La seguridad de la banca on-line ha sido el tema central de un desayuno de trabajo organizado por la revista directorTIC en las instalaciones de TAI Editorial. Entre los ponentes representantes de cuatro de los más importantes fabricantes de seguridad: CA Tecnologies, Panda Security, Fortinet y Sophos.
¿Se puede saltar una entidad bancaria un sistema de seguridad propio, aunque no deba? Los asistentes al encuentro afirman que sí, otra cosa es que se deba. Porque, tal y como reconocía José Antonio Mora, SR Solution Strategist de CA Technologies Iberia, desde el punto de vista de las soluciones de tecnología de seguridad, el cometido es ofrecer precisamente eso: seguridad. El resto de ponentes, en la misma línea, afirman brindar los controles de seguridad y a partir de ahí las entidades bancarias pueden saltarse las barreras que ellas mismas han puesto. Sin embargo lo considerarían poco ético porque hay que proteger las medidas del país y la ley dice que este tipo de cosas no se deben hacer.
La seguridad en la banca on-line
En cuanto a la seguridad de la banca física o de la banca on-line Pablo Teijeira, Country Manager Spain & Portugal en Sophos, lo tiene claro: la primera es una proyección de la segunda. Es más, considera que este sector está haciendo grandes esfuerzos, invirtiendo en muchos recursos tecnológicos y económicos porque constantemente se están afrontando nuevos vectores de ataque y otros conocidos como el malware dirigido, por poner algún ejemplo. Por esta razón afirma que no vale con proteger solo la web si la gente está accediendo a la misma a través de un móvil. La protección tiene que tener un enfoque más completo para dar a los usuarios una mayor seguridad.
Tipos de bancos
Y en cuanto a dimensiones la seguridad sería abordada en función del tamaño según Luis Miguel Cañete, director de canal de Fortinet Iberia. Y es que su opinión están los dos grandes y el resto. Recuerda que la gran banca es la que más tiene securizarse por ser la más atacada, aunque reconoce que es el sector más protegido. A pesar de ello no debe dejar de invertir en esta materia. Pablo Teijeira discrepa en este sentido ya que considera que “en la banca on-line no existen diferencias porque la banca pequeña también sufre ataques masivos dirigidos, aunque los ataques a las grandes sean mucho más elaborados”.
El papel de los usuarios
Los usuarios tienen un papel fundamental en la seguridad bancaria. Cañete comenta el hecho de que ante un fraude, como es el banco el que pierde, los clientes se relajan y no ponen las medidas de seguridad necesarias, representando un problema. “Por ello se necesitan soluciones de seguridad de firewall de aplicaciones web que eviten ataques como la denegación de servicio, con el que los bancos pueden perder millones”
Y si antes los ataques iban dirigidos a conseguir dinero ahora están más focalizados a hacerse con los datos, comenta. A lo que Teijeira rebate porque al final el robo de los datos supone dinero. “El que ha realizado ese ataque va a robar los datos para vendérselos a otro, que es quien va a quedarse con el dinero”. Y si eso lo que quieren son los datos, se pueden encriptar los mismos y ya no se podrá hacer nada contra ellos.
Desde Panda Security, su director de canal, Emilio Castellote, destaca el hecho de que en los últimos 20 años se han desplegado políticas de seguridad inmejorables, con un grado de supervisión muy alto pero los bancos desconocen si los usuarios de sus servicios están protegidos. El problema es de acceso, advierte, no de custodia de la información, porque este último, en mayor o menor medida está resuelto. Pero ¿qué ocurre cuando un usuario accede a una información y ese terminal no está correctamente protegido? Que la misma va a ser robada y utilizada por terceros. También considera relevante la ingente cantidad de aplicaciones que se usan porque el patrón de comportamiento de estas amenazas dirigidas es a través de una explotación de vulnerabilidades. “Tener una aplicación instalada en un equipo y bien parcheada es crítico y fundamental, que sea legítima para que no inyecten un troyano porque si lo hacen, a partir de ese momento” captarán toda la información. Por ello aconseja tener en cuenta que las aplicaciones instaladas sean correctas, más allá de tener un antivirus o una solución de seguridad. ¿Cómo podemos resolver esto? Con el cloud, afirma.
Y todo ello sin olvidar las appis, recuerda el representante de CA: José Antonio Morales. “Hay que proteger la autenticación, el acceso, la transacción, combinando factores como la geolocalización. Ya se habla del banco como interfaz a terceros para que otras compañías desarrollen sus propios servicios”, dice. “Es otro vector de ataque y una oportunidad más para el negocio”.
Ante todo ello Pablo Teijeira expone que ahora el perímetro de seguridad bancario es mayo y que si bien la la seguridad perimetral clásica está cubierta, en este momento el sector bancario se está abriendo al WAF, por lo que hay que dar la seguridad adecuada en todos los niveles porque si falla uno, el sistema completo de seguridad puede fallar.
Por lo tanto, lo que ya teníamos lo tenemos que ampliar, replica Castillote.
