Llega a la Argentina un sistema de seguridad informática VIP contra el robo de identidad

Funciona incluso sobre teléfonos móviles. Permite la generación de dobles contraseñas para asegurar el ingreso a servicios bancarios y transaccionales, y aplicaciones delicadas dentro de las empresas y plantear una nueva barrera a los “hackers”.

“Santo y seña”. La orden se escuchaba en la antigüedad como una especie de anticipo de los tiempos actuales de nombre de usuario y clave de acceso a servicios basados en la Web. La frase la decían los centinelas  que vigilaban una posición y la solicitaban al que quisiera pasar a una ciudad o fortaleza. Solamente le permitían el acceso a aquella persona que conocía la seña.

Los servicios basados en las tecnologías de la información y la comunicación (TIC) son objeto diario de miles de ataques de delincuentes, la mayoría de ellos automatizados, que buscan vulnerar las diferentes barreras y obstáculos informáticos para acceder a datos personales y privados de los usuarios de Internet, tanto consumidores finales como organizaciones.

Los esfuerzos de los ladrones se concentran en especial en el usuario, el eslabón más delicado de la cadena, y hacia él apuntan con técnicas informáticas, algunas veces sencillas como las de la ingeniería social, y otras veces sofisticadas.

Para reforzar esta cadena, las empresas de seguridad informática apuestan por el desarrollo de un conjunto de herramientas que permiten acceder a aplicaciones y servicios en Internet por medios confiables. Uno de ellos es la doble autenticación de identidad.

¿Qué es la autenticación? Es una manera de asegurar que la persona que se está identificando en un sistema es realmente quien dice ser. Es un modo de comprobar su identidad.

Según explicaron desde CertiSur, una compañía argentina de seguridad informática con más de 5 mil clientes en América latina (a excepción de Brasil), un sistema de autenticación puede basarse en tres factores básicos:

  • Algo que la persona sabe: contraseña, clave, PIN, número de un documento personal, nombre de algún pariente.
  • Algo que la persona posee: credencial física, tarjeta magnética, tarjeta de proximidad, celular, token.
  • Algo que la persona es: huella digital, reconocimiento facial, voz, iris, retina, comportamiento.

La autenticación es fuerte cuando un sistema utiliza al menos dos de los tres factores citados anteriormente. De este modo, si uno de los factores se ve comprometido, todavía existen uno o dos factores que garanticen la seguridad.

Los usuarios de “home banking”, por ejemplo, deben recurrir para transacciones delicadas, como transferencias de fondos o pagos, a una tarjeta de coordenadas o a dispositivos como los token.

Sin embargo, estos sistemas pueden ser vulnerados de manera sencilla. Por ejemplo, los bancos argentinos debieron en los últimos meses que aclarar en forma explícita en sus sitios web que los usuarios no deben colocar todos los números que hay en las tarjetas de coordenadas sino apenas dos de los solicitados.

Los sistemas de doble autenticación funcionan en estos casos como “la reja y el perro” guardián en una casa, explicóNorberto Marinelli, CEO de CertiSur (en la foto). “El delincuente que llega a esa casa y los ve, se va a otra, y así será hasta que todas tengan una”. Sin embargo, advirtió que “hay muchas empresas que no tienen ni reja ni perro”.

CertiSur lanzó este año al mercado un servicio para incrementar la seguridad transaccional. Orientado en principio a las entidades financieras y al comercio electrónico en general, permite realizar operaciones en línea con un nuevo servicio de autenticación.

Se trata de un modelo de autenticación robusta denominado VIP (VeriSign Identity Protection), desarrollado por VeriSign, empresa de tecnología de seguridad.
Desde el proveedor aseguran que no es necesario que la empresa realice grandes inversiones o mantener tecnología en forma interna o soportar abruptos cambios tecnológicos para tener el servicio.

¿Cómo funciona? Con VIP el usuario que necesita acceder a un servicio transaccional web puede utilizar cualquier tipo de dispositivos de autenticación disponible en el mercado, desde tarjetas OTP, tokens hasta su propio teléfono celular o cualquier dispositivo móvil.

