miércoles, 5 de julio de 2006

Chile; Banca y seguridad informática



Entre el 2005 y el 2004 las transacciones por e-banking crecieron 58% llegando a 800 millones en el año.
Por ello, los bancos han implementado una serie de medidas para impedir el fraude por esos canales.

En Chile, aproximadamente el 60% de las transacciones de la banca se realizan en operaciones remotas; esto es, internet, teléfono y cajeros automáticos, entre otros. Por ello, la banca ha intensificado sus mecanismos para evitar que las cuentas de sus clientes sean vulneradas.

Según avanza el desarrollo tecnológico, los delincuentes también se perfeccionan en la forma de cometer fraudes por lo que las instituciones financieras y bancarias deben tomar los resguardos necesarios para proteger a sus clientes y su patrimonio para ello es necesario realizar las inversiones tecnológicas necesarias.

Recientemente una institución de capitales españoles acaba de implementar un sistema de seguridad en formato de tarjeta de coordenadas, que puede ser utilizada para operaciones de Internet y telefónicas. Este sistema consisten en una tarjeta tiene millones de combinaciones, y cada vez que un cliente quiera hacer una operación, se le solicitará una combinación única que no se repite, lo que asegura la confidencialidad de la transacción.

Esta tecnología se encuentra actualmente disponible en España y Estados Unidos y se espera entregar masivamente en Chile.

También se utiliza en la banca chilena el un dispositivo electrónico de password dinámica; esto es, que cambia a cada minuto la clave para hacer transacciones, por lo que si alguien la intercepta, no puede usarla al cabo de ese tiempo. Este instrumento es utilizado actualmente por los bancos BCI y el Banco de Chile, según ellos mismos reconocen.

Además, algunas instituciones financieras han implementado un sistema para compras por Internet con sus tarjetas de crédito, que consiste en una clave -que dura 48 horas-, con un monto establecido, con la que se pueden realizar las transacciones. Después del tiempo se extingue y nadie puede realizar compras con ella.

Pero un tema que es relevante es la educación de los clientes, hoy no existe un proyecto concertado con las instituciones bancarias y financieras sobre el uso de la tecnología y como las personas pueden resguardar sus intereses y puedan detectar situaciones anómalas como email de extraños y no entregar sus claves a terceros. Los sistemas pueden funcionar en forma muy eficiente siempre y cuando las personas sean capaces de resguardar y mantener reserva del uso de sus claves y dispositivos electrónicos. En este tema estamos muy atrasados en comparación con países desarrollados.


Evolución de la Banca Electrónica en Chile

Según datos de la Superintendencia de Bancos e Instituciones Financieras (SBIF), el año 2005 las trasacciones por e-banking aumentaron 58% respecto a 2004, desde 506.691.028 a 800.810.028. La evolución se ha mantenido en alza desde el 2000.

Las transacciones por cajeros automáticos, en tanto, crecieron 5,34% en el mismo período desde 233.617.047 en 2004 a 246.114.991 en 2005.

CIFRAS

60% de las transacciones en Chile se realizan actualmente por canales remotos, ya sea vía internet o por llamadas telefónicas.

3 comentarios:

Anónimo dijo...

Pero hay un dato importante: la primera recomendación que se le hace a un usuario de Internet es que verifique que antes de enviar sus datos la conexión sea segura. Si los clientes de los bancos hicieran ese simple ejercicio, verificando que el sitio al cual están a punto de entregar su clave y su identificador (RUT en el caso de Chile), no podrían utilizar prácticamente ningún sitio web de bancos en Chile. Triste, no?

Los bancos le están enseñando a sus clientes que deben ignorar esa simple pero efectiva verificación, con lo cual a los clientes les será mucho más difícil saber si están conectados con el sitio web del banco o con algún impostor (el sitio se ve idéntico en ambos casos). Claro, para los bancos es más atractivo agregar nuevos dispositivos (que tienen sus ventajas, cierto) y cobrarlos a los clientes que simplemente utilizar correctamente los protocolos de seguridad. Y sí, cuando el usuario está conectado con el banco, efectivamente la clave y el identificador viajan encriptados, pero también nos interesa el cliente que se conecta al sitio de un suplantador y no tiene cómo darse cuenta hasta después de haber enviado sus datos (y aún así puede ser fácilmente engañado). En resumen: la seguridad de esos bancos queda en manos del servicio de DNS, que no ofrece absolutamente ninguna protección.

Personalmente ya me aburrí de contar esto, pero siento la obligación moral de seguirlo haciendo cada vez que tenga sentido.

Andres Pumarino Mendoza dijo...

Jens
Gracias por tus comentarios, encuentro muy interesante tu punto, precisamente tengo en los proximos días una conferencia con los fiscales y auditores informáticos de la asocación de bancos donde trataré tu propuesta.

Desde mi perspectiva el sistema de seguridad de nuestros bancos es débil creo que tienen más marketing que protección real.

Más aun los usuario no tienen información ni educación en esto temas con lo cual no solo pueden fallar los sistemas sino que también las personas.

Anónimo dijo...

Un dato extra: ya se sabe hace tiempo que es muy fácil aprovechar la falta de autenticación del sitio web, pero ahora alguien se encargó de mostrar cómo aprovecharlo, en un sitio que usa doble autenticación. El ejemplo es un ataque de phishing contra el Citibank, que sí usa correctamente SSL (asegurando al cliente que está conectado, antes de pedirle ingresar sus datos) y por lo tanto el cliente que revisa correctamente que el sitio sea seguro puede darse cuenta. Aún así es fácil caer en el engaño. En el caso de la amplia mayoría de los bancos chilenos, para el cliente sería absolutamente imposible diferenciar el sitio web original del "falsificado", dado que ya aprendieron que el candado en el que hay que confiar es el que aparece dentro de la página (y que obviamente también está en el sitio "falsificado"). Ver: Citibank Phish Spoofs 2-Factor Authentication