Hace unas semanas, “mi” entidad bancaria me informó de que habían implementado ciertas modificaciones para incrementar la seguridad de las operaciones bancarias (en realidad admito que no sé si decía “incrementar” de manera explícita, pero desde luego estoy seguro de que no mencionaba “reducir”). El cambio consistía en que la archiconocida tarjeta de coordenadas dejaba de funcionar, y en su lugar el código que se debía utilizar para autorizar la operación se recibiría en el móvil.
Todo parece correcto. Me siento frente al ordenador, abro la página web de la entidad bancaria e introduzco mi código de acceso. Voy, por ejemplo, a realizar una transferencia. Relleno los datos y a la hora de firmar la operación en el móvil recibo un mensaje push con el código que tengo que utilizar. En apariencia el cambio no es de gran relevancia, aunque sí es cierto que es más cómodo, ya que el móvil lo suelo tener localizable, y la tarjeta no siempre la llevaba conmigo. Además, en teoría es más fácil perder o que te roben la tarjeta de coordenadas que el móvil, por lo que con este cambio evitamos que si la pierdo, tenga que solicitar una nueva, lo cual puede suponer un incordio si necesito hacer una operación de urgencia.
Genial, ¿no? Dejémoslo en psé…
El problema viene cuando consideramos la pérdida o robo del móvil. Si asumimos que un usuario no protege el acceso a su móvil por PIN, huella dactilar o patrón de deslizamiento (que es algo que la entidad bancaria no tiene por qué asumir), nos encontramos con que la seguridad de cualquier operación queda reducida a un número de cuatro cifras: el PIN de acceso a la cuenta. Y no hablamos de un pago, como podría ser el caso del robo de la tarjeta, sino de cualquier operación. Por ejemplo, una transferencia de todo mi dinero a una cuenta de Western Union.
Porque en el móvil una vez se introduce el código de acceso a la cuenta, todo el campo es orégano; el proceso de firma de una operación no aporta nada en absoluto: se pulsa el botón “Firmar” y en ese momento el código de firma aparece en la parte superior de la pantalla. Sólo tiene que introducirse en la caja de debajo y voilà. Así de simple. De hecho, podría eliminarse la firma cuando se utilice la aplicación en el móvil asociado a la cuenta, y el resultado sería el mismo. Técnicamente, podría decir que cuando utilizo mi móvil, las operaciones no se firman.
No puedo negar que este cambio supone una gran comodidad. Sólo con el móvil puedo realizar cualquier operación sobre mi cuenta bancaria, sin tener que localizar o llevar encima la tarjeta de coordenadas. Y va en la línea del pago vía móvil que empieza a llegar de manera masiva, en el que el móvil pasa a sustituir al plástico, y en el que habrá que ver cómo van a gestionar las entidades los riesgos derivados del malware en dispositivos móviles. En cualquier caso, si consideramos que la utilización de aplicaciones móviles para la realización de gestiones bancarias es cada vez más habitual, un movimiento como este me parece que resta mucha seguridad a mi cuenta bancaria.