El diseño de la seguridad bancaria es muy delicado. Hay que entender los conceptos y, dado el aumento de las estafas bancarias, es mejor aclararlos.
Un sistema es un conjunto de componentes que interactúan entre sí. Un sistema bancario no es simplemente el software y hardware. Las instituciones y los humanos somos parte de ese sistema.
Así que no cabe decir que no hubo “una violación del sistema”, porque sí la hubo; un hoyo de seguridad en el eslabón más débil: el cliente.
En un sistema robusto y bien diseñado se usa el principio de la seguridad en profundidad, que significa quecuando una capa falla, la siguiente detiene el ataque. Es bien sabido que el cliente es la primera capa y que se utilizan técnicas sofisticadas de “ingeniería social” para que este revele datos sin darse cuenta.
Por eso, la capa que sigue debe estar preparada porque no puede, nunca, suponer que la capa superior es infalible.
Lo anterior significa que todo punto de entrada que requiera determinar si el cliente es quien dice ser debe tener un mecanismo para detectar, contener y remediar el caso cuando alguien está suplantando identidad.
Si ese punto es vulnerado por una persona que se hace pasar por el cliente y el sistema no se da cuenta, hay un hoyo de seguridad. Por tanto, no son válidos los controles débiles.
La seguridad restrictiva y complicada, sin embargo, evita que los negocios fluyan. Poner mil trabas para que la gente pague la luz no es aceptable. Esa es la razón de ser de los controles incrementales. Por ejemplo, para entrar en una aplicación y sacar una cita, con el usuario y la contraseña basta (es el control mínimo y el más débil).
Pero cuando se trata de transferir dinero, debe solicitarse una identificación más sofisticada (como tókenes, tarjetas de códigos y mensajes de validación). Si la transferencia es por montos mayores, es necesario algo más infalible, como la validación biométrica o la firma digital.
¿Qué pasa con las transacciones hormiga? Un atacante ingresa, pero solo puede pasar montos pequeños. Puesto que debe hacer muchas transacciones, la detección desempeña un papel fundamental.
El software debe descubrir el comportamiento extraño y solicitar la aprobación, congelar el dinero hasta que el cliente haya dado el visto bueno para el movimiento bancario y confirmar que las notificaciones fueron recibidas y leídas por el dueño de la cuenta.
Otro concepto esencial es el de superficie de ataque. Aplicado a la banca, los ataques de ingeniería social se producen en contra de las personas, suponiendo que tienen cuentas en los bancos grandes, como el Banco Nacional.
No significa que el banco tenga más fallas de seguridad, sino que, por las características de su clientela, es blanco de ataques mayores. Mi recomendación es que todos los bancos revisen su estrategia de seguridad.
Veamos otro concepto: la agilidad de contención. Un buen diseño permitirá no solo detectar una nueva amenaza, sino que tendrá la capacidad de contenerla y reparar el daño.
De esa forma, si nos damos cuenta de que hay ataques utilizando Sinpe Móvil, debe existir una estrategia que identifique el hoyo de seguridad, evite la explotación de este y lo repare lo más pronto posible (en un día, ojalá en horas).
La seguridad no es solo tecnología y trabas, precisa una estrategia que identifique los posibles ataques y riesgos, y defina la manera de prevenir el delito, detectarlo, contenerlo y reparar la falla de seguridad.
Para ilustrar lo anterior, tomemos el caso de la extracción de dinero cuando el delincuente tiene acceso a una cuenta porque engañó al banco haciéndose pasar por un cliente. No es una extracción física: solo es un movimiento digital. Es irrecuperable cuando de la cuenta destino extraen el dinero (un cajero automático, por ejemplo).
El banco cuenta con un tiempo prudencial para detectar el ataque y, como mencioné, debe proceder con un simple congelamiento de fondos mientras el cliente confirma (de viva voz) que la transacción es legítima. La tecnología lo permite, pero eso no lo da la tecnología por su cuenta, sino un buen diseño de la estrategia de seguridad.
william.martinez@iasacostarica.org
El autor es presidente de la Asociación Internacional de Arquitectos en TI, capítulo Costa Rica.