Seguritecnia 368

SEGURITECNIA Octubre 2010 67 Seguridad en Entidades Financieras o degradación de servicio de los siste- mas de consulta de las CRL publicadas, implicaría también la degradación o la denegación de servicios a los usuarios de la banca online . Dado que estos sis- temas no cuentan con la posibilidad de negociar acuerdos de nivel de servicio, ni la priorización del tráfico, se liga en la práctica la prestación del servicio online a la disponibilidad de los sistemas de respuesta a consultas de las CRL. Una posible solución podría pasar por la en- trega de estas listas sólo a las entidades que puedan prestar el servicio con nive- les de garantía. El DNIe es una oportunidad para me- jorar nuestra sociedad, para las empre- sas y, sin duda, para la banca, pero de- bemos esperar a que maduren las tec- nologías, a que éstas se acepten por parte de la sociedad y a que se solven- ten las barreras que están impidiendo su adopción y uso masivo. Aunque la banca debe contribuir, no es justo pe- dirle a este sector el mayor esfuerzo para conseguir su adopción. Este es- fuerzo le corresponde, en gran parte, a la Administración y, por igual, a todos los sectores productivos de nuestro te- jido empresarial en contacto con los ciudadanos. S cia al respecto, que provoca que hasta los organismos reguladores continúen exigiendo la documentación en papel a las entidades. La autenticación con el DNIe emplea los certificados incorporados en la tar- jeta para, a través de un mecanismo de firma electrónica, demostrar me- diante la posesión de la tarjeta y el co- nocimiento del PIN que somos los pro- pietarios legítimos. Pero este proceso requiere que en cada transacción se realice la comprobación sobre si el cer- tificado empleado no se encuentra in- cluido en la lista negra de certificados revocados que publica la Dirección Ge- neral de la Policía (DGP), la lista cono- cida como Certificate Revocation List (CRL). Estas listas se entregan por la DGP a un número limitado de organismos públicos, como el Ministerio de la Presi- dencia y la FNMT, para su publicación a través de Internet o del Sistema de Apli- caciones y Redes para las Administra- ciones (SARA). Si cada transacción de autenticación de usuarios de acceso a la banca online se realizase con el DNIe, requeriría que los sistemas de todos los bancos y cajas duplicasen el número de transacciones contra estos sistemas. Ante una caída en ocasiones crípticos, pa- sos innecesarios y reiterati- vos, reinicios de la máquina y hasta incompatibilidad de versiones con componen- tes del sistema operativo o de determinadas aplicacio- nes. La instalación debería ser tan simple como conec- tar el dispositivo lector e in- troducir nuestro DNIe en él, el concepto que tanto nos gusta de Plug&Play . La confi- guración debe ser nula y su uso, extremadamente simple, pero infor- mando al usuario de los pasos que debe realizar y tolerante a los fallos que el pro- pio usuario pueda cometer. En este sen- tido, creo que sería muy útil unificar los mensajes que recibe el usuario para ge- nerar una sensación de familiaridad, de forma equivalente a cómo se realiza ac- tualmente en los cajeros automáticos. Y si la tendencia, como auguran los expertos, es al acceso a la Red mediante dispositivos móviles, llama la atención la falta de soporte del DNIe y de los lecto- res correspondientes para estos disposi- tivos. Si ahora puedo acceder a la banca electrónica desde mi móvil con usuario y contraseña y en el futuro se impone el uso del DNIe como sistema de autenti- cación único, esto significará que ya no podré utilizar el móvil para realizar mis transacciones. Una de las supuestas ventajas del uso del DNIe en las transacciones es su am- paro legal para la firma de documentos o transacciones. La Ley de firma electró- nica 59/2003 hace equivalente su uso a la firma manuscrita, lo que permite la firma de documentos de forma remota sin requerir la presencia de las partes. Sin embargo, una particularidad de este método es la ausencia de jurispruden- Uno de los condicionantes del DNIe es su usabilidad. El usuario no está fami- liarizado con un elemento de autenticación que no es 'Plug&Play' y que no es tan sencillo de utilizar como una tarjeta de crédito en un cajero.