A todos nos interesa cuidar nuestro dinero. Siempre nos preocupa, en estos tiempos, la posibilidad de que alguien pueda apropiarse de él por vía digital. Recientemente, los clientes de algunos bancos –no el Banco Nacional– parecen haber sido víctimas de ese tipo de fraude. Por eso, las empresas financieras actúan en este campo con gran prudencia. En el Banco Nacional, en particular, usamos una serie de filtros de identidad sucesivos, para proteger las cuentas de cada uno de nuestros clientes.
Uno de esos filtros es el teclado virtual, que funciona a base de un complemento de Java. Como cualquier software, ese mecanismo debe estar actualizado para protegerlo de eventuales ataques. Responsablemente, instamos a nuestros clientes a instalar la última actualización (Java 7.11) en sus equipos. No ha existido ningún ataque, ni es previsible que exista, pero procedemos así por prudencia.
Esa prudencia, lamentablemente, estuvo ausente de la forma en que el diario La Nación informó al respecto. Con gran despliegue, dio la impresión de que los equipos de nuestros clientes están expuestos a un ataque inminente, solo por el hecho de tener instalado ese applet. En un banco que contara menos con la confianza de sus clientes, eso pudo haber dado lugar a una estampida financiera de graves consecuencias. Por fortuna, no ocurre así con los clientes del Banco Nacional, que saben que contamos con el sistema de banca digital más robusto del país.
Sin embargo, es importante hacer algunas aclaraciones, para despejar posibles dudas. Lo hacemos con palabras del presidente de la Asociación Internacional de Arquitectos en Tecnología de Información (capítulo Costa Rica), William Martínez Pomares, publicadas en el blog +Tec del 24 de enero pasado:
“No es cierto que por usar (o durante su uso) la aplicación de Banco Nacional se esté en peligro. El applet del Banco Nacional, a menos que sea cambiado por un hacker, no contiene código malicioso que ataque nuestros equipos. Y los hackers no pueden, mientras se tiene una sesión en el navegador con el banco, cambiar el applet. Lo que sí pueden hacer es engañar a la persona para que vaya a una página duplicada haciéndole creer que es la del banco, y en esa página falsa poner un applet malicioso. Claro está, el hacker puede hacer esto mismo duplicando cualquier otra página, inclusive no bancarias. En este caso, el usuario debe tener cuidado de no caer en el engaño”.
Algo similar dice, sobre el mismo tema, el prestigioso analista norteamericano Eric Bruno, escribiendo en el conocido blog informático Dr. Dobb el 21 de enero:
“He estado tratando de explicar a colegas y amigos que esto (la amenaza CVE-2013-0422) solo es un problema si el usuario se dirige hacia un sitio web maligno. Con o sin Java, dirigirse a un sitio web maligno es peligroso y en cualquier caso genera vulnerabilidad”.
Dicho todo esto, podemos agregar que el Banco Nacional tiene en su línea de mejoras para este año 2013 la incorporación de la tecnología denominada “ token invisible”.
Esta tecnología, en conjunto con los tokens celular y llavero, hace innecesario el uso de la herramienta Java en el computador del cliente. De modo que el BN estará dejando atrás Java, no por las publicaciones alarmistas, sino por la constante aplicación de innovaciones tecnológicas en BN Internet Banking.