Seguritecnia 368

70 SEGURITECNIA Octubre 2010 Seguridad en Entidades Financieras lo referente a banca online es la genera- ción de confianza. Las entidades han de conseguir que los usuarios confíen ple- namente en estos sistemas y operen con absoluta tranquilidad de que no van a ser víctimas de un fraude. Lograr generar esta confianza no va a ser sencillo, pero la tecnología cada vez nos ofrece más posibilidades para im- plementar mecanismos de seguridad que permitan evitar muchos de los pro- blemas que actualmente existen. Entre ellos, por ejemplo, cabe des- tacar los nuevos métodos de autenti- cación que prescinden de las creden- ciales clásicas y se centran en el uso de la biometría o los certificados di- gitales. Si conseguimos garantizar la identidad de los usuarios que acce- den a los sistemas de banca online de manera sencilla y segura, se eliminará una de las peores trabas, actualmente, que es la suplantación de identidad del usuario. Algunas de estas nuevas herramien- tas disponibles que están popularizán- detectar por parte de los usuarios si no cuentan con las herramientas antivirus adecuadas. Estos ataques han generado dos pro- blemas principales para las entidades. En primer lugar, además de las pérdidas derivadas de los fraudes, han provo- cado una cierta desconfianza por parte de los usuarios hacia la operativa en banca online . Muchos clientes rechazan estos sistemas de seguridad, y muchos otros, cuando operan, lo hacen con des- confianza y pensando que, en cualquier momento, pueden sufrir un fraude. En segundo lugar, el uso masivo por parte de los ciberdelicuentes de herra- mientas como el correo electrónico o las webs fraudulentas para sus ataques, ha limitado muchísimo el uso de es- tas herramientas por parte de las enti- dades. Actualmente, cada vez que los usuarios reciben un correo electrónico de su entidad bancaria, es tratado con desconfianza y, en muchas ocasiones, enviado a la papelera, lo que práctica- mente ha inutilizado el email como he- rramienta de comunicación del banco con su cliente. Al final, la comunicación con el cliente se limita a la web de banca online , a la que el usuario entra cuando quiere operar. Los intentos de crear otro tipo de inicia- tivas de marketing, como webs distintas con pro- mociones, etc., son recibi- das nuevamente con cierta desconfianza por parte de los usuarios, que no saben hasta qué punto pueden ser seguras. Teniendo en cuenta todo ello, nos encontramos que el reto más importante para las entidades financieras en ción por parte de los usuarios, acompa- ñado de pequeños fallos de funciona- miento que, en ocasiones, hayan facili- tado que sean desechadas por parte de las entidades. Más complejas que la anterior y tam- bién desarrolladas sobre hardware , son las soluciones basadas en tarjetas y lec- tores con teclados. Estas soluciones, sin uso en el mercado español, consisten en un lector conectado al PC en el que el usuario inserta una tarjeta entregada por su banco. El lector cuenta con un teclado numérico con el que el usuario introduce un PIN para identificarse. Es- tas soluciones solventan en gran me- dida el problema de la autenticación en el entorno bancario, por lo que son muy adecuadas para las entidades. El problema es que han sido rechazadas mayoritariamente por los usuarios, que han de preocuparse de contar con el hardware específico en todo momento y de custodiar la tarjeta proporcionada por la entidad. Dado que estas soluciones no han ca- lado entre los usuarios, actualmente los bancos están orientando sus nuevas so- luciones de seguridad a los teléfonos móviles de los usuarios, bien sea a tra- vés de contraseñas de un solo uso en- viadas vía SMS, o bien de aplicaciones ejecutadas en los teléfonos que gene- ran las contraseñas de uso único. Si bien estas soluciones parece que están siendo mejor acogidas por parte de los clientes, también conllevan una serie de problemas y desventajas en otros aspectos, por lo que tampoco pueden considerarse como solución definitiva a la cuestión de las credencia- les que identifican a los usuarios. Confianza del usuario Además del robo de credenciales, otras técnicas utilizadas por los ciberdelin- cuentes incluyen troyanos que se intro- ducen en el navegador y alteran la ope- ración realizada por el usuario, cam- biando, por ejemplo, los números de cuenta a los que se realiza una transfe- rencia. Este tipo de software malicioso es extremadamente peligroso y, en mu- chas ocasiones, es muy complicado de Los teléfonos móviles se han convertido en una he- rramienta de refuerzo para las operaciones bancarias, con utilidades como la re- cepción de SMS con claves adicionales.