivos de firma electrónica desple- gados entre sus ciudadanos. A finales de este año, alcanzaremos probable- mente los 19 millones de DNI electróni- cos emitidos, lo que nos coloca en una posición de liderazgo potencial para el desarrollo de la Sociedad de la Infor- mación. Además, el DNIe es principal- mente un desarrollo nacional, realizado brillantemente por la Fábrica Nacional de Moneda y Timbre (FNMT), con tec- nologías proporcionadas por varias em- presas españolas y multinacionales que cuentan, como ya hemos mencionado, con las más altas certificaciones inter- nacionales en seguridad. Es, en defini- tiva, un producto principalmente “ made in Spain ” del que podemos estar orgu- llosos todos y que está sirviendo de re- ferencia para su implantación en otros países. ¿Por qué no triunfa? Si es un dispositivo tan seguro, está tan generalizado y no implica costes a las entidades, ¿por qué éstas no lo han abrazado masivamente y establecido como el sistema de autenticación pre- ferido? La respuesta a esta compleja pregunta hay que buscarla en diferen- tes campos. Como indica la consultora Gartner, a los bancos y cajas les prima retener y fidelizar a sus clientes en un entorno tan competitivo como el ban- cario. El usuario no siempre valora la se- guridad, en especial cuando ésta le ge- nera molestias e incomodidades en el acceso a los servicios. Lamentablemente, la seguridad y la usabilidad no suelen estar alineadas y es complejo explicar los beneficios de un sistema que requiere disponer de un lector, extraer la tarjeta de la cartera, es- perar 20 segundos y teclear varias veces un PIN largo de ocho caracteres para acceder a los servicios, frente a los cua- tro o cinco segundos necesarios para acceder con usuario y contraseña. La instalación del hardware y software necesario para operar con el DNIe en los diferentes sistemas operativos de- lata su falta de madurez con mensajes DNIe como medio de autenticación y seguridad: defensores y detractores Rames Sawart / Director general de Smart Access Si el DNIe es seguro y no implica costes, ¿por qué no es el sistema de autenticación preferido?