Página principal

Comercio electrónico

Criptología y seguridad

Cuestiones legales

Intimidad y privacidad

Virus

Artículos invitados

Estás en Criptonomicón > Artículos invitados > Criptología y seguridad > La seguridad en la banca a distancia

La seguridad en la banca a distancia

Por Mauricio Esteban Almagro

Tenemos demasiado en juego. Hemos confiado todos los ahorros de nuestra vida a un banco que ahora dice "salir a Internet" a prestar sus servicios a través de una red tan pública como popular. Un lugar donde todo el mundo puede acceder: los que tienen las mejores intenciones y... los que tienen las peores. ¿Estamos realmente seguros?

En este pequeño informe vamos a tratar de explicar de una forma sencilla y amigable las medidas de seguridad generales que un banco en Internet adopta, concepto por el que no se escatiman esfuerzos ni recursos, dada la especial naturaleza del negocio.

Un banco en Internet se presenta a sus clientes a través de un Web. Esta es la cara y el interfaz a través del cual éstos interactuan con sus activos, usando para ello un simple navegador. Como primera medida, la máquina dónde dicho WebSite está situado no es la máquina donde están los datos de los usuarios. Es el aplicativo Web o WAP (si se trata de telefonía móvil) el que, cuando es necesario, accede a la verdadera máquina o Host en la que se encuentran los datos reales de los usuarios.

El muro de fuego

La red a la que pertenece la máquina dónde se halla ubicada este interfaz o Web del banco, está protegida por lo que se conoce como un muro de fuego (firewall en inglés). Quiere decir esto que hay una barrera ante ella que va a rechazar sistemáticamente todo intento de conexión no controlada, basándose en una política de reglas que se establecen en dicho firewall. Es decir, sólo se admitirán conexiones a ciertos puertos, de determinadas procedencias, con determinados protocolos, etc.

Y por si esto fuera poco, la máquina por la que primero pasamos cuando traspasamos el muro es una especie de centinela que va a ser quien nos va a dirigir a la auténtica máquina donde reside el Web. Esto significa que si un hipotético hacker lograra atravesar la barrera inicial, aún tendría que conocer la manera de llegar a la máquina auténtica, burlando a nuestro centinela.

Existe pues un primer nivel de seguridad física que protege los datos almacenados en el banco.

Vamos ahora a acercarnos hasta la Oficina Virtual del banco en la Web y vamos a ver los principales elementos en los que se basa su sistema de seguridad.

Las claves

Clave personal, PYN o clave secreta. Cuando accedemos a nuestro banco en Internet, lo primero que se nos va a pedir es nuestro código de usuario y nuestra contraseña, aquellos que se nos otorgaron cuando contratamos el servicio. Al tercer intento consecutivo erróneo (incluso si cada uno de los intentos va espaciado en el tiempo) somos expulsados y deberemos identificarnos ante la Entidad para la reactivación de nuestro Logon y acceder de nuevo al servicio.

Identificación operativa. Para todas aquellas operaciones que vayan más allá de las meras consultas, como por ejemplo si queremos realizar una transferencia, el sistema nos va a solicitar una segunda contraseña con el fin que le ratifiquemos nuestra decisión.

Se nos ofrece la posibilidad de cambiar esta clave siempre que lo deseemos. Es conveniente hacer uso periódico de esta posibilidad para evitar que esté mucho en circulación, no vaya a ser que alguien "se la aprenda".

No obstante, el uso de claves puede no ser todo lo seguro que es deseable en un negocio de estas características, ya que si alguien con malas intenciones la llega a conocer, por el motivo que sea, podría hacerse pasar perfectamente por nosotros y estaríamos perdidos.

¿Qué otras alternativas tenemos?

El certificado digital

Un certificado es un documento electrónico, emitido por una Entidad Certificadora, que identifica de forma segura al poseedor del mismo, evitando la suplantación de identidad por terceros. Es el componente esencial de la firma electrónica, recientemente regulada en España.