Conflictos
Castellote llama la atención sobre otro tema: el conflicto que hay entre la empresa que quiere captar usuarios y usuarios que quieren servicios cuanto más sencillos mejor, sin ninguna obligación y sin que le condicionen a instalar ningún software, sin restricciones, haciéndolo desde cualquier lugar. Al igual que Morales, quien alude a la dicotomía que hay en este momento en el mundo bancario ya que por un lado están viendo nuevas áreas de negocio para comercializar y las áreas de seguridad. “El negocio está haciendo más complicada la tarea evangelizadora porque es tal el volumen de negocio que hay que el problema del fraude”, advierte.
Para Pablo Teijeiro lo fundamental es que el usuario valore que sus datos están más seguros en la banca on-line, porque así habremos ganado una parte gigantesca a esta batalla. Aunque el problema para Castillote viene también porque nadie ha intentado transmitir la sensación de inseguridad que hay en el mundo on-line. La sociedad no ha asumido que hay que tener una mínima seguridad, critica. “Por esa razón utilizamos dispositivos indiscriminadamente, sin conocimientos tecnológicos, instalamos cualquier programa sin ninguna medida de seguridad”.
Los ponentes también aluden a la opacidad de la banca española como algo negativo, por lo que aconsejan eliminarla.
Otra medida que convendría llevar a cabo viene de la mano de José Antonio Morales, para quien “el propio banco tendría que convertirse algún día en un proveedor de identidad digital para sus clientes, porque así la cosa cambiará”. Es más, el usuario está preparado para ello, asegura el director de canal de Panda Security. Aunque Morales está convencido de que “ninguna organización pública va a ser capaz de responder a los requisitos que los negocios de nuestros clientes van a tener en materia de identidad, porque estaríamos toda la población financiando los nuevos canales de negocio de los bancos”.
Banca y redes sociales
Está empezando a despegar una nueva banca orientada hacia la red social como gestión de negocio. ¿Esto está abriendo a los bancos al riesgo y este está compensando con lo que le aporta? Porque ya se están realizando todo tipo de ataques hacia esto.
Para Emilio Castillote esta problemática existe pero en muchos de los casos queda un poco al margen de la parte tecnológica. Mientras para Pablo Teijeira la preocupación vendría de la mano de que hubiera que autenticarse con Facebook “porque sería un gran peligro” y más teniendo en cuenta que esta compañía colabora con la NSA…
Sin embargo, todos ellos aseguran que la banca on-line a través de las redes sociales llegará, por lo que hay que encontrar la manera para que sea seguro.
“La banca ya está buscando a sus clientes en las redes sociales”, afirma Pablo Teijeira. Si es seguro y quitamos la opacidad, estaría bien. Aunque José Antonio Morales puntualiza que cree una nube de redes sociales dará la posibilidad de auntenticación, no solo una y que probablemente todo esto se acabará segmentando por tramo de edades, nivel de alfabetización digital, patrones de comportamiento…
El papel de la nube en el sector financiero
El representante de Sophos advierte que en el tema del cloud computing habría que tener cuidado porque hay cosas que no se deberían llevar a la nube. “La nube es una forma de mejorar el cash-flow pero habría que distinguir que tipo de nube ya que te puede costar los mismo o más que in house”, aclara. Y hace una distinción entre nube y pago por uso.
El consejo desde Panda Security gira en torno a que la mayor ventaja de la nube vendría de sacar el máximo rendimiento de cualquier avance tecnológico desde el primer momento, porque muchas corporaciones se ven lastradas por el nivel de seguridad y hasta que no amortizan en tres o cuatro años una plataforma, no pueden permitirse evolucionarla. Y es como apunta el Country Manager Spain & Portugal de Sophos “hay proveedores en la nube que no te aseguran la evolución tecnológica, simplemente es una compra de licencias·, por lo que hay que tener muy claro qué es lo que tienes”.
En cuanto al pago por uso tendría que ser flexible, añade el Sr. Solution Strategist de CA, “porque el servicio en la nube tiene que ser elástico: si crece el negocio crece el previo y viceversa”
A Luis Miguel Cañete le cuesta pensar que la banca se acabará llevando sus sistemas críticos a la nube.
El papel de la LOPD
Aunque la LOPD no ha evolucionado en los últimos 20 años, para Teijeira tiene muchos puntos positivos y gracias a ella España está en el Top 4 mundial, según todas las agencias independientes, en privacidad y seguridad de los datos del ciudadano. El problema tal vez derive de la aparición de nuevas problemáticas que no están tratando en la forma que debería tratar, por la falta de actualización de la misma.
Sin embargo la misma puede quedar bajo la futura ley europea, que podría aprobarse dentro de un año. Esto es lo que en opinión de Luis Miguel Cañete puede haber frenado la evolución de nuestra LOPD.
Y todos ellos coinciden en que la LOPD ha creado nuevas necesidades en sus clientes que hay que solventar.
Inma Elizalde