Si bien los nombres de usuario y las contraseñas se pueden adivinar o descubrir, sólo el usuario tiene el acceso al dispositivo físico o a una aplicación móvil que genera los códigos de seguridad necesarios para validar su identidad.

Así, cada vez que acceda a una página web de miembros VIP, el cliente sólo debe ingresar el nombre de usuario, contraseña y un código de seguridad.

Por ejemplo, una tarjeta VIP es una credencial de seguridad en línea del tamaño de una tarjeta de crédito. Para usarla, hay que pulsar el botón de la tarjeta para generar un código de seis dígitos de seguridad que es único para esa credencial.

A continuación, ingresa a los sitios protegidos (bancos, financieros, organizaciones, comercios) con su nombre de usuario, contraseña y el código de seguridad único. Lo mismo sucede con los tokens.

En cambio, el VIP Access es una credencial de seguridad en línea gratuita que se puede descargar en el teléfono móvil.

Para usarlo, hay que ejecutar la aplicación desde el teléfono móvil y tomar nota del código de seis dígitos de seguridad generado.

Consultado por iProfesional.com sobre el avance de esta tecnología de autenticación, Marinelli explicó que hay 450 activos en todo el mundo, el más famoso la tienda electrónica eBay, y en Brasil, 40.

En la Argentina hay “dos implementaciones en curso, en una empresa de trazabilidad y en una periodísticas”, cuyas identidades no fueron suministradas por razones de confidencialidad.

Sin embargo, estos esfuerzos tecnológicos no sirven de mucho si no se aumenta la concientización del usuario final sobre la necesidad de incorporar prácticas seguras en la Red.

“El punto más débil en seguridad informática es el usuario, al que no se lo puede tratar como un ignorante”, advirtió Marinelli, CEO de esta firma, de 12 años de vida, y con apenas una veintena de empleados, responsable de certificar la identidad de los usuarios en sitios webs donde se realizan transacciones, como las páginas de banca electrónica o de compra venta de productos y servicios.

CertiSur investiga desde 2006 la percepción que tienen los usuarios argentinos de Internet en cuanto a la seguridad de sus actividades en la Red, a través de un estudio anual que encarga a la consultora D’Alessio.

En la última edición de este informe, se concluyó que los usuarios argentinos han incorporado a la Web como eje coordinador de sus actividades de comunicación, de entretenimiento y laborales. Y que la percepción de seguridad en el comercio “online” ha mejorado un 26% entre 2006 y 2010. También se han incrementado las operaciones “online” bancarias (70% 2010 vs. 43% 2006).

Pero “para los internautas la seguridad debe estar provista y garantizada por las empresas”, advierte el estudio de CertiSur, que tiene 150 empresas clientes de sus aplicaciones y servicios de autenticación, y unos 5 mil de la certificación de servidor.

Según Marinelli hay un movimiento de las actividades delictivas enfocadas al robo de identidad desde los países desarrollados a los subdesarrollados. ¿La razón? En los mercados más avanzados de Internet comienzan a predominar las autenticaciones robustas de identidad, y por lo tanto, baja la disponibilidad de los datos privados.

“Hay bolsas donde se transaccionan datos de las personas, como nombre y apellido, número de documento de identidad, datos filiatorios de parientes, hasta de sus mascotas. Los costos de esos datos habían bajado hasta 5 centavos de dólar por unidad pero en los últimos meses han rebotado y suben”.

En los mercados desarrollados “la doble autenticación de identidad ya no es opcional, por lo que es más difícil para conseguir datos en los Estados Unidos y Europa”, dijo el empresario. Por lo tanto, los delincuentes informáticos se enfocan en otros espacios, como América latina, donde el uso de estos sistemas de seguridad no incipientes.

Pero además, la Argentina se caracteriza por la posibilidad de retirar dólares en formato billete y en altas cantidades, por los cajeros automáticos y vía electrónica.
Encima, a partir de mayo pasado, el Banco Central dispuso la inmediatez de las transferencias electrónicas, “lo que complica el seguimiento de transacciones sospechosas”, señaló Marinelli.

Fuente: iprofesional.com