Es una herramienta que garantiza la identidad de los participantes en una transacción que requiera altos niveles de seguridad. Es nuestro DNI unívoco en Internet. Mediante él demostramos a la máquina que recibe nuestra conexión que somos quién realmente decimos ser. Esto se conoce con el nombre de autenticación.

Y no queda sólo ahí el tema, el servidor Web del banco en Internet también es poseedor de su correspondiente certificado digital y nos demuestra con ello que el Banco X es realmente el Banco X y no estamos enviando nuestros datos a un impostor que se ha metido por medio y pretende suplantarle con malsanas intenciones, aprovechándose de que nosotros no podemos ver dónde está realmente llegando nuestra conexión, allá en las oscuras profundidades de la Red.

Podemos ver reflejada una situación similar cuando realizamos alguna compra con tarjeta, ya que. es práctica cada vez más habitual que se nos pida el DNI. Estaremos de acuerdo en que es una medida mucho más segura que la de simplemente obligarnos a teclear un PYN que podemos haber conseguido de cualquier forma.

Ya conocemos algunos de los elementos de seguridad a nivel de autenticación y del acceso físico a los codiciados datos. Pero, ¿qué pasa con la información que viaja a través de Internet entre nuestro hogar y esa "super-protegida" red del banco? ¿podría alguien cotillearla?

Servidores seguros

El servidor Web de nuestro banco es un servidor seguro, esto es, establece una conexión con el cliente de manera que la información circula a través de Internet encriptada, mediante algoritmos, lo que asegura que sea inteligible sólo para el servidor y el navegador que accede al Web, entendiéndose ambos mediante un protocolo que se ha dado en llamar SSL. De este modo, ninguna persona externa, que eventualmente estuviera espiando ese trasiego de información, podrá descifrar nuestros datos confidenciales mientras viajan hacia y desde la red del banco.

Un servidor seguro nos proporciona tres elementos de seguridad:

  • Autenticidad. Lo adelantábamos en el punto anterior. Podemos tener la seguridad de que estamos comunicando nuestros datos al auténtico servidor del banco, al que le ha sido expedido el correspondiente certificado digital. De igual forma, a través de nuestro certificado digital personal, nos autentificamos nosotros ante el banco durante las transacciones delicadas.
  • Confidencialidad. Los datos, en el caso de ser capturados por alguien, no podrán ser interpretados ya que viajan de modo encriptado.
  • Integridad. Los datos llegan al servidor del banco sin sufrir alteración alguna por el camino, ya que si ésta se produce, por mínima que sea, SSL se da cuenta.

Para que un servidor sea seguro es necesario que tenga un certificado emitido por una Autoridad de Certificación (como Verisign) , quien concede dicho certificado después de una exhaustiva comprobación de los datos aportados por la empresa solicitante.

Nosotros, como usuarios, sabremos que estamos conectados con un servidor seguro cuando en el navegador aparezca el símbolo correspondiente: un candado cerrado. Además, si nos fijamos en la URL veremos que el tradicional "http://" se ha convertido en "https://".

Después de conocer todas estas medidas esperamos que aumente la confianza en las transacciones vía Internet en general y en las bancarias en particular, si bien no podemos garantizar que ningún sistema sea invulnerable. No lo es la NASA, no lo es el Pentágono y de Alcatraz también se puede escapar, al menos en las películas.

Al fin y al cabo, somos humanos...

Publicado en el Boletín del Criptonomicón #76.

Mauricio Esteban Almagro trabaja para Telefónica Sistemas, desarrollando su trabajo como Analista de Sistemas y Aplicaciones en el Centro de Proceso de Datos del Banco de Bilbao Vizcaya Argentaria, en el Departamento de Servicios Financieros Virtuales.

Información adicional

* Banca-e
* Cortafuegos: la mejor defensa

Herramientas

Envía este artículo a un amigo
Recibe estos artículos por correo
¿Algún enlace no funciona?

Otros artículos publicados

Lee otros artículos en Hablan los expertos


Copyright © 1997-2000 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.

Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.