Hace unas semanas, “mi” entidad bancaria me informó de que habían implementado ciertas modificaciones para incrementar la seguridad de las operaciones bancarias (en realidad admito que no sé si decía “incrementar” de manera explícita, pero desde luego estoy seguro de que no mencionaba “reducir”). El cambio consistía en que la archiconocida tarjeta de coordenadas dejaba de funcionar, y en su lugar el código que se debía utilizar para autorizar la operación se recibiría en el móvil.
Todo parece correcto. Me siento frente al ordenador, abro la página web de la entidad bancaria e introduzco mi código de acceso. Voy, por ejemplo, a realizar una transferencia. Relleno los datos y a la hora de firmar la operación en el móvil recibo un mensaje push con el código que tengo que utilizar. En apariencia el cambio no es de gran relevancia, aunque sí es cierto que es más cómodo, ya que el móvil lo suelo tener localizable, y la tarjeta no siempre la llevaba conmigo. Además, en teoría es más fácil perder o que te roben la tarjeta de coordenadas que el móvil, por lo que con este cambio evitamos que si la pierdo, tenga que solicitar una nueva, lo cual puede suponer un incordio si necesito hacer una operación de urgencia.
Genial, ¿no? Dejémoslo en psé…
El problema viene cuando consideramos la pérdida o robo del móvil. Si asumimos que un usuario no protege el acceso a su móvil por PIN, huella dactilar o patrón de deslizamiento (que es algo que la entidad bancaria no tiene por qué asumir), nos encontramos con que la seguridad de cualquier operación queda reducida a un número de cuatro cifras: el PIN de acceso a la cuenta. Y no hablamos de un pago, como podría ser el caso del robo de la tarjeta, sino de cualquier operación. Por ejemplo, una transferencia de todo mi dinero a una cuenta de Western Union.
Porque en el móvil una vez se introduce el código de acceso a la cuenta, todo el campo es orégano; el proceso de firma de una operación no aporta nada en absoluto: se pulsa el botón “Firmar” y en ese momento el código de firma aparece en la parte superior de la pantalla. Sólo tiene que introducirse en la caja de debajo y voilà. Así de simple. De hecho, podría eliminarse la firma cuando se utilice la aplicación en el móvil asociado a la cuenta, y el resultado sería el mismo. Técnicamente, podría decir que cuando utilizo mi móvil, las operaciones no se firman.
No puedo negar que este cambio supone una gran comodidad. Sólo con el móvil puedo realizar cualquier operación sobre mi cuenta bancaria, sin tener que localizar o llevar encima la tarjeta de coordenadas. Y va en la línea del pago vía móvil que empieza a llegar de manera masiva, en el que el móvil pasa a sustituir al plástico, y en el que habrá que ver cómo van a gestionar las entidades los riesgos derivados del malware en dispositivos móviles. En cualquier caso, si consideramos que la utilización de aplicaciones móviles para la realización de gestiones bancarias es cada vez más habitual, un movimiento como este me parece que resta mucha seguridad a mi cuenta bancaria.
Fe de erratas: “[…] había implementado […]”.
Fdo: el autor.
Por eso el digipass es mejor que nada. La combinación de artículos físicos con software es mejor que solo una aplicación.
Buenas.
Acabo de llegar aquí :)
Si te sirve de “consuelo” una entidad bancaria conocida y con cierto peso, sólo permite contraseñas de acceso al frontal web de 6 caracteres, cuando pregunté el motivo, me indicaron que era porque como usan doble factor de autenticación con SMS al móvil, que pensaban que era seguro y por eso no permitían contraseñas más largas, así que entonces:
Login: dni
Longitud de pass <=6
Factor de autenticación código enviado al teléfono, con opción de que se pueda previsualizar en la recepción :/
En resumen, con el dni de una persona tener el teléfono cerca y algo de fuerza bruta/ingeniería social te haces con la cuenta del banco
PD: Mejor añadir más factores de autenticación, lo que eres, lo que sabes, lo que tienes, lo que sabes hacer ;)
Un saludo,
Juanma.
¿Se podría utilizar Latch para aumentar la seguridad?
No me da ninguna seguridad añadir una app al móvil para realizar acciones; mientras pueda desde luego voy a evitar tener una app para tales gestiones.
Tal vez será antiguo, pero sólo uso 1 único equipo para gestiones bancarias y la tarjeta de coordenadas siempre guardada en el mismo lugar.
Un saludo,
Efectivamente, si bien los riesgos en seguridad para el acceso a los bancos es de las más potentes…y presenta este tipo de vulnerabilidades, la exposición de los pequeños usuarios en los accesos desde cualquiera de los dispositivos con los que nos conectamos a la red es enorme.
Supongo que hasta que no se imparta una asignatura para enseñar lo más básico en primaria, será imposible que los particulares sean conocedores de cómo protegerse de cualquier intrusión online